Snort 3 侵入ポリシーを開始するには

この章では、侵入検知と防御のための Snort 3 侵入ポリシーとアクセス制御ルール設定の管理について説明します。

侵入ポリシーの概要

侵入ポリシーは定義済みの侵入検知のセットであり、セキュリティ違反についてトラフィックを検査し、インライン展開の場合は、悪意のあるトラフィックをブロックまたは変更することができます。侵入ポリシーは、アクセス コントロール ポリシーによって呼び出され、システムの最終防御ラインとして、トラフィックが宛先に到達することを許可するかどうかを判定します。

各侵入ポリシーの中核となるのは、侵入ルールです。ルールを有効にすると、ルールに一致するトラフィックに対して侵入イベントが生成されます(さらに、必要に応じてトラフィックがブロックされます)。ルールを無効にすると、ルールの処理が停止されます。

システムによって提供されるいくつかの基本侵入ポリシーにより、Cisco Talos Intelligence Group(Talos)の経験を活用できます。これらのポリシーでは、Talos が侵入ルールとインスペクタルールの状態(有効または無効)を設定し、他の詳細設定の初期設定も行います。


ヒント

システム提供の侵入ポリシーとネットワーク分析ポリシーには同じような名前が付けられていますが、異なる設定が含まれています。たとえば、「Balanced Security and Connectivity」ネットワーク分析ポリシーと「Balanced Security and Connectivity」侵入ポリシーは連携して動作し、どちらも侵入ルールのアップデートで更新できます。ただし、ネットワーク分析ポリシーは主に前処理オプションを管理し、侵入ポリシーは主に侵入ルールを管理します。

カスタム侵入ポリシーを作成すると、以下を実行できます。

  • ルールを有効化/無効化することに加え、独自のルールを作成して追加し、検出を調整する。

  • ネットワーク上で検出されたオペレーティングシステム、サーバー、およびクライアント アプリケーション プロトコルをそれらの資産を保護するために明確に書き込まれたルールに関連付けるには、Secure Firewall の推奨事項を使用します。

侵入ポリシーは一致するパケットをドロップして、侵入イベントを生成できます。侵入またはプリプロセッサのドロップルールを設定するには、その状態を [ブロック(Block)] に設定します。

留意事項として、侵入ポリシーを調整する場合(特にルールを有効化して追加する場合)、一部の侵入ルールでは、最初に特定の方法でトラフィックをデコードまたは前処理する必要があります。侵入ポリシーによって検査される前に、パケットはネットワーク分析ポリシーの設定に従って前処理されます。必要なインスペクタを無効にすると、システムは自動的に現在の設定でインスペクタを使用します。ただし、ネットワーク分析ポリシーの Web インターフェイスではインスペクタは無効のままになります。


注意    

前処理と侵入インスペクションは非常に密接に関連しているため、単一パケットを検査するネットワーク分析ポリシーと侵入ポリシーは、相互補完する必要があります。前処理の調整、特に複数のカスタム ネットワーク分析ポリシーを使用して調整することは、高度なタスクです。

カスタム侵入ポリシーを設定した後、それを 1 つ以上のアクセス コントロール ルールまたはアクセス コントロール ポリシーのデフォルト アクションに関連付けることによって、カスタム侵入ポリシーをアクセス コントロール設定の一部として使用できます。これによって、システムは、最終宛先に渡す前に、特定の許可されたトラフィックを侵入ポリシーによって検査します。変数セットを侵入ポリシーと組み合わて使用することにより、ホーム ネットワークと外部ネットワークに加えて、必要に応じてネットワーク上のサーバを正確に反映させることができます。

デフォルトでは、暗号化ペイロードの侵入インスペクションは無効化されます。これにより、侵入インスペクションが設定されているアクセス コントロール ルールと暗号化された接続を照合する際の誤検出が減少し、パフォーマンスが向上します。

追加のサポートと情報については、「Snort 3 侵入ポリシーの概要」ビデオを参照してください。

ネットワーク分析と侵入ポリシーの前提条件

Snort 検査エンジンが侵入およびマルウェア分析のトラフィックを処理できるようにするには、Threat Defense デバイスに対して IPS ライセンスを有効にする必要があります。

ネットワーク分析、侵入ポリシーを管理し、移行タスクを実行するには、管理者ユーザーである必要があります。

カスタム Snort 3 侵入ポリシーの作成

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

[ポリシーの作成(Create Policy)] をクリックします。

ステップ 3

[名前(Name)] に一意の名前を入力し、オプションで [説明(Description)] を入力します。

ステップ 4

[検査モード(Inspection Mode)] を選択します。

選択したアクションによって、侵入ルールでブロックしてアラートを発生させるか(防御モード)、またはアラートを発生させるのみにするか(検出モード)が決まります。

(注)  

 

防御モードを選択する前に、多くの誤検出の原因となるルールを特定できるように、ブロックルールのみにアラートを発生させることができます。

ステップ 5

[ベースポリシー(Base Policy)] を選択します。

システム提供のポリシーまたは既存のポリシーをベースポリシーとして使用できます。

ステップ 6

[保存(Save)] をクリックします。

新しいポリシーにはベースポリシーと同じ設定項目が含まれています。

次のタスク

ポリシーをカスタマイズするには、Snort 3 侵入ポリシーの編集を参照してください。

Snort 3 侵入ポリシーの編集

Snort 3 ポリシーを編集している間、すべての変更は即座に保存されます。変更を保存するための追加のアクションは必要ありません。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

ルールアクションのロギング

Management Center 7.2.0 以降、[侵入イベント(Intrusion Events)] ページの [インライン結果(Inline Result)] 列のイベントには、ルールに適用された IPS アクションと同じ名前が表示されるため、ルールに一致するトラフィックに適用されたアクションを確認できます。

IPS アクションについて、次の表に、[侵入イベント(Intrusion Events)] ページの [インライン結果(Inline Result)] 列と、[統合されたイベント(Unified Events)] ページの [侵入イベントタイプ(Intrusion Event Type)] の [アクション(Action)] 列に表示されるイベントを示します。

IPS アクション(Snort 3)

インライン結果 - Management Center 7.1.0 以前

インライン結果 - Management Center 7.2.0 以降

アラート(Alert)

成功(Pass)

アラート(Alert)

ブロック(Block)

Dropped/Would Have Dropped/Partially Dropped

Block/Would Block/Partial Block

削除(Drop)

Dropped/Would have dropped

Drop/Would drop

拒否(Reject)

Dropped/Would have dropped

Reject/Would reject

書き換え(Rewrite)

許可(Allow)

書き換え(Rewrite)

重要

  • [置換(Replace)] オプションのないルールの場合、書き換えアクションは「Would Rewrite」と表示されます。

  • また、[置換(Replace)] オプションが指定されているが、IPS ポリシーが検出モードであるか、デバイスがインライン TAP/パッシブモードである場合に、書き換えアクションは「Would Rewrite」と表示されます。


(注)  

後方互換性の場合(Management Center 7.2.0 が Threat Defense 7.1.0 デバイスを管理している)、言及されているイベントは、[成功(Pass)] がイベントの [アラート(Alert)] として表示されるアラート IPS アクションにのみ適用されます。他のすべてのアクションについては、Management Center 7.1.0 のイベントが適用されます。

侵入ポリシーのベースポリシーの変更

別のシステム提供のポリシーまたはカスタム ポリシーを基本ポリシーとして使用できます。

最大 5 つのカスタム ポリシーをチェーンすることができます。5 つのうちの 4 つのポリシーで事前に作成されたポリシーが基本ポリシーとして使用され、5 つ目のポリシーでシステムによって提供されたポリシーをベースとして使用する必要があります。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

設定する侵入ポリシーの横にある [編集(Edit)][編集(Edit)] アイコンをクリックします。

ステップ 3

[ベースポリシー(Base Policy)] ドロップダウンリストからポリシーを選択します。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

侵入ポリシーの管理

[侵入ポリシー(Intrusion Policy)] ページ([ポリシー(Policies)] > [侵入(Intrusion)])では、現在のカスタム侵入ポリシーとともに次の情報を表示できます。

  • トラフィックの検査に侵入ポリシーを使用しているアクセス コントロール ポリシーとデバイスの数

  • マルチドメイン展開では、ポリシーが作成されたドメイン

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[ポリシー(Policies)] > [侵入(Intrusion)] を選択します。

ステップ 2

侵入ポリシーを管理します。

  • 作成:[ポリシーの作成(Create Policy)] をクリックします。カスタム Snort 3 侵入ポリシーの作成を参照してください。

  • 削除:削除するポリシーの横にある をクリックします。別のユーザが保存していないポリシーの変更がある場合は、システムによって確認と通知のプロンプトが表示されます。[OK] をクリックして確認します。

    コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

  • 侵入ポリシーの詳細の編集:編集するポリシーの横にある [編集(Edit)]編集アイコン をクリックします。侵入ポリシーの [名前(Name)]、[検査モード(Inspection Mode)]、および [ベースポリシー(Base Policy)] を編集できます。

  • 侵入ポリシー設定の編集:[Snort 3 バージョン(Snort 3 Version)] をクリックします。Snort 3 侵入ポリシーの編集を参照してください。

  • エクスポート:侵入ポリシーをエクスポートして別の Management Center にインポートする場合は、[エクスポート(Export)] をクリックします。最新バージョンの『Cisco Secure Firewall Management Center Configuration Guide』の「Exporting Configurations」トピックを参照してください。

  • 展開:[展開(Deploy)] > [展開(Deployment)]を選択します。設定変更の展開を参照してください。

  • レポート:[レポート(Report)] をクリックします。最新バージョンの『Cisco Secure Firewall Management Center Configuration Guide』の「Generating Current Policy Reports」トピックを参照してください。ポリシーバージョンごとに 1 つずつ、2 つのレポートを生成します。

侵入防御を実行するためのアクセスコントロールルール設定

アクセス コントロール ポリシーは、複数のアクセス コントロール ルールを侵入ポリシーに関連付けることができます。侵入インスペクションを許可アクセス コントロール ルールまたはインタラクティブ ブロック アクセス コントロール ルールに設定でき、これによって、トラフィックが最終宛先に到達する前に、異なる侵入インスペクション プロファイルをネットワーク上のさまざまなタイプのトラフィックと照合できます。

システムは侵入ポリシーを使用してトラフィックを評価するたびに、関連する変数セット使用します。セット内の変数は、侵入ルールで一般的に使用される値を表し、送信元および宛先の IP アドレスおよびポートを識別します。侵入ポリシーにある変数を使用して、ルール抑制および動的ルール状態にある IP アドレスを表すこともできます。


ヒント

システム提供の侵入ポリシーを使用する場合であっても、正確にネットワーク環境を反映するためにシステムの侵入変数を設定することを強く推奨します。少なくとも、デフォルト セットにあるデフォルトの変数を変更します。

システムによって提供される侵入ポリシーとカスタム侵入ポリシーについて

システムには複数の侵入ポリシーが付属しています。システムによって提供される侵入ポリシーを使用することで、Cisco Talos インテリジェンスグループ(Talos)の経験を活用できます。これらのポリシーでは、Talos は侵入ルールとプリプロセッサルールの状態を設定し、詳細設定の初期設定も提供します。システムによって提供されるポリシーをそのまま使用するか、またはカスタム ポリシーのベースとして使用できます。カスタム ポリシーを作成すれば、環境内のシステムのパフォーマンスを向上させ、ネットワーク上で発生する悪意のあるトラフィックやポリシー違反に焦点を当てたビューを提供できます。

接続イベントおよび侵入イベントのロギング

アクセス制御ルールによって呼び出された侵入ポリシーが侵入を検出すると、侵入イベントを生成し、そのイベントを Management Center に保存します。また、システムはアクセス制御ルールのロギング設定に関係なく、侵入が発生した接続の終了も Management Center データベースに自動的にロギングします。

アクセス コントロール ルール設定と侵入ポリシー

1 つのアクセス コントロール ポリシーで使用可能な一意の侵入ポリシーの数は、ターゲット デバイスのモデルによって異なります。より強力なデバイスは、より多数のポリシーを処理できます。侵入ポリシーと変数セットの固有のペアはすべて、1 つのポリシーと見なされます。異なる侵入ポリシーと変数セットのペアをそれぞれの許可ルールおよびインタラクティブ ブロック ルール(およびデフォルト アクション)と関連付けることができますが、ターゲット デバイスが設定されたとおりに検査を実行するのに必要なリソースが不足している場合は、アクセス コントロール ポリシーを展開できません。

侵入防御を実行するアクセスコントロールルールの設定

このタスクを実行するには、管理者、アクセス管理者、またはネットワーク管理者である必要があります。

手順

ステップ 1

アクセス コントロール ポリシー エディタで新しいルールを作成するか、既存のルールを編集します。最新バージョンの『Cisco Secure Firewall Management Center Configuration Guide』の「Access Control Rule Components」を参照してください。

ステップ 2

ルール アクションが [許可(Allow)]、[インタラクティブ ブロック(Interactive Block)]、または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] に設定されていることを確認します。

ステップ 3

[検査(Inspection)] をクリックします。

ステップ 4

システムによって提供される侵入ポリシーまたはカスタムの侵入ポリシーを選択するか、あるいはアクセス コントロール ルールに一致するトラフィックに対する侵入検査を無効にするには [なし(None)] を選択します。

ステップ 5

侵入ポリシーに関連付けられた変数セットを変更するには、[変数セット(Variable Set)] ドロップダウン リストから値を選択します。

ステップ 6

[保存(Save)] をクリックしてルールを保存します。

ステップ 7

[保存(Save)] をクリックしてポリシーを保存します。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。