新しいシグニチャ パッケージ更新後の IPS シグニチャの動作変更を確認する方法

概要

このドキュメントでは、Cisco Intrusion Prevention System(IPS)を新しいシグニチャパッケージに更新した後に、新しいシグニチャによって導入された動作変更について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• IPSのシグニチャ更新機能

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• IPS 4XXXシリーズセンサー
• ASA 5585-X IPS SSPシリーズ
• ASA 5500-X IPS SSPシリーズ
• ASA 5500 IPS SSMシリーズ

バージョン7.1(10)E4

バージョン7.3(4)E4

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

問題

IPSでシグニチャのアップデートを実行した後に、特定のアプリケーションでパケットがドロップしたり接続したりといった複数の問題が発生する可能性があります。このような問題をトラブルシューティングするには、シグニチャのアップデート後にアクティブなシグニチャセットの変更を理解しておくと役立ちます。

解決方法

ステップ 1：

最初に確認する必要があるのは、シグニチャのアップグレード履歴です。これは、IPSで実行されていた以前のシグニチャパックと、現在のバージョンのシグニチャパックを示します。

これは、コマンドshow versionの出力またはshow techのアップグレード履歴セクションから確認できます。次に同じスニペットを示します。

アップグレード履歴

* IPS-sig-S733-req-E4 19:59:50 UTC Fri 2015年8月9日 

  IPS-sig-S734-req-E4.pkg 19:59:49 UTC Tue 2015年8月13日

これで、IPSで実行されていた以前のシグニチャパックがs733で、現在のシグニチャパックであるs734にアップグレードされたことが分かります。

ステップ 2：

2番目のステップは、IME/IDMで確認できる変更を理解することです。

1. IME/IDMの[Active Signature]タブを次の図に示します。

    [Configuration] > [Policies] > [Signature Definitions] > [Sig1] > [Active Signatures]に移動します。

2.この図は、特定のシグニチャリリースの選択方法を示しています。

    [Configuration] > [Policies] > [Signature Definitions] > [Sig1] > [Releases]に移動します。

特定のリリースからすべてのシグニチャを取得したフィルタオプションを使用すると、エンジン、忠実度、重大度などに基づいてフィルタできます。

これを行うことで、トラブルシューティングを調整する方法に基づいて、問題の潜在的な原因となるシグニチャリリースの変更を絞り込むことができます。