ルールを使用した侵入ポリシーの調整

侵入ポリシーの [Rules] ページを使用して、共有オブジェクトルール、標準テキストルール、プリプロセッサルールに関するルール状態とその他の設定を構成できます。

ルールは、ルール状態を [Generate Events] または [Drop and Generate Events] に設定することによって有効にします。ルールを有効にすると、システムがそのルールと一致するトラフィックに対するイベントを生成します。ルールを無効にすると、ルールの処理が停止されます。オプションで、インライン展開で [Drop and Generate Events] に設定されたルールによって、一致するトラフィックに対するイベントが生成され、そのトラフィックが破棄されるように、侵入ポリシーを設定できます。詳細については、「インライン展開でのドロップ動作の設定」を参照してください。パッシブ展開では、[Drop and Generate Events] に設定されたルールによって、一致するトラフィックに対するイベントが生成されるだけです。

ルールのサブセットを表示するようにルールをフィルタ処理することによって、ルール状態やルール設定を変更するルールのセットを正確に選択できます。

侵入ルールまたはルールの引数がプリプロセッサの無効化を必要とする場合、ネットワーク分析ポリシーのユーザインターフェイスではプリプロセッサが無効化されたままになりますが、システムは自動的に現在の設定でプリプロセッサを使用します。詳細については、カスタムポリシーの制限を参照してください。

詳細については、次の項を参照してください。

侵入防御ルールタイプについてでは、侵入ポリシーで表示または設定可能な侵入ルールとプリプロセッサルールについて説明します。
侵入ポリシー内のルールの表示では、[Rules] ページでルールの順序を変更したり、ページ上のアイコンを解釈したり、ルール詳細に焦点を当てたりするための方法について説明します。
侵入ポリシー内のルールのフィルタ処理では、ルールフィルタを使用して、ルール設定を適用するルールを見つける方法について説明します。
ルール状態の設定では、[Rules] ページでルールを有効化または無効化する方法について説明します。
ポリシー単位の侵入イベント通知のフィルタ処理では、特定のルールに対するイベントフィルタリングしきい値の設定方法と特定のルールの抑制方法について説明します。
動的ルール状態の追加では、一致するトラフィックでレート異常が検出されたときに動的にトリガーとして使用されるルール状態の設定方法について説明します。
SNMP アラートの追加では、SNMP アラートを特定のルールに関連付ける方法について説明します。
ルールコメントの追加では、侵入ポリシー内のルールにコメントを追加する方法について説明します。

侵入防御ルールタイプについて

ライセンス：Protection

侵入ポリシーには、侵入ルールとプリプロセッサルールという 2 つのルールタイプが含まれています。

侵入ルールは、ネットワーク上の脆弱性を悪用する試みを検出するキーワードと引数の指定されたセットで、ネットワークトラフィックを分析してルール内の基準が満たされているかどうかをチェックします。システムが各ルール内で指定された条件とパケットを照らし合わせます。そして、パケットデータとルール内で指定されたすべての条件が一致した場合に、ルールがトリガーとして使用されます。システムには、シスコ脆弱性調査チーム（VRT）が作成した次の 2 種類の侵入ルールがあります。共有オブジェクトルールは、コンパイルされているため変更できません（送信元ポート、宛先ポート、IP アドレスなどのルール見出し情報を除く）。標準テキストルールは、ルールの新しいカスタムインスタンスとして保存および変更できます。

システムには、プリプロセッサに関連付けられたルールであるプリプロセッサルールとパケットデコーダ検出オプションも付属しています。プリプロセッサルールはコピーまたは編集できません。ほとんどのプリプロセッサルールがデフォルトで無効になっているため、システムにプリプロセッサルールに対するイベントの生成とインライン展開での違反パケットの破棄を指示する場合は、これらのルールを有効にする（つまり、[Generate Events] または [Drop and Generate Events] に設定する）必要があります。

VRT が、システムに付属のデフォルト侵入ポリシー用のシスコの共有オブジェクトルール、標準テキストルール、およびプリプロセッサルールのデフォルトルールの状態を決定します。

次の表に、ASA FirePOWER モジュールに付属している各ルールタイプの説明を示します。

表 1. ルールタイプ
タイプ	説明
共有オブジェクトのルール	C ソースコードからコンパイルされたバイナリモジュールとして配布される、シスコ脆弱性調査チーム（VRT）によって作成された侵入ルール。共有オブジェクトルールを使用すると、標準テキストルールではできない方法で攻撃を検出できます。共有オブジェクトルール内のルールキーワードと引数は変更できません。実行できるのは、ルールで使用されている変数の変更、送信元ポート、宛先ポート、IP アドレスなどの要素の変更、およびルールの新しいインスタンスのカスタム共有オブジェクトとしての保存だけです。共有オブジェクトルールの GID（ジェネレータ ID）は 3 です。
標準テキストルール	VRT によって作成された侵入ルール、コピーされて新しいカスタムルールとして保存された侵入ルール、ルールエディタを使用して作成された侵入ルール、またはユーザがローカルマシン上で作成してインポートしたローカルルールとしてインポートされた侵入ルール。VRT によって作成された標準ルール内のルールキーワードと引数は変更できません。実行できるのは、ルールで使用されている変数の変更、送信元ポート、宛先ポート、IP アドレスなどの要素の変更、およびルールの新しいインスタンスのカスタム標準ルールとしての保存だけです。詳細については、ローカルルールファイルのインポートを参照してください。VRT によって作成された標準テキストルールの GID（ジェネレータ ID）は 1 です。ルールエディタを使用して作成した、またはローカルルールとしてインポートしたカスタム標準テキストルールには 1000000 以上の SID（シグニチャ ID）が割り当てられます。
プリプロセッサルール	パケットデコーダの検出オプション、または ASA FirePOWER モジュールに付属のプリプロセッサの 1 つに関連付けられたルール。プリプロセッサルールによってイベントを生成するには、プリプロセッサルールを有効にする必要があります。このルールには、デコーダ固有またはプリプロセッサ固有の GID（ジェネレータ ID）が割り当てられます。

侵入ポリシー内のルールの表示

ライセンス：Protection

侵入ポリシー内のルールの表示方法を調整したり、複数の条件によってルールをソートできます。特定のルールの詳細を表示して、ルール設定、ルールドキュメント、およびその他のルール仕様を確認することもできます。

[Rules] ページには次の 4 つの主な機能領域があります。

フィルタリング機能：詳細については、侵入ポリシー内のルールのフィルタ処理を参照してください。
ルール属性メニュー：詳細については、ルール状態の設定、ポリシー単位の侵入イベント通知のフィルタ処理動的ルール状態の追加、SNMP アラートの追加、およびルールコメントの追加を参照してください。
ルール一覧：詳細については、表 1の表を参照してください。
ルールの詳細：詳細については、ルール詳細の表示を参照してください。

さまざまな基準に基づいてルールをソートすることもできます。詳細については、ルール画面のソートを参照してください。

カラム見出しとして使用されているアイコンは、設定項目にアクセスするためのメニューバー内のメニューに対応していることに注意してください。たとえば、[Rule State] メニューは、[Rule State] カラムと同じアイコン（）でマークされています。

次の表に、[Rules] ページのカラムの説明を示します。

表 2. [ルール（Rules）] ページの列
見出し	説明	詳細情報の参照先
GID	ルールのジェネレータ ID（GID）を表す整数。	イベントの表示
SID	ルールの一意の識別子として機能する Snort ID（SID）を表す整数。	イベントの表示
Message	このルールによって生成されるイベントに含まれるメッセージ。ルールの名前としても機能します。
	ルールのルール状態。次の 3 つの中のいずれか。 drop and generate events > generate events disable ルール状態アイコンをクリックすることによって、ルールの [Set rule state] ダイアログボックスにアクセスできることに注意してください。	ルール状態の設定
	ルールに適用されるイベントしきい値やイベント抑制などのイベントフィルタ。	ポリシー単位の侵入イベント通知のフィルタ処理
	ルールの動的ルール状態。指定されたレート異常が発生した場合に有効になります。	動的ルール状態の追加
	ルールに対して設定されたアラート（現在は SNMP アラートのみ）。	SNMP アラートの追加
	ルールに追加されたコメント。	ルールコメントの追加

階層ドロップダウンリストを使用して、ポリシー内の他の階層の [Rules] ページに切り替えることもできます。ポリシーに階層を追加しなかった場合にドロップダウンリストに表示される編集可能なビューはポリシーの [Rules] ページと、元は My Changes という名前だったポリシー階層の [Rules] ページだけです。これらのビューの一方を変更すると、もう一方も同じように変更されることに注意してください。詳細については、ネットワーク分析ポリシーまたは侵入ポリシーレイヤでのレイヤの使用を参照してください。ドロップダウンリストには、読み取り専用の基本ポリシーの [Rules] ページも表示されます。基本ポリシーの詳細については、基本レイヤについてを参照してください。

侵入ポリシー内のルールを表示する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。

[Policy Information] ページが表示されます。

ステップ 3

[Policy Information] ページで [Rules] をクリックします。

[Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。

ナビゲーションパネルの境界線の上にある [Rules] を選択すると、同じルール一覧が表示されることに注意してください。このビューでポリシー内のすべてのルール属性を表示して設定できます。

ルール画面のソート

ライセンス：Protection

[Rules] ページでは、見出しタイトルまたはアイコンをクリックすることによって、ルールをいずれかのカラムでソートできます。

見出しまたはアイコン上の上矢印（）または下矢印（）は、そのカラムを基準として、その方向にソートが実行されることを意味していることに注意してください。

侵入ポリシー内でルールをソートする方法：

手順

ステップ 1	[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。 [Intrusion Policy] ページが表示されます。
ステップ 2	編集するポリシーの横にある編集アイコンをクリックします。別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。 [Policy Information] ページが表示されます。
ステップ 3	[Rules] をクリックします。 [Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。
ステップ 4	ソートの基準とする列の一番上のタイトルまたはアイコンをクリックします。ルールがそのカラムのカラム見出しに表示された矢印が示す方向でソートされます。反対方向でソートするには、見出しを再度クリックします。ソート順と矢印が反転します。

ルール詳細の表示

ライセンス：Protection

[Rule Detail] ビューで、ルールドキュメントおよびルールオーバーヘッドを表示できます。また、ルール固有の機能を表示および追加できます。

脆弱性にマップされていないローカルルールにはオーバーヘッドがないことに注意してください。

表 3. ルールの詳細
項目	説明	詳細情報の参照先
Summary	ルールの概要。ルールベースのイベントでは、ルールドキュメントに概要情報が含まれている場合にこのローが表示されます。	イベントの表示
Rule State	ルールの現在のルール状態。ルール状態が設定された階層も示します。	ルール状態の設定、ネットワーク分析ポリシーまたは侵入ポリシーレイヤでのレイヤの使用
Thresholds	このルールに現在設定されているしきい値と、ルールのしきい値を追加するための機能。	ルールのしきい値の設定
Suppressions	このルールに現在設定されている抑制設定と、ルールの抑制を追加するための機能。	ルールの抑制の設定
Dynamic State	このルールに現在設定されているレートベースのルール状態と、ルールの動的ルール状態を追加するための機能。	ルールの動的ルール状態の設定
Alerts	このルールに現在設定されているアラートと、ルールのアラートを追加するための機能。現時点では、SNMP アラートのみがサポートされています。	SNMP アラートの追加
Comments	このルールに追加されたコメントと、ルールのコメントを追加するための機能。	ルールコメントの追加
Documentation	シスコ脆弱性調査チーム（VRT）から提供される現在のルールのルールドキュメント。	イベントの表示

ルール詳細を表示する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。

ステップ 4

ルール詳細を表示するルールを強調表示します。

ステップ 5

[Show details] をクリックします。

[Rule Detail] ビューが表示されます。詳細を再度非表示にするには、[Hide details] をクリックします。

ヒント

[Rules] ビューでルールをダブルクリックして、[Rule Detail] を開くこともできます。

ルールのしきい値の設定

ライセンス：Protection

[Rule Detail] ページで、ルールの単一のしきい値を設定できます。しきい値を追加すると、ルールの既存のしきい値が上書きされます。しきい値設定の詳細については、イベントしきい値の設定を参照してください。

無効な値を入力するとフィールドに復元アイコン（）が表示されることに注意してください。そのアイコンをクリックすると、そのフィールドの最後の有効値に戻るか、以前の値が存在しない場合はフィールドが空になります。

ルール詳細でしきい値を設定する方法：

手順

ステップ 1	[Thresholds] の横にある [Add] をクリックします。 [Set Threshold] ダイアログボックスが表示されます。
ステップ 2	[Type] ドロップダウンリストから、設定するしきい値のタイプを選択します。指定された期間あたりのイベントインスタンス数に通知を制限する場合は、[Limit] を選択します。指定された期間あたりのイベントインスタンス数ごとに通知を提供する場合は、[Threshold] を選択します。指定されたイベントインスタンス数後に期間あたり 1 回ずつ通知を提供する場合は、[Both] を選択します。
ステップ 3	[Track By] ドロップダウンリストから、[Source] または [Destination] を選択し、送信元または宛先のいずれの IP アドレスでイベントインスタンスを追跡するかを指定します。
ステップ 4	[Count] フィールドに、しきい値として使用するイベントインスタンスの数を入力します。
ステップ 5	[Seconds] フィールドに、イベントインスタンスを追跡する秒単位の期間として 0 ～ 2147483647 の数値を入力します。
ステップ 6	[OK] をクリックします。システムが、しきい値を追加し、[Event Filtering] カラムのルールの横にイベントフィルタアイコン（）を表示します。ルールに複数のイベントフィルタを追加すると、アイコン上にイベントフィルタの数が表示されます。

ルールの抑制の設定

ライセンス：Protection

[Rule Detail] ページで、ルールの 1 つまたは複数の抑制を設定できます。抑制の詳細については、ルールの抑制の設定を参照してください。

無効な値を入力するとフィールドに復元アイコン（）が表示されます。そのアイコンをクリックすると、そのフィールドの最後の有効値に戻るか、以前の値が存在しない場合はフィールドが空になります。

ルール詳細で抑制を設定する方法：

手順

ステップ 1	[Suppressions] の横にある [Add] をクリックします。 [Add Suppression] ダイアログボックスが表示されます。
ステップ 2	[Suppression Type] ドロップダウンリストから、次のいずれかのオプションを選択します。選択したルールのイベントを完全に抑制する場合は、[Rule] を選択します。指定した送信元 IP アドレスから送信されるパケットによって生成されるイベントを抑制する場合は、[Source] を選択します。指定した宛先 IP アドレスに送信されるパケットによって生成されるイベントを抑制する場合は、[Destination] を選択します。
ステップ 3	抑制タイプとして [Source] または [Destination] を選択すると、[Network] フィールドが表示されます。[Network] フィールドに、IP アドレス、アドレスブロック、またはこれらを任意に組み合わせたカンマ区切りのリストを入力します。侵入ポリシーがアクセスコントロールポリシーのデフォルトアクションに関連付けられている場合は、デフォルトアクション変数セットでネットワーク変数を指定または列挙することもできます。 IPv4 CIDR および IPv6 プレフィックス長アドレスブロックの使用の詳細については、お使いのバージョンの Firepower Management Center コンフィギュレーションガイド [英語] で「Firepower System IP Address Conventions」を参照してください。
ステップ 4	[OK] をクリックします。抑制条件が追加され、抑制するルールの横にある [Event Filtering] カラムのルールの横にイベントフィルタアイコンが表示されます。ルールに複数のイベントフィルタを追加した場合は、アイコン上の数字がフィルタの数を示します。

ルールの動的ルール状態の設定

ライセンス：Protection

[Rule Detail] ページで、ルールの 1 つまたは複数の動的ルール状態を設定できます。最初に表示される動的ルール状態に最も高いプライオリティが割り当てられます。2 つの動的ルール状態が競合している場合は、最初のアクションが実行されることに注意してください。動的ルール状態の詳細については、動的ルール状態についてを参照してください。

ルール詳細で動的ルール状態を設定する方法：

手順

ステップ 1	[Dynamic State] の横にある [Add] をクリックします。 [Add Rate-Based Rule State] ダイアログボックスが表示されます。
ステップ 2	[Track By] ドロップダウンリストから、ルール一致の追跡方法を指定するオプションを選択します。特定の送信元または送信元のセットからのそのルールのヒット数を追跡する場合は、[Source] を選択します。特定の宛先または宛先のセットへのそのルールのヒット数を追跡する場合は、[Destination] を選択します。そのルールのすべての一致を追跡する場合は、[ルール（Rule）] を選択します。
ステップ 3	オプションで、[Track By] を [Source] または [Destination] に設定した場合は、[Network] フィールドに追跡する各ホストの IP アドレスを入力します。
ステップ 4	[Rate] の隣で、攻撃レートを設定する期間あたりのルール一致の数を指定します。 [Count] フィールドで、0 ～ 2147483647 の整数を使用して、しきい値として使用するルール一致の数を指定します。 [Seconds] フィールドで、0 ～ 2147483647 の整数を使用して、攻撃を追跡する期間を表す秒数を指定します。
ステップ 5	[New State] ドロップダウンリストから、条件を満たしたときに実行される新しいアクションを選択します。イベントを生成する場合は、[Generate Events] を選択します。インライン展開でイベントを生成し、イベントをトリガーしたパケットを破棄する場合、または、パッシブ展開でイベントを生成する場合は、[Drop and Generate Events] を選択します。アクションを実行しない場合は、[Disabled] を選択します。
ステップ 6	[Timeout] フィールドに、1 ～ 2147483647（約 68 年）の整数を使用して、新しいアクションを有効にしておく秒数を入力します。タイムアウトが発生すると、ルールが元の状態に戻ります。新しいアクションがタイムアウトしないようにする場合は、0 を指定します。
ステップ 7	[OK] をクリックします。動的ルール状態が追加され、[Dynamic State] カラムのルールの横に動的状態アイコン（）が表示されます。ルールに複数の動的ルール状態フィルタを追加した場合は、アイコン上の数字がフィルタの数を示します。必須フィールドを空白にした場合は、フィールドに値を入力する必要があることを伝えるエラーメッセージが表示されます。

ルールの SNMP アラートの設定

ライセンス：Protection

[Rule Detail] ページで、ルールの SNMP アラートを設定できます。SNMP アラートの詳細については、SNMP 応答の使用を参照してください。

ルール詳細で SNMP アラートを追加する方法：

手順

[Alerts] の横にある [Add SNMP Alert] をクリックします。

アラートが追加され、[Alerting] カラムのルールの横にアラートアイコン（）が表示されます。ルールに複数のアラートを追加した場合は、アイコン上にアラートの数が表示されます。

ルールに関するルールコメントの追加

ライセンス：Protection

[Rule Detail] ページで、ルールに関するルールコメントを追加できます。ルールコメントの詳細については、ルールコメントの追加を参照してください。

ルール詳細でコメントを追加する方法：

手順

ステップ 1

[Comments] の横にある [Add] をクリックします。

[Add Comment] ダイアログボックスが表示されます。

ステップ 2

[Comment] フィールドに、ルールに関するコメントを入力します。

ステップ 3

[OK] をクリックします。

コメントが追加され、[Comments] カラムのルールの横にコメントアイコン（）が表示されます。ルールに複数のコメントを追加した場合は、アイコン上の数字がコメントの数を示します。

ヒント

ルールコメントを削除するには、ルールコメントセクションで [Delete] をクリックします。侵入ポリシーの変更がコミットされていないコメントがキャッシュされている場合にだけ、コメントを削除できることに注意してください。侵入ポリシーの変更がコミットされた後は、ルールコメントを削除できなくなります。

侵入ポリシー内のルールのフィルタ処理

ライセンス：Protection

[Rules] ページに表示するルールは、1 つの基準または 1 つ以上の基準の組み合わせに基づいてフィルタ処理できます。

作成したフィルタが [Filter] テキストボックスに表示されます。フィルタパネルでキーワードとキーワード引数をクリックしてフィルタを作成できます。複数のキーワードを選択した場合は、システムがそれらを AND ロジックを使用して結合し、複合検索フィルタを生成します。たとえば、[Category] で [preprocessor] を選択してから、[Rule Content] > [GID] の順に選択して「116」と入力すると、プリプロセッサルールで、かつ GID が 116 のすべてのルールを取得する「Category: “preprocessor” GID:”116”」というフィルタが返されます。

Category、Microsoft Vulnerabilities、Microsoft Worms、Platform Specific、Preprocessor、および Priority の各フィルタグループを使用すれば、カンマで区切られたキーワードの複数の引数を送信できます。たとえば、Shift キーを押しながら、[Category] から [os-linux] と [os-windows] を選択すると、os-linux カテゴリまたは os-windows カテゴリ内のルールを取得する「Category:"os-windows,os-linux"」というフィルタを作成できます。

フィルタパネルを表示するには、表示アイコン（）をクリックします。

フィルタパネルを非表示にするには、非表示アイコンをクリックします。

侵入ポリシー内のルールフィルタ処理について

ライセンス：Protection

ルールフィルタキーワードは、ルール状態やイベントフィルタなどのルール設定を適用するルールを見つけやすくします。[Rules] ページのフィルタパネルで必要な引数を選択することによって、キーワードでフィルタ処理すると同時に、キーワードの引数を選択することができます。

侵入ポリシールールフィルタを作成するためのガイドライン

ライセンス：Protection

ほとんどの場合、フィルタを作成するときに、侵入ポリシー内の [Rules] ページの左側にあるフィルタパネルを使用して必要なキーワード/引数を選択できます。

フィルタパネルでは、ルールフィルタがルールフィルタグループに分類されます。多くのルールフィルタグループにサブ基準が含まれているため、探している特定のルールを簡単に見つけることができます。一部のルールフィルタには複数のレベルが設定されているので、それを展開して個別のルールにドリルダウンできます。

フィルタパネル内の項目は、場合によって、フィルタタイプグループを表したり、キーワードを表したり、キーワードの引数を表したりします。次の経験則をフィルタの作成に役立ててください。

キーワード（Rule Configuration、Rule Content、Platform Specific、および Priority）以外のフィルタタイプグループ見出しを選択すると、そのグループが展開して使用可能なキーワードが一覧表示されます。

基準リスト内のノードをクリックしてキーワードを選択すると、フィルタ処理する引数を指定するためのポップアップウィンドウが表示されます。

そのキーワードがすでにフィルタで使用されていた場合は、そのキーワードの既存の引数が指定した引数に置き換えられます。

キーワード（Category、Classifications、Microsoft Vulnerabilities、Microsoft Worms、Priority、および Rule Update）になっているフィルタタイプグループ見出しを選択すると、使用可能な引数が一覧表示されます。

このタイプのグループから項目を選択すると、適用される引数とキーワードがすぐにフィルタに追加されます。キーワードがすでにフィルタ内に存在していた場合は、そのグループに対応するキーワードの既存の引数が置き換えられます。

たとえば、フィルタパネルの [Category] で [os-linux] をクリックすると、「Category:"os-linux"」がフィルタテキストボックスに追加されます。その後、[Category] で [os-windows] をクリックすると、フィルタが「Category:"os-windows"」に変わります。

[Rule Content] の下の [Reference] はキーワードであり、その下に特定の参照 ID タイプが列挙されます。いずれかの参照キーワードを選択すると、引数を指定するためのポップアップウィンドウが表示され、既存のフィルタにそのキーワードが追加されます。キーワードがすでにフィルタ内で使用されていた場合は、既存の引数が指定した新しい引数に置き換えられます。

たとえば、フィルタパネルで [Rule Content] > [Reference] > [CVE ID] の順にクリックすると、ポップアップウィンドウが開いて CVE ID を指定するよう示されます。「2007」と入力すると、「CVE:”2007”」がフィルタテキストボックスに追加されます。別の例では、フィルタパネルで [Rule Content] > [Reference] の順にクリックすると、ポップアップウィンドウが開いて、参照を指定するよう示されます。「2007」と入力すると、「Reference:”2007”」がフィルタテキストボックスに追加されます。

複数のグループからルールフィルタキーワードを選択した場合は、各フィルタキーワードがフィルタに追加され、既存のキーワードが維持されます（同じキーワードの新しい値で上書きされなかった場合）。

たとえば、フィルタパネルの [Category] で [os-linux] をクリックすると、「Category:"os-linux"」がフィルタテキストボックスに追加されます。その後、[Microsoft Vulnerabilities] で [MS00-006] をクリックすると、フィルタが「Category:"os-linux" MicrosoftVulnerabilities:"MS00-006"」に変わります。

複数のキーワードを選択した場合は、システムがそれらを AND ロジックを使用して結合し、複合検索フィルタを生成します。たとえば、[Category] で [preprocessor] を選択してから、[Rule Content] > [GID] の順に選択して「116」と入力すると、プリプロセッサルールで、かつ GID が 116 のすべてのルールを取得する「Category: “preprocessor” GID:”116”」というフィルタが返されます。
Category、Microsoft Vulnerabilities、Microsoft Worms、Platform Specific、および Priority の各フィルタグループを使用すれば、カンマで区切られたキーワードの複数の引数を送信できます。たとえば、Shift キーを押しながら、[Category] から [os-linux] と [os-windows] を選択すると、os-linux カテゴリまたは os-windows カテゴリ内のルールを取得する「Category:"os-windows,app-detect"」というフィルタを作成できます。

複数のフィルタキーワード/引数のペアで同じルールが取得される場合があります。たとえば、ルールを [dos] カテゴリによってフィルタ処理する場合や [High] 優先度でフィルタ処理する場合は、DOS Cisco 試行ルール（SID 1545）が表示されます。

（注）

Cisco VRT がルールアップデートメカニズムを使用してルールフィルタを追加または削除する場合があります。

[ルール（Rules）] ページ上のルールは、共有オブジェクトルール（ジェネレータ ID 3）または標準テキストルール（ジェネレータ ID 1）のどちらかであることに注意してください。次の表に、さまざまなルールフィルタの説明を示します。

表 4. ルールフィルタグループ
フィルタグループ	説明	複数の引数をサポートするか	見出し	リスト内の項目
ルール設定（Rule Configuration）	ルールの設定に基づいてルールを検索します。ルール構成フィルタについてを参照してください。	いいえ	グループ	キーワード
ルールコンテンツ（Rule Content）	ルールの内容に基づいてルールを検索します。ルールコンテンツフィルタについてを参照してください。	いいえ	グループ	キーワード
カテゴリ（Category）	ルールエディタで使用されるルールカテゴリに基づいてルールを検索します。ローカルルールはローカルサブグループに表示されることに注意してください。ルールカテゴリについてを参照してください。	はい	キーワード	引数
分類（Classifications）	ルールによって生成されるイベントのパケット画面内に表示される攻撃分類に基づいてルールを検索します。.	いいえ	キーワード	引数
Microsoft 脆弱性（Microsoft Vulnerabilities）	Microsoft セキュリティ情報番号に従ってルールを検索します。	はい	キーワード	引数
Microsoft ワーム（Microsoft Worms）	Microsoft Windows ホストに影響する特定のワームに基づいてルールを検索します。	はい	キーワード	引数
プラットフォーム特有（Platform Specific）	オペレーティングシステムの特定のバージョンとの関連性に基づいてルールを検索します。ルールが複数のオペレーティングシステムまたは 1 つのオペレーティングシステムの複数のバージョンに影響する場合があることに注意してください。たとえば、SID 2260 を有効にすると、Mac OS X、IBM AIX、およびその他のオペレーティングシステムの複数のバージョンに影響します。	はい	キーワード	引数サブリストからいずれかの項目を選択すると、引数に修飾子が追加されることに注意してください。
プリプロセッサ（Preprocessors）	個別のプリプロセッサのルールを検索します。プリプロセッサが有効になっている場合にプリプロセッサオプションに対するイベントを生成するには、そのオプションに関連付けられているプリプロセッサルールを有効にする必要があります（ルール状態の設定を参照）。	はい	グループ	サブグループ
プライオリティ（Priority）	高、中、および低の優先度に基づいてルールを検索します。ルールに割り当てられた分類によってその優先度が決定されます。これらのグループは、さらにルールカテゴリに分類されます。ローカルルール（つまり、ユーザが作成したルール）は優先度グループに表示されないことに注意してください。	はい	キーワード	引数サブリストからいずれかの項目を選択すると、引数に修飾子が追加されることに注意してください。
ルールの更新（Rule Update）	特定のルール更新を通して追加または変更されたルールを検索します。ルール更新ごとに、更新内のすべてのルール、更新でインポートされた唯一の新しいルール、または更新によって変更された唯一の既存のルールを表示します。	いいえ	キーワード	引数

ルール構成フィルタについて

ライセンス：Protection

[Rules] ページに表示されたルールをいくつかのルール構成設定でフィルタ処理できます。

基準リスト内のノードをクリックしてキーワードを選択すると、フィルタ処理する引数を指定するためのポップアップウィンドウが表示されます。

そのキーワードがすでにフィルタで使用されていた場合は、そのキーワードの既存の引数が指定した引数に置き換えられます。

フィルタ処理に使用可能なルール構成設定に関する詳細については、次の手順を参照してください。

手順

ステップ 1	ルール状態フィルタを使用する方法： [Rule Configuration] で、[Rule State] をクリックします。 [Rule State] ドロップダウンリストから、フィルタ条件のルール状態を選択します。イベントを生成するだけのルールを検索するには、[Generate Events] を選択して、[OK] をクリックしてします。イベントを生成して一致するパケットをドロップするルールを検索するには、[Drop and Generate Events] を選択して、[OK] をクリックします。無効になっているルールを検索するには、[Disabled] を選択して、[OK] をクリックします。最新のルール状態に基づいてルールを表示するように [Rules] ページが更新されます。
ステップ 2	しきい値フィルタを使用する方法： [Rule Configuration] で [Threshold] をクリックします。 [Threshold] ドロップダウンリストから、フィルタ条件のしきい値設定を選択します。しきい値タイプが limit のルールを検索するには、[Limit] を選択して、[OK] をクリックします。しきい値タイプが threshold のルールを検索するには、[Threshold] を選択して、[OK] をクリックします。しきい値タイプが both のルールを検索するには、[Both] を選択して、[OK] をクリックします。しきい値が source によって追跡されるルールを検索するには、[Source] を選択して、[OK] をクリックします。しきい値が destination によって追跡されるルールを検索するには、[Destination] を選択して、[OK] をクリックします。しきい値が設定されているすべてのルールを検索するには、[All] を選択して、[OK] をクリックします。 [Rules] ページが更新されて、フィルタで指定されたしきい値のタイプがルールに適用されているルールが表示されます。
ステップ 3	抑制フィルタを使用する方法： [Rule Configuration] で、[Suppression] をクリックします。 [Suppression] ドロップダウンリストから、フィルタ条件の抑制設定を選択します。ルールの検査対象のパケットに対してイベントを抑制するルールを検索するには、[By Rule] を選択して、[OK] をクリックします。トラフィックの送信元に基づいてイベントを抑制するルールを検索するには、[By Source] を選択して、[OK] をクリックします。トラフィックの宛先に基づいてイベントを抑制するルールを検索するには、[By Destination] を選択して、[OK] をクリックします。抑制が設定されているすべてのルールを検索するには、[All] を選択して、[OK] をクリックします。 . [Rules] ページが更新されて、フィルタで指定された抑制のタイプがルールに適用されているルールが表示されます。
ステップ 4	動的状態フィルタを使用する方法： [Rule Configuration] で、[Dynamic State] をクリックします。 [Dynamic State] ドロップダウンリストから、フィルタ条件の抑制設定を選択します。ルールの検査対象のパケットに対して動的状態を設定するルールを検索するには、[By Rule] を選択して、[OK] をクリックします。トラフィックの送信元に基づいてパケットに動的状態を設定するルールを検索するには、[By Source] を選択して、[OK] をクリックします。トラフィックの宛先に基づいて動的状態を設定するルールを検索するには、[By Destination] を選択して、[OK] をクリックします。 Generate Events の動的状態が設定されたルールを検索するには、[Generate Events] を選択して、[OK] をクリックします。 Drop and Generate Events の動的状態が設定されたルールを検索するには、[Drop and Generate Events] を選択して、[OK] をクリックします。 Disabled の動的状態が設定されたルールを検索するには、[Disabled] を選択して、[OK] をクリックします。抑制が設定されているすべてのルールを検索するには、[All] を選択して、[OK] をクリックします。フィルタで指定された動的ルール状態がルールに適用されているルールを表示するように [Rules] ページが更新されます。
ステップ 5	アラートフィルタの使用方法： [Rule Configuration] で [Alert] をクリックします。 [Alert] ドロップダウンリストから、SNMP 別にフィルタ処理するアラート設定を選択します。 [OK] をクリックします。 [Rules] ページが更新され、アラートフィルタを適用したルールが表示されます。
ステップ 6	コメントフィルタを使用する方法： [Rule Configuration] で、[Comment] をクリックします。 [Comment] フィールドにフィルタ条件に関するコメント文字列を入力し、[OK] をクリックします。 [Rules] ページが更新され、ルールに適用されるコメントにフィルタで指定された文字列が含まれているルールが表示されます。

ルールコンテンツフィルタについて

ライセンス：Protection

[ルール（Rules）] ページに表示されたルールをいくつかのルールコンテンツ項目でフィルタ処理できます。たとえば、ルールの SID を検索することによって、ルールをすばやく取得できます。特定の宛先ポートに送信されるトラフィックを検査するすべてのルールを検索することもできます。

基準リスト内のノードをクリックしてキーワードを選択すると、フィルタ処理する引数を指定するためのポップアップウィンドウが表示されます。

そのキーワードがすでにフィルタで使用されていた場合は、そのキーワードの既存の引数が指定した引数に置き換えられます。

たとえば、フィルタパネルの [Rule Content] で [SID] をクリックすると、ポップアップウィンドウが開いて SID の入力が促されます。「1045」と入力すると、「SID:”1045”」がフィルタテキストボックスに追加されます。その後、再度 [SID] をクリックして、SID フィルタを「1044」に変更すると、フィルタが「SID:”1044”」に変わります。

フィルタ処理に使用可能なルールコンテンツの詳細については、次の表を参照してください。

表 5. ルールコンテンツフィルタ
このフィルタを使用する場合のクリック対象	次の操作	結果
Message	フィルタ条件となるメッセージ文字列を入力して、[OK] をクリックします。	メッセージフィールドで指定された文字列を含むルールを検索します。
SID	フィルタ条件となる SID 番号を入力して、[OK] をクリックします。	指定された SID が割り当てられたルールを検索します。
GID	フィルタ条件となる GID 番号を入力して、[OK] をクリックします。	指定された GID が割り当てられたルールを検索します。
Reference	フィルタ条件となる参照文字列を入力して、[OK] をクリックします。フィルタ条件となる特定の参照タイプの文字列を入力するには、[CVE ID]、[URL]、[Bugtraq ID]、[Nessus ID]、[Arachnids ID]、または [Mcafee ID] を選択し、[OK] をクリックします。	参照フィールドで指定された文字列を含むルールを検索します。
Action	フィルタ処理するアクションを選択します。アラートルールを検索するには、[Alert] を選択して、[OK] をクリックします。パスルールを検索するには、[Pass] を選択して、[OK] をクリックします。	alert または pass で始まるルールを検索します。
Protocol	[ICMP]、[IP]、[TCP]、または [UDP] からフィルタ条件となるプロトコルを選択し、[OK] をクリックします。	選択されたプロトコルを含むルールを検索します。
Direction	フィルタ処理する方向設定を選択します。特定の方向に移動するトラフィックを検査するルールを検索するには、[Directional] を選択して、[OK] をクリックします。送信元と宛先の間を双方向に移動するトラフィックを検査するルールを検索するには、[Bidirectional] を選択して、[OK] をクリックしてします。	ルールに、指定された方向設定が含まれているかどうかに基づいてルールを検索します。
Source IP	フィルタ条件となる送信元 IP アドレスを入力して、[OK] をクリックします。有効な IP アドレス、CIDR ブロック/プレフィクス長、または $HOME_NET や $EXTERNAL_NET などの変数を使用してフィルタ処理できることに注意してください。	ルール内の送信元 IP アドレス宛先に指定されたアドレスまたは変数を使用するルールを検索します。
Destination IP	フィルタ条件となる宛先 IP アドレスを入力して、[OK] をクリックします。有効な IP アドレス、CIDR ブロック/プレフィクス長、または $HOME_NET や $EXTERNAL_NET などの変数を使用してフィルタ処理できることに注意してください。	ルール内の送信元 IP アドレス宛先に指定されたアドレスまたは変数を使用するルールを検索します。
Source Port	フィルタ条件となる送信元ポートを入力して、[OK] をクリックします。ポート値は、1 ～ 65535 の整数またはポート変数にする必要があります。	指定された送信元ポートを含むルールを検索します。
Destination port	フィルタ条件となる宛先ポートを入力して、[OK] をクリックします。ポート値は、1 ～ 65535 の整数またはポート変数にする必要があります。	指定された宛先ポートを含むルールを検索します。
ルールのオーバーヘッド	[Low]、[Medium]、[High]、または [Very High] からフィルタ条件となるルールのオーバーヘッド量を選択し、[OK] をクリックします。	選択されたルールオーバーヘッドを伴うルールを検索します。
メタデータ	フィルタ条件となるメタデータキーと値のペアをスペースで区切って入力し、[OK] をクリックします。たとえば、HTTP アプリケーションプロトコルに関連するメタデータを使用したルールを検索するには、「metadata:”service http”」と入力します。	一致するキーと値のペアを含むメタデータを使用したルールを検索します。

ルールカテゴリについて

ライセンス：Protection

ASA FirePOWER モジュールは、ルールが検出するトラフィックのタイプに基づいてカテゴリにルールを配置します。[ルール（Rules）] ページで、ルールカテゴリでフィルタ処理することによって、カテゴリ内のすべてのルールにルール属性を設定できます。たとえば、ネットワーク上に Linux ホストが存在しない場合は、os-linux カテゴリでフィルタ処理してから、表示されたすべてのルールを無効にすることによって、os-linux カテゴリ全体を無効にすることができます。

（注）

Cisco VRT がルールアップデートメカニズムを使用してルールカテゴリを追加または削除する場合があります。

ルールフィルタの直接編集

ライセンス：Protection

フィルタパネルでフィルタをクリックしたときに入力される特殊なキーワードとその引数を変更するようにフィルタを編集できます。[Rules] ページのカスタムフィルタはルールエディタで使用されるものと同様に機能しますが、フィルタパネルを通してフィルタを選択したときに表示される構文を使用して、[Rules] ページのフィルタに入力されたキーワードのいずれかを使用することもできます。今後使用するキーワードを決定するには、右側のフィルタパネルで該当する引数をクリックします。フィルタキーワードと引数構文がフィルタテキストボックスに表示されます。

特定の値のみをサポートするキーワードの引数のリストを表示するには、ルール構成フィルタについて、ルールコンテンツフィルタについて、およびルールカテゴリについてを参照してください。キーワードのカンマ区切りの複数の引数は Category と Priority のフィルタタイプでしかサポートされないことに注意してください。

引用符内のキーワードと引数、文字列、およびリテラル文字列と一緒に、複数のフィルタ条件を区切るスペースを使用できます。ただし、正規表現、ワイルドカード文字、または否定文字（!）、大なり記号（>）、小なり記号（<）などの特殊な演算子を含めることはできません。キーワードなし、キーワードの先頭文字の大文字表記なし、または引数の周りの引用符なしの検索語を入力すると、検索が文字列検索として扱われ、[Category]、[Message]、および [SID] の各フィールドで指定された単語が検索されます。

キーワード、キーワード引数、および文字列では、いずれも大文字と小文字が区別されません。gid キーワードと sid キーワードを除き、すべての引数と文字列は部分的な文字列として扱われます。gid と sid の引数は完全一致のみを返します。

各ルールフィルタに、次の形式で 1 つ以上のキーワードを含めることができます。

Keyword:”argument”

ここで、keyword は表 1の表に示すフィルタグループ内のキーワードのいずれかです。また、argument は二重引用符で囲まれた単一の英数字文字列で、大文字と小文字の区別がなく、キーワードに関連する特定のフィールド内の検索に使用されます。キーワードは先頭文字を大文字にして入力する必要があることに注意してください。

gid と sid を除くすべてのキーワードの引数が部分文字列として扱われます。たとえば、引数 123 は、「12345」、「41235」、「45123」などを返します。gid と sid の引数は完全一致のみを返します。たとえば、sid:3080 の場合、SID 3080 だけが返されます。

各ルールフィルタに、1 つ以上の英数字文字列を含めることもできます。文字列はルールの [Message] フィールド、シグニチャ ID、およびジェネレータ ID を検索します。たとえば、文字列 123 を指定するとルールメッセージ内の文字列「Lotus123」」、「123mania」などが返され、さらに SID 6123、SID 12375 なども返されます。1 つ以上の文字列でフィルタ処理することによって、SID を部分的に検索できます。

すべての文字列で大文字と小文字が区別されず、部分文字列として扱われます。たとえば、文字列 ADMIN、admin、または Admin はすべて、「admin」、「CFADMIN」、「Administrator」などを返します。

文字列を引用符で囲むと、完全一致を返すことができます。たとえば、引用符付きのリテラル文字列 "overflow attempt" は完全一致のみを返しますが、引用符なしの 2 つの文字列 overflow と attempt で構成されるフィルタは「overflow attempt」、「overflow multipacket attempt」、「overflow with evasion attempt」などを返します。

複数のキーワード、文字列、またはその両方をスペースで区切って任意に組み合わせて入力することで、フィルタ結果を絞り込むことができます。結果には、すべてのフィルタ条件に一致するルールが含まれます。

複数のフィルタ条件を任意の順序で入力できます。たとえば、次のフィルタはそれぞれ同じルールを返します。

url:at login attempt cve:200
login attempt cve:200 url:at
login cve:200 attempt url:at

侵入ポリシー内のルールフィルタの設定

ライセンス：Protection

[Rules] ページで、ルールのサブセットを表示するようにルールをフィルタ処理できます。それから任意のページ機能を使用できます。これは、特定のカテゴリのすべてのルールのしきい値を設定する場合などに便利です。フィルタ処理されたリスト内のルールとフィルタ処理されていないリスト内のルールで同じ機能を使用できます。たとえば、新しいルール状態を、フィルタ処理されたリスト内のルールまたはフィルタ処理されていないリスト内のルールに適用できます。

侵入ポリシー内の [Rules] ページの左側にあるフィルタパネルから事前定義のフィルタキーワードを選択できます。フィルタを選択すると、ページに、すべての一致するルールが表示されるか、どのルールも一致しなかったことが表示されます。

使用可能なすべてのキーワードと引数の詳細と、フィルタパネルでのフィルタの作成方法については、侵入ポリシー内のルールフィルタ処理についてを参照してください。

フィルタにキーワードを追加してさらに絞り込むことができます。入力されたすべてのフィルタが、ルールデータベース全体を検索して、一致するすべてのルールを返します。ページに前回のフィルタ結果が表示されている状態でフィルタを入力すると、ページが消去され、代わりに新しいフィルタの結果が返されます。

また、フィルタを選択したとき、または、フィルタを選択後にその中の引数値を変更したときに指定したものと同じキーワードと引数の構文を使用してフィルタを入力することもできます。キーワードなし、キーワードの先頭文字の大文字表記なし、または引数の周りの引用符なしの検索語を入力すると、検索が文字列検索として扱われ、[Category]、[Message]、および [SID] の各フィールドで指定された単語が検索されます。

侵入ポリシー内の特定のルールに対してフィルタ処理する方法：

手順

ステップ 1	[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。 [Intrusion Policy] ページが表示されます。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。 [Policy Information] ページが表示されます。
ステップ 3	[Rules] をクリックします。 [Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。
ステップ 4	左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。フィルタ内に存在するキーワードの引数をクリックすると、既存の引数が置き換えられることに注意してください。ページが、すべての一致するルールを表示するように更新され、フィルタと一致するルールの数がフィルタテキストボックスの上に表示されます。
ステップ 5	新しい設定を適用する 1 つ以上のルールを選択します。次の選択肢があります。特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。
ステップ 6	オプションで、通常ページで行うような変更をルールに対して行えます。詳細については、次の項を参照してください。 [Rules] ページ上でルールを有効または無効にする方法については、ルール状態の設定を参照してください。ルールにしきい値設定と抑制を追加する方法については、ポリシー単位の侵入イベント通知のフィルタ処理を参照してください。一致するトラフィックでレート異常が発生したときにトリガされる動的ルール状態を設定する方法については、動的ルール状態の追加を参照してください。特定のルールに SNMP アラートを追加する方法については、SNMP アラートの追加を参照してください。ルールにルールコメントを追加する方法については、ルールコメントの追加を参照してください。
ステップ 7	ポリシーを保存する、編集を継続する、変更を破棄する、またはシステムキャッシュに変更を残したまま終了します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

ルール状態の設定

ライセンス：Protection

シスコ脆弱性調査チーム（VRT）が、各デフォルトポリシー内の侵入ルールとプリプロセッサルールのデフォルト状態を設定します。たとえば、ルールを Security over Connectivity デフォルトポリシーでは有効にして、Connectivity over Security デフォルトポリシーでは無効にすることができます。作成された侵入ポリシールールは、作成時に使用されたデフォルトポリシー内のルールのデフォルト状態を継承します。

ルールを [Generate Events]、[Drop and Generate Events]、または [Disable] に個別に設定することも、状態を変更するルールを選択するためのさまざまな要素でルールをフィルタ処理することもできます。インライン展開では、インライン侵入展開で [Drop and Generate Events] ルール状態を使用して悪意のあるパケットをドロップできます。パッシブ展開では、[Drop and Generate Events] ルール状態が設定されたルールは、イベントを生成してもパケットはドロップしないことに注意してください。ルールを [Generate Events] または [Drop and Generate Events] に設定すると、ルールが有効になります。ルールを [Disable] に設定すると、ルールが無効になります。

2 つのシナリオについて考えてみます。最初のシナリオでは、特定のルールのルール状態が [Generate Events] に設定されます。悪意のあるパケットがネットワークを通過してルールをトリガーすると、そのパケットが宛先に送信され、システムが侵入イベントを生成します。2 つ目のシナリオでは、同じルールのルール状態が、インライン展開で [Drop and Generate Events ] に設定されていると仮定します。この場合は、悪意のあるパケットがネットワークを通過すると、システムがそのパケットをドロップして、侵入イベントを生成します。パケットがターゲットに到達することはありません。

侵入ポリシーでは、ルールの状態を次のいずれかに設定できます。

システムで特定の侵入試行を検出して、一致したトラフィックが見つかった時点で侵入イベントを生成する場合は、ルール状態を [Generate Events] に設定します。
システムで特定の侵入試行を検出してから、インライン展開で一致するトラフィックが見つかった時点で攻撃を含むパケットをドロップし、侵入イベントを生成する場合、あるいはパッシブ展開で一致するトラフィックが見つかった時点で侵入イベントを生成する場合は、ルール状態を [Drop and Generate Events] に設定します。

システムでパケットをドロップする場合は、インライン展開で侵入ポリシーを廃棄ルールに設定する必要があることに注意してください。詳細については、インライン展開でのドロップ動作の設定を参照してください。

システムで一致するトラフィックを評価しない場合は、ルール状態を [Disable] に設定します。

廃棄ルールを使用するには、次の手順を実行する必要があります。

侵入ポリシーで [Drop when Inline] オプションを有効にします。
ルールと一致するすべてのパケットをドロップする必要があるすべてのルールのルール状態を [Drop and Generate Events] に設定します。
侵入ポリシーに関連付けられたアクセスコントロールルールを含むアクセスコントロールポリシーを、インライン展開で適用します。

[Rules] ページのルールのフィルタ処理は、廃棄ルールとして設定するルールを探すときに役立ちます。詳細については、侵入ポリシー内のルールのフィルタ処理を参照してください。

VRT がルール更新を使用してデフォルトポリシー内の 1 つ以上のルールのデフォルト状態を変更する場合があります。ルール更新での基本ポリシーの更新を許可すると、ポリシーの作成時に使用されたデフォルトポリシー（または基礎となるデフォルトポリシー）のデフォルト状態が変更されたときの、そのポリシー内のルールのデフォルト状態の変更も許可することになります。ただし、ルール状態を変更している場合は、ルール更新でその変更が上書きされないことに注意してください。

1 つ以上のルールのルール状態を変更する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

このページには、有効なルールの総数、[Generate Events] に設定された有効なルールの総数、および [Drop and Generate Events] に設定された有効なルールの総数が表示されることに注意してください。また、パッシブ展開では、[Drop and Generate Events] に設定されたルールで行われるのはイベントの生成だけです。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。

ステップ 4

ルール状態を設定するルールを探します。次の選択肢があります。

現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。
左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。

ページが更新され、一致するすべてのルールが表示されます。

ステップ 5

ルール状態を設定する 1 つ以上のルールを選択します。次の選択肢があります。

特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。
現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。

ステップ 6

次の選択肢があります。

トラフィックが選択されたルールと一致したときにイベントを生成するには、[Rule State] > [Generate Events] の順に選択します。
インライン展開でトラフィックが選択されたルールと一致したときにイベントを生成し、そのトラフィックをドロップするには、[Rule State] > [Drop and Generate Events] の順に選択します。 >
選択されたルールと一致するトラフィックを検査しないようにするには、[Rule State] > [Disable] の順に選択します。

（注）

シスコでは、侵入ポリシー内のすべての侵入ルールを有効にしないことを強く推奨しています。すべてのルールが有効になっている場合は、デバイスのパフォーマンスが低下する可能性があります。代わりに、できるだけネットワーク環境に合わせてルールセットを調整してください。

ステップ 7

ポリシーの保存、編集の継続、変更の破棄、またはシステムキャッシュに変更を残したままの終了を実行します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

ポリシー単位の侵入イベント通知のフィルタ処理

ライセンス：Protection

侵入イベントの重要度は、発生頻度、送信元 IP アドレス、または宛先 IP アドレスに基づいて設定できます。イベントが特定の回数発生するまで注意が必要ない場合もあります。たとえば、何者かがサーバにログインしようとしても、特定の回数失敗するまで、気にする必要はありません。一方、ほんの少数の発生を見れば、広範な問題があることを理解できる場合もあります。たとえば、Web サーバに対して DoS 攻撃が行われた場合は、少数の侵入イベントの発生を確認しただけで、その状況に対処しなければならないことが分かります。同じイベントが何百回も確認されれば、システムの機能が麻痺します。

イベントしきい値の設定

ライセンス：Protection

指定された期間内にイベントが生成された回数に基づいて、システムが侵入イベントを記録して表示する回数を制限するための個別のルールのしきい値を侵入ポリシー単位で設定できます。これにより、大量の同じイベントが原因で機能が麻痺するのを避けることができます。共有オブジェクトのルール、標準テキストルール、またはプリプロセッサルールごとにしきい値を設定できます。

イベントしきい値の設定について

ライセンス：Protection

まず、しきい値タイプを指定する必要があります。次の表に示すオプションの中から選択できます。

表 6. しきい値設定オプション
オプション	説明
Limit	指定された数のパケット（カウント引数によって指定される）が、指定された期間内にルールをトリガーとして使用した場合に、イベントを記録して表示します。たとえば、タイプを [Limit] に、[Count] を 10 に、[Seconds] を 60 に設定し、14 個のパケットがルールをトリガーする場合、システムはその 1 分間に発生した最初の 10 個を表示して、イベントの記録を停止します。
Threshold	指定された数のパケット（カウント引数によって指定される）が、指定された期間内にルールをトリガーとして使用した場合に、1 つのイベントを記録して表示します。イベントのしきい値カウントに達し、システムがそのイベントを記録した後、時間のカウンタは再び開始されることに注意してください。たとえば、タイプを [Threshold] に、[Count] を 10 に、[Seconds] を 60 に設定して、ルールが 33 秒間で 10 回トリガーされたとします。システムは、1 個のイベントを生成してから、[Seconds] と [Count] のカウンタをリセットします。次の 25 秒間にルールがさらに 10 回トリガーされたとします。33 秒でカウンタが 0 にリセットされたため、システムが別のイベントを記録します。
Both	指定された数（カウント）のパケットがルールをトリガーとして使用した後で、指定された期間ごとに 1 回イベントを記録して表示します。たとえば、タイプを [Both] に、[Count] を 2 に、[Seconds] を 10 に設定した場合、イベント数は以下のようになります。ルールが 10 秒間に 1 回トリガーされた場合、システムはイベントを生成しません（しきい値が満たされていない）。ルールが 10 秒間に 2 回トリガーされた場合、システムは 1 つのイベントを生成します（ルールが 2 回トリガーとして使用した場合、しきい値が満たされるため）。ルールが 10 秒間に 4 回トリガーされた場合、システムは 1 つのイベントを生成します（ルールが 2 回目にトリガーとして使用されたときにしきい値に達し、それ以降のイベントは無視される）。

次に、トラッキングを指定する必要があります。これにより、イベントしきい値を送信元 IP アドレスごとに計算するか、宛先 IP アドレスごとに計算するか決まります。次の表の中から、システムがイベントインスタンスを追跡する方法を指定するためのオプションの 1 つを選択します。

表 7. IP しきい値設定オプション
オプション	説明
Source	送信元 IP アドレス単位でイベントインスタンスカウントを計算します。
Destination	宛先 IP アドレス単位でイベントインスタンスカウントを計算します。

最後に、しきい値を定義するインスタンスの数と期間を指定します。

表 8. インスタンス/時間のしきい値設定オプション
オプション	説明
Count	しきい値を満たすために必要な、追跡する IP アドレス単位で指定された期間単位のイベントインスタンスの数。
Seconds	カウントがリセットされるまでの秒数。しきい値タイプを [limit] に、トラッキングを [Source IP] に、[count] を 10 に、[seconds] を 10 に設定した場合、システムは指定された送信元ポートから 10 秒間に発生した最初の 10 個のイベントを記録して表示します。最初の 10 秒間に 7 つのイベントしか発生しなかった場合は、システムがそれらのイベントを記録して表示します。最初の 10 秒間に 40 のイベントが発生した場合は、システムが 10 のイベントを記録して表示してから 10 秒後にカウントを再開します。

侵入イベントのしきい値設定は、単独で使用することも、レートベースの攻撃防御、detection_filter キーワード、および侵入イベント抑制のいずれかと組み合わせて使用することもできることに注意してください。詳細については、動的ルール状態の追加および侵入ポリシーごとの抑制の設定を参照してください。

侵入イベントしきい値の追加と変更

ライセンス：Protection

1 つ以上の特定のルールのしきい値を設定できます。既存のしきい値設定を個別にまたは同時に変更することもできます。それぞれに 1 つずつのしきい値を設定できます。しきい値を追加すると、ルールの既存のしきい値が上書きされます。

しきい値設定の表示方法と削除方法については、侵入イベントしきい値の表示と削除を参照してください。

また、すべてのルールとプリプロセッサ生成イベントにデフォルトで適用されるグローバルしきい値を変更することもできます。詳細については、侵入イベントの記録の制限を参照してください。

イベントしきい値を追加または変更する方法：

手順

ステップ 1	[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。 [Intrusion Policy] ページが表示されます。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。 [Policy Information] ページが表示されます。
ステップ 3	[Rules] をクリックします。 [Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。
ステップ 4	しきい値を設定するルールを探します。次の選択肢があります。現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。ページが更新され、一致するすべてのルールが表示されます。
ステップ 5	しきい値を設定する 1 つまたは複数のルールを選択します。次の選択肢があります。特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。
ステップ 6	[Event Filtering] > [Threshold] の順に選択します。 [thresholding] ポップアップウィンドウが表示されます。
ステップ 7	[Type] ドロップダウンリストから、設定するしきい値のタイプを選択します。指定された期間あたりのイベントインスタンス数に通知を制限する場合は、[Limit] を選択します。指定された期間あたりのイベントインスタンス数ごとに通知を提供する場合は、[Threshold] を選択します。指定されたイベントインスタンス数後に期間あたり 1 回ずつ通知を提供する場合は、[Both] を選択します。
ステップ 8	[Track By] ドロップダウンリストから、イベントインスタンスが送信元 IP アドレスまたは宛先 IP アドレスのどちらによって追跡されるかを選択します。
ステップ 9	[Count] フィールドで、しきい値として使用するイベントインスタンスの数を指定します。
ステップ 10	[Seconds] フィールドで、イベントインスタンスを追跡する期間を表す秒数を指定します。
ステップ 11	[OK] をクリックします。しきい値が追加され、[Event Filtering] カラムのルールの横にイベントフィルタアイコン（）が表示されます。ルールに複数のイベントフィルタを追加した場合は、アイコン上の数字がイベントフィルタの数を示します。
ステップ 12	ポリシーの保存、編集の継続、変更の破棄、またはシステムキャッシュに変更を残したままの終了を実行します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

侵入イベントしきい値の表示と削除

ライセンス：Protection

既存のしきい値設定を表示または削除することができます。[Rules Details] ビューを使用してしきい値の既存の設定を表示することによって、それらがシステムに適切かどうかを確認できます。そうでない場合は、新しいしきい値を追加して既存の値を上書きすることができます。

すべてのルールとプリプロセッサ生成イベントにデフォルトで適用されるグローバルしきい値を変更することもできることに注意してください。詳細については、侵入イベントの記録の制限を参照してください。

しきい値を表示または削除する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。

ステップ 4

表示または削除する、しきい値が設定されたルールを探します。次の選択肢があります。

現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。
左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。

ページが更新され、一致するすべてのルールが表示されます。

ステップ 5

表示または削除する、しきい値が設定された 1 つまたは複数のルールを選択します。次の選択肢があります。

特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。
現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。

ステップ 6

選択したルールのしきい値を削除するには、[Event Filtering] > [Remove Thresholds] の順に選択します。表示される確認のポップアップウィンドウで [OK] をクリックします。

ヒント

特定のしきい値を削除するために、ルールを強調表示して、[Show Details] をクリックすることもできます。しきい値設定を展開して、削除するしきい値設定の横にある [Delete] をクリックします。[OK] をクリックして、設定の削除を確認します。

ページが更新され、しきい値が削除されます。

ステップ 7

侵入ポリシーごとの抑制の設定

ライセンス：Protection

特定の IP アドレスまたは IP アドレスの範囲が特定のルールまたはプリプロセッサをトリガーしたときの侵入イベント通知を抑制できます。これは、誤検出を回避するのに役立ちます。たとえば、ユーザのメールサーバが特定のエクスプロイトのように見えるパケットを送信している場合、そのメールサーバによってイベントがトリガーされたされたときに、そのイベントに関する通知を抑制できます。ルールはすべてのパケットに対してトリガーとして使用されますが、本物の攻撃に対するイベントだけが表示されます。

侵入イベント抑制は、単独で使用することも、レートベースの攻撃防御、detection_filter キーワード、および侵入イベントしきい値のいずれかと組み合わせて使用することもできることに注意してください。詳細については、動的ルール状態の追加およびイベントしきい値の設定を参照してください。

侵入イベントの抑制

ライセンス：Protection

ルールに関する侵入イベント通知を抑制できます。ルールに関する通知が抑制されると、ルールはトリガーとして使用されますが、イベントは生成されません。ルールの 1 つまたは複数の抑制を設定できます。リスト内の最初の抑制に最も高いプライオリティが割り当てられます。2 つの抑制が競合している場合は、最初の抑制のアクションが実行されることに注意してください。

イベント表示を抑制する方法：

手順

ステップ 1	[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。 [Intrusion Policy] ページが表示されます。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。 [Policy Information] ページが表示されます。
ステップ 3	[Rules] をクリックします。 [Rules] ページが表示されます。デフォルトで、このページにはルールがメッセージのアルファベット順に表示されます。
ステップ 4	抑制を設定するルールを探します。次の選択肢があります。現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。ページが更新され、一致するすべてのルールが表示されます。
ステップ 5	抑制条件を設定する 1 つまたは複数のルールを選択します。次の選択肢があります。特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。
ステップ 6	[Event Filtering] > [Suppression] の順に選択します。 [suppression] ポップアップウィンドウが表示されます。
ステップ 7	次の [Suppression Type] オプションのいずれかを選択します。選択したルールのイベントを完全に抑制する場合は、[Rule] を選択します。指定した送信元 IP アドレスから送信されるパケットによって生成されるイベントを抑制する場合は、[Source] を選択します。指定した宛先 IP アドレスに送信されるパケットによって生成されるイベントを抑制する場合は、[Destination] を選択します。
ステップ 8	抑制タイプとして [Source] または [Destination] を選択した場合は、[Network] フィールドに、IP アドレス、アドレスブロック、または送信元 IP アドレスまたは宛先 IP アドレスとして指定する変数、あるいは、これらの任意の組み合わせで構成されたカンマ区切りのリストを入力します。
ステップ 9	[OK] をクリックします。抑制条件が追加され、抑制するルールの横にある [Event Filtering] カラムのルールの横にイベントフィルタアイコン（）が表示されます。ルールに複数のイベントフィルタを追加した場合は、アイコン上の数字がイベントフィルタの数を示します。
ステップ 10	ポリシーの保存、編集の継続、変更の破棄、またはシステムキャッシュに変更を残したままの終了を実行します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

抑制条件の表示と削除

ライセンス：Protection

既存の抑制条件を表示または削除することもできます。たとえば、メールサーバが悪用のように見えるパケットを普段から送信しているという理由で、そのメールサーバの IP アドレスから送信されたパケットに関するイベント通知を抑制できます。その後、そのメールサーバが使用停止になり、その IP アドレスが別のホストに再割り当てされたら、その送信元 IP アドレスの抑制条件を削除する必要があります。

定義された抑制条件を表示または削除する方法：

手順

ステップ 1	[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。 [Intrusion Policy] ページが表示されます。
ステップ 2	編集するポリシーの横にある編集アイコン（）をクリックします。別のポリシーに未保存の変更がある場合は、[OK] をクリックしてそれらの変更を破棄し、処理を続行します。別のポリシーでの未保存の変更の保存方法については、競合の解決とポリシー変更の確定を参照してください。 [Policy Information] ページが表示されます。
ステップ 3	[Rules] をクリックします。 [Rules] ページが表示されます。デフォルトで、ページにはルールがメッセージのアルファベット順に一覧表示されます。
ステップ 4	抑制を表示または削除するルールを探します。次の選択肢があります。現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定トピックを参照してください。ページが更新され、一致するすべてのルールが表示されます。
ステップ 5	抑制を表示または削除する 1 つまたは複数のルールを選択します。次の選択肢があります。特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。
ステップ 6	次の 2 つのオプションから選択できます。ルールのすべての抑制を削除するには、[Event Filtering] > [Remove Suppressions] の順に選択します。表示される確認のポップアップウィンドウで [OK] をクリックします。特定の抑制設定を削除するには、ルールを強調表示して、[Show Details] をクリックします。抑制設定を展開して、削除する抑制設定の横にある [Delete] をクリックします。[OK] をクリックして、選択した設定の削除を確認します。ページが更新され、抑制設定が削除されます。
ステップ 7	ポリシーを保存する、編集を継続する、変更を破棄する、またはシステムキャッシュに変更を残したまま終了します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

動的ルール状態の追加

ライセンス：Protection

レートベースの攻撃は、ネットワークまたはホストに過剰なトラフィックを送信することによって、低速化または正規の要求の拒否を引き起こし、ネットワークまたはホストを混乱させようとします。レートベースの防御を使用して、特定のルールの過剰なルール一致に対応してルールアクションを変更することができます。

動的ルール状態について

ライセンス：Protection

一定期間に多すぎる数のルールの一致が発生した時点を検出するレートベースのフィルタを含めるように侵入ポリシーを設定できます。インライン展開されたデバイス上でこの機能を使用して、指定された時刻のレートベースの攻撃をブロックしてから、ルール一致がイベントを生成するだけでトラフィックをドロップしないルール状態に戻すことができます。

レートベースの攻撃防御は、異常なトラフィックパターンを識別し、正規の要求に対するそのトラフィックの影響を最小限に抑えようとします。特定の宛先 IP アドレスに送信されるトラフィックまたは特定の送信元 IP アドレスから送信されるトラフィックの過剰なルール一致を識別できます。また、検出されたすべてのトラフィックを通して特定のルールの過剰な一致に対処することもできます。

侵入ポリシーでは、侵入ルールまたはプリプロセッサルールのレートベースのフィルタを設定できます。レートベースのフィルタは次の 3 つの要素で構成されます。

特定の秒数以内のルール一致のカウントとして設定されるルール一致率
レートを超えた時点で実行される新しいアクション（Generate Events、Drop and Generate Events、および Disable の 3 種類がある）
タイムアウト値として設定されるアクションの継続期間

新しいアクションは、開始されると、レートがその期間内に設定されたレートを下回っても、タイムアウトに達するまで継続されることに注意してください。タイムアウトに達したときに、レートがしきい値を下回っている場合は、ルールのアクションが初期設定に戻ります。

インライン展開のレートベースの攻撃防御は、攻撃を一時的または永続的にブロックするように設定できます。レートベースの設定を使用しない場合、[Generate Events] に設定されたルールはイベントを生成しますが、システムはそのようなルールに関するパケットをドロップしません。ただし、攻撃トラフィックが、レートベースの基準が設定されたルールと一致した場合は、そのようなルールが最初から [Drop and Generate Events] に設定されていなかったとしても、レートアクションがアクティブな期間にパケットのドロップが実行されます。

（注）

レートベースのアクションは、無効なルールを有効にしたり、無効なルールと一致したトラフィックをドロップしたりできません。

同じルールに対して複数のレートベースのフィルタを定義できます。侵入ポリシーに列挙された最初のフィルタに最も高い優先度が割り当てられます。2 つのレートベースのフィルタアクションが競合している場合は、最初のレートベースのフィルタのアクションが実行されることに注意してください。

次の図は、攻撃者がホストにアクセスしようとしている例を示しています。繰り返しパスワードを特定しようとする試みが、レートベースの攻撃防御が設定されたルールをトリガーします。レートベースの設定は、ルール一致が 10 秒間に 5 回発生した時点で、ルール属性を [Drop and Generate Events] に変更します。新しいルール属性は 15 秒後にタイムアウトします。

タイムアウト後も、そのパケットは後続のレートベースのサンプリング期間にドロップされることに注意してください。サンプリングレートが現在または過去のサンプリング期間のしきい値を上回っている場合は、新しいアクションが継続されます。新しいアクションは、サンプリングレートがしきい値レートを下回るサンプリング期間の終了後にのみ、[Generate Events] に戻ります。

動的ルール状態の設定

ライセンス：Protection

ルールと一致したすべてのパケットをドロップするのではなく、指定された期間に特定の一致率に達した場合にルールと一致したパケットをドロップするために、ルールを [Drop and Generate Events] 状態に設定しない場合があります。動的ルール状態を使用すれば、ルールのアクションの変更をトリガーするレート、あるレートに達したときに変更すべきアクション、および新しいアクションの継続時間を設定できます。

アクションの変更をトリガーする特定のヒット数に対して、必要なカウントと期間（秒数）を指定することによって、そのルールのヒット数を設定します。加えて、タイムアウトが発生したらアクションをルールの以前の状態に戻すタイムアウトを設定できます。

同じルールに対して複数の動的状態フィルタを定義できます。侵入ポリシー内のルール詳細に列挙された最初のフィルタに最も高い優先度が割り当てられます。2 つのレートベースのフィルタアクションが競合している場合は、最初のレートベースのフィルタのアクションが実行されることに注意してください。

無効な値を入力するとフィールドに復元アイコンが表示されることに注意してください。そのアイコンをクリックすると、そのフィールドの最後の有効値に戻るか、以前の値が存在しない場合はフィールドが空になります。

（注）

動的ルール状態は、無効なルールを有効にしたり、無効なルールと一致したトラフィックをドロップしたりできません。

動的ルール状態を追加する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。

ステップ 4

動的ルール状態を追加するルールを探します。次の選択肢があります。

現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。
左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。

ページが更新され、一致するすべてのルールが表示されます。

ステップ 5

動的ルール状態を追加する 1 つまたは複数のルールを選択します。次の選択肢があります。

特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。
現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。

ステップ 6

[Dynamic State] > [Add Rate-Based Rule State] の順に選択します。

[Add Rate-Based Rule State] ダイアログボックスが表示されます。

ステップ 7

[Track By] ドロップダウンリストから、ルール一致の追跡方法を選択します。

特定の送信元または送信元のセットからのそのルールのヒット数を追跡する場合は、[Source] を選択します。
特定の宛先または宛先のセットへのそのルールのヒット数を追跡する場合は、[Destination] を選択します。
そのルールのすべての一致を追跡する場合は、[ルール（Rule）] を選択します。

ステップ 8

[Track By] を [Source] または [Destination] に設定した場合は、[Network] フィールドに追跡する各ホストのアドレスを入力します。

単一の IP アドレス、アドレスブロック、変数、またはこれらの任意の組み合わせで構成されたカンマ区切りのリストを指定できます。

ステップ 9

[Rate] の隣で、攻撃レートを設定する期間あたりのルール一致の数を指定します。

[Count] フィールドで、1 ～ 2147483647 の整数を使用して、しきい値として使用するルール一致の数を指定します。
[Seconds] フィールドで、1 ～ 2147483647 の整数を使用して、攻撃を追跡する期間を表す秒数を指定します。

ステップ 10

[New State] ドロップダウンリストから、条件を満たしたときに実行される新しいアクションを指定します。

イベントを生成する場合は、[Generate Events] を選択します。
インライン展開でイベントを生成し、イベントをトリガーしたパケットをドロップする場合、または、パッシブ展開でイベントを生成する場合は、[Drop and Generate Events] を選択します。
アクションを実行しない場合は、[Disabled] を選択します。

ステップ 11

[Timeout] フィールドに、新しいアクションを有効にしておく秒数を入力します。タイムアウトが発生すると、ルールが元の状態に戻ります。新しいアクションのタイムアウトを阻止する場合は、[0] を指定するか、[Timeout] フィールドを空白のままにします。

ステップ 12

[OK] をクリックします。

動的ルール状態が追加され、[Dynamic State] カラムのルールの横に動的状態アイコン（）が表示されます。ルールに複数の動的ルール状態フィルタを追加した場合は、アイコン上の数字がフィルタの数を示します。

必須フィールドを空白にした場合は、フィールドに値を入力する必要があることを伝えるエラーメッセージが表示されます。

ヒント

一連のルールからすべての動的ルール設定を削除するには、[Rules] ページでルールを選択してから、[Dynamic State] > [Remove Rate-Based States] の順に選択します。また、ルールのルール詳細から個別のレートベースのルール状態フィルタを削除するには、ルールを選択して、[Show Details] をクリックしてから、削除するレートベースのフィルタのそばにある [Delete] をクリックします。

ステップ 13

ポリシーを保存する、編集を継続する、変更を破棄する、またはシステムキャッシュに変更を残したまま終了します。

詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

SNMP アラートの追加

ライセンス：Protection

ASA FirePOWER モジュールの SNMP アラートを設定する場合は、ルールがイベントを生成したときに SNMP アラートを表示する特定のルールを設定できます。詳細については、「SNMP 応答の使用」を参照してください。

SNMP アラートを設定する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。

ステップ 4

SNMP アラートを設定するルールを探します。次の選択肢があります。

現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。
左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。

ページが更新され、一致するすべてのルールが表示されます。

ステップ 5

SNMP アラートを設定する 1 つまたは複数のルールを選択します。

特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。
現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。

ステップ 6

[Alerting] > [Add SNMP Alert] の順に選択します。

アラートが追加され、[Alerting] カラムのルールの横にアラートアイコンが表示されます。ルールに複数のアラートタイプを追加した場合は、アイコン上の数字がアラートタイプの数を示します。

ヒント

ルールから SNMP アラートを削除するには、そのルールの横にあるチェックボックスをクリックして、[Alerting] > [Remove SNMP Alerts] の順に選択し、[OK] をクリックして削除を確認します。

ステップ 7

ポリシーを保存する、編集を継続する、変更を破棄する、またはシステムキャッシュに変更を残したまま終了します。詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

ルールコメントの追加

ライセンス：Protection

ルールにコメントを追加することができます。追加したコメントは、[Rules] ページ上の [Rule Details] ビューで確認できます。

コメントを含む侵入ポリシーの変更をコミットしてから、ルールの [Edit] ページで [Rule Comment] をクリックしてコメントを表示することもできます。

コメントをルールに追加する方法：

手順

ステップ 1

[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Intrusion Policy] の順に選択します。

[Intrusion Policy] ページが表示されます。

ステップ 2

編集するポリシーの横にある編集アイコン（）をクリックします。

[Policy Information] ページが表示されます。

ステップ 3

[Rules] をクリックします。

[Rules] ページが表示されます。

ステップ 4

コメントを追加するルールを探します。次の選択肢があります。

現在の画面をソートするには、カラム見出しまたはアイコンをクリックします。ソートを反転させるには、再度クリックします。
左側のフィルタパネルでキーワードまたは引数をクリックしてフィルタを構築します。詳細については、侵入ポリシー内のルールフィルタ処理についておよび侵入ポリシー内のルールフィルタの設定を参照してください。

ページが更新され、一致するすべてのルールが表示されます。

ステップ 5

コメントを追加する 1 つまたは複数のルールを選択します。

特定のルールを選択するには、そのルールの横にあるチェックボックスをオンにします。
現在のリスト内のすべてのルールを選択するには、カラムの一番上にあるチェックボックスをオンにします。

ステップ 6

[Comments] > [Add Rule Comment] の順に選択します。

[Add Comment] ダイアログボックスが表示されます。

ステップ 7

[Comment] フィールドに、ルールに関するコメントを入力します。

ステップ 8

[OK] をクリックします。

ヒント

ルールのコメントを削除するには、そのルールを強調表示して [Show Details] をクリックし、[Comments] セクションで [Delete] をクリックします。侵入ポリシーの変更がコミットされずにコメントがキャッシュされている場合にだけ、コメントを削除できることに注意してください。侵入ポリシーの変更がコミットされた後は、ルールコメントを削除できなくなります。

ステップ 9

ポリシーの保存、編集の継続、変更の破棄、またはシステムキャッシュに変更を残したままの終了を実行します。

詳細については、侵入ポリシーの管理および侵入ポリシーの編集を参照してください。

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定 ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ルールを使用した侵入ポリシーの調整

ルールを使用した侵入ポリシーの調整

侵入防御ルール タイプについて

侵入ポリシー内のルールの表示

手順

ルール画面のソート

手順

ルール詳細の表示

手順

ルールのしきい値の設定

手順

ルールの抑制の設定

手順

ルールの動的ルール状態の設定

手順

ルールの SNMP アラートの設定

手順

ルールに関するルール コメントの追加

手順

侵入ポリシー内のルールのフィルタ処理

侵入ポリシー内のルール フィルタ処理について

侵入ポリシー ルール フィルタを作成するためのガイドライン

ルール構成フィルタについて

手順

ルール コンテンツ フィルタについて

ルール カテゴリについて

ルール フィルタの直接編集

侵入ポリシー内のルール フィルタの設定

手順

ルール状態の設定

手順

ポリシー単位の侵入イベント通知のフィルタ処理

イベントしきい値の設定

イベントしきい値の設定について

侵入イベントしきい値の追加と変更

手順

侵入イベントしきい値の表示と削除

手順

侵入ポリシーごとの抑制の設定

侵入イベントの抑制

手順

抑制条件の表示と削除

手順

動的ルール状態の追加

動的ルール状態について

動的ルール状態の設定

手順

SNMP アラートの追加

手順

ルール コメントの追加

手順

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco ASA with FirePOWER Services バージョン 6.3 ローカル管理設定ガイド

章のタイトル：ルールを使用した侵入ポリシーの調整

侵入防御ルールタイプについて

ルールに関するルールコメントの追加

侵入ポリシー内のルールフィルタ処理について

侵入ポリシールールフィルタを作成するためのガイドライン

ルールコンテンツフィルタについて

ルールカテゴリについて

ルールフィルタの直接編集

侵入ポリシー内のルールフィルタの設定

ルールコメントの追加