この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では Short 3 のカスタムルール、侵入ルールアクション、侵入ポリシー内の侵入イベント通知のフィルタ、Snort 2 カスタムルールの Snort 3 への変換、およびカスタムルールのあるルールグループの侵入ポリシーへの追加について説明します。
共有オブジェクトルール、標準テキストルール、およびインスペクタルールにはルールの状態などを設定できます。
ルールを有効にするには、ルールの状態を [アラート(Alert)] または [ブロック(Block)] に設定します。ルールを有効にすると、システムがそのルールと一致するトラフィックに対するイベントを生成します。ルールを無効にすると、ルールの処理が停止されます。また、[ブロック(Block)] に設定したルールが一致するトラフィック上でイベントを生成したり、ドロップするように侵入ポリシーを設定することもできます。
ルールのサブセットを表示するようにルールをフィルタ処理することによって、ルール状態やルール設定を変更するルールのセットを正確に選択できます。
侵入ルールまたはルールの引数がインスペクタの無効化を必要とする場合、ネットワーク分析ポリシーの Web インターフェイスではインスペクタが無効のままになりますが、システムは自動的に現在の設定でインスペクタを使用します。
侵入ルールとは、ネットワーク内の脆弱性を不正利用する試みを検出するためにシステムが使用する、指定されたキーワードと引数のセットのことです。システムはネットワーク トラフィックを分析する際に、パケットを各ルールに指定された条件に照らし合わせ、データ パケットがルールに指定されたすべての条件を満たす場合、そのルールをトリガーします。
侵入ポリシーには以下の構成要素があります。
侵入ルール。共有オブジェクト ルールと標準テキスト ルールに分割されます。
インスペクタルール。パケットデコーダの検出オプション、またはシステムに付属のインスペクタの 1 つに関連付けられます
次の表に、以上のルール タイプの属性を要約します。
|
タイプ |
ジェネレータ ID(GID) |
Snort ID(SID) |
ソース |
コピーの可否 |
編集の可否 |
|---|---|---|---|---|---|
|
共有オブジェクト ルール |
3 |
1000000 未満 |
Cisco Talos Intelligence Group(Talos) |
はい |
制限付き |
|
標準テキスト ルール |
1 (グローバル ドメインまたはレガシー GID) |
1000000 未満 |
Talos |
はい |
制限付き |
|
1000~2000 (子孫ドメイン) |
1000000 以上 |
ユーザが作成またはインポート |
はい |
はい |
|
|
プリプロセッサ ルール |
デコーダまたはプリプロセッサに固有 |
1000000 未満 |
Talos |
いいえ |
いいえ |
|
1000000 以上 |
オプション設定時にシステムにより生成 |
いいえ |
いいえ |
Talos によって作成されたルールへの変更は保存できませんが、変更したルールのコピーをカスタムルールとして保存することはできます。ルールで使用される変数またはルール ヘッダー情報(送信元と宛先のポートや IP アドレスなど)を変更できます。マルチドメイン展開では、Talos によって作成されるルールはグローバルドメインに属します。子孫ドメインの管理者は、ルールのローカル コピーを保存してから、ルールを編集できます。
Talos によって作成されるルールには、各デフォルト侵入ポリシー内でデフォルトのルール状態が割り当てられます。ほとんどのプリプロセッサ ルールがデフォルトで無効になっているため、システムにプリプロセッサ ルールに対するイベントの生成とインライン展開での違反パケットの破棄を行わせる場合は、これらのルールを有効にする必要があります。
Snort 検査エンジンが侵入およびマルウェア分析のトラフィックを処理できるようにするには、Threat Defense デバイスに対して IPS ライセンスを有効にする必要があります。
ネットワーク分析、侵入ポリシーを管理し、移行タスクを実行するには、管理者ユーザーである必要があります。
カスタム侵入ポリシーは、ローカルルールファイルをインポートすることによって作成できます。ルールファイルの拡張子は、.txt または .rules です。作成方法に関わらず、システムはカスタム ルールをローカル ルールに分類して保存します。カスタムルールはルールグループに属している必要があります。ただし、カスタムルールは複数のグループの一部になることもできます。
カスタム侵入ルールを作成すると、システムは一意のルール番号(番号の形式は GID:SID:Rev)を割り当てます。この番号には次の要素が含まれます。
GID:ジェネレータ ID。カスタムルールの場合、GID を指定する必要はありません。システムは、ルールのアップロード中にグローバルドメインまたはサブドメインのどちらにいるかに基づいて GID を自動的に生成します。標準テキスト ルールでは、グローバルドメインの値は 2000 です。
SID:Snort ID。ルールがシステム ルールのローカル ルールであるかどうかを示します。新しいルールを作成する場合は、一意の SID をルールに割り当てます。
ローカル ルールの SID 番号は 1000000 から始まり、新しいローカル ルールにつき番号が 1 ずつ増えます。
Rev:リビジョン番号。新しいルールのリビジョン番号は 1 です。カスタムルールを変更するたびに、リビジョン番号は 1 ずつ増える必要があります。
カスタム標準テキスト ルールでは、ルール ヘッダー設定、ルール キーワード、およびルール引数を設定できます。特定のプロトコルを使用する、特定の IP アドレスまたはポートを行き来するトラフィックだけをルールで照合するよう、ルール ヘッダーを設定できます。
 (注) |
|
社会保障番号、クレジットカード番号、E メールなどの機密データは、インターネットに意図的に、または誤って漏洩される可能性があります。機密データの検出は、機密データの漏洩の可能性を検出してイベントを生成するために使用されます。イベントは、大量の個人識別情報(PII)データが転送された場合にのみ生成されます。機密データの検出ではイベントの出力で PII をマスクできます。
PII を検出してフィルタリングするには、sd_pattern IPS オプションを使用します。この情報には、クレジットカード番号、米国社会保障番号、電話番号、電子メールアドレスが含まれます。独自の PII を定義するために、正規表現(regex)構文を使用できます。
sd_pattern オプションには、次の設定があります。
[パターン(Pattern)]:PDU で検索する正規表現を指定する暗黙の必須設定。正規表現は、PCRE 構文で記述する必要があります。
[しきい値(Threshold)]:イベントの生成に必要な PDU 内の一致数を指定する明示的なオプション設定。
IPS ルールオプションとしての sd_pattern は、追加のインスペクタの要件なしで Snort で使用できます。ルールオプションの構文は次のとおりです。
sd_pattern: "<pattern>"[, threshold <count>];次に例を示します。
sd_pattern:"credit_card", threshold 2;機密データには 5 つの組み込みパターンがあります。「パターン」設定で組み込みパターンを使用するには、照合する必要がある PII タイプの名前を指定する必要があり、必要な正規表現で置き換えられます。PII 名と正規表現のマッピングまたはパターンは次のとおりです。
\d{4}\D?\d{4}\D?\d{2}\D?\d{2}\D?\d{3,4}[0-8]\d{2}-\d{2}-\d{4}[0-8]\d{8}[a-zA-Z0-9!#$%&'*+\/=?^_`{|}~-]+(?:\.[a-zA-Z0-9!#$%&'*+\/=?^_`{|}~-]+)*@(?:[a-zA-Z0-9]
(?:[a-zA-Z0-9-]*[a-zA-Z0-9])?\.)+[a-zA-Z0-9](?:[a-zA-Z0-9-]*[a-zA-Z0-9])?(?:\+?1[-\.\s]?)?\(?([2-9][0-8]\d)\)?[-\.\s]([2-9]\d{2})[-\.\s](\d{4})|
PII 名 |
パターン |
|---|---|
|
credit_card |
|
|
us_social |
|
|
us_social_nodashes |
|
|
|
|
|
us_phone |
|
これらのパターンに一致するデータのマスキングは、クレジットカード、米国社会保障番号、電子メール、および米国の電話番号のシステム提供ルールまたは組み込みパターンでのみ機能します。マスキングは、カスタムルールまたはユーザー定義の PII パターンでは機能しません。ルールは、機密データ用の Lightweight Security Package(LSP)gid:13 で使用できます。デフォルトでは、システム提供のポリシーでは有効になっていません。
LSP の機密データルールは、すべての組み込みパターンを対象とし、次のしきい値があります。
credit_card:2
us_ social:2
us_ social_nodashes:20
email:20
us_phone:20
sd_pattern オプションを使用すると、カスタムルールを作成したり、既存のルールを変更できます。これを行う場合は、Snort 3 侵入ポリシーインターフェイスを使用します。
カスタムパターンとしきい値を使用した sd_pattern を含むルールの例:
alert tcp (sid: 1000000001; sd_pattern:"[\w-\.]+@([\w-]+\.)+[\w-]{2,4}",threshold 4; msg: "email, threshold 4")機密データ検出を使用したカスタムルールの例:
組み込みパターンを使用したルール:
alert tcp (
msg:"SENSITIVE-DATA Email";
flow:only_stream;
pkt_data;
sd_pattern:"email", threshold 5;
service:http, smtp, ftp-data, imap, pop3;
gid:2000;
sid:1000001;
)
カスタムパターンを使用したルール:
alert tcp (
msg:"SENSITIVE-DATA US phone numbers";
flow:only_stream;
file_data;
sd_pattern:"+?3?8?(0[\s\.-]\d{2}[\s\.-]\d{3}[\s\.-]\d{2}[\s\.-]\d{2})", threshold 2;
service:http, smtp, ftp-data, imap, pop3;
gid:2000;
sid:1000002;
)
次に、組み込み機密データパターンを使用した完全な Snort IPS ルールの例をいくつか示します。
alert tcp ( sid:1; msg:"Credit Card"; sd_pattern:"credit_card", threshold 2; )
alert tcp ( sid:2; msg:"US Social Number"; sd_pattern:"us_social", threshold 2; )
alert tcp ( sid:3; msg:"US Social Number No Dashes"; sd_pattern:"us_social_nodashes", threshold 2; )
alert tcp ( sid:4; msg:"US Phone Number"; sd_pattern:"us_phone", threshold 2; )
alert tcp ( sid:5; msg:"Email"; sd_pattern:"email", threshold 2; )
データマスキングの無効化は、Cisco Secure Firewall Management Center および Cisco Secure Firewall Device Manager ではサポートされていません。
侵入ポリシー内のルールの表示方法を調整できます。特定のルールの詳細を表示して、ルール設定、ルール ドキュメント、およびその他のルール仕様を確認することもできます。
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
ポリシーの横にある [Snort 3 バージョン(Snort 3 Version)] をクリックします。 |
|
ステップ 3 |
ルールを表示している間、以下を実行できます。
これらのタスクの実行の詳細については、「Snort 3 侵入ポリシーの編集」を参照してください。 |
侵入ルールアクションでは、個々の侵入ポリシー内のルールを有効または無効にできるだけでなく、モニター対象の条件がルールをトリガーした場合にシステムが実行するアクションを指定できます。
Cisco Talos Intelligence Group(Talos)が各デフォルトポリシーの侵入およびインスペクタルールごとにデフォルトアクションを設定します。たとえば、ルールを Security over Connectivity デフォルト ポリシーでは有効にして、Connectivity over Security デフォルト ポリシーでは無効にすることができます。Talos がルール更新を使用してデフォルトポリシー内の 1 つ以上のルールのデフォルトアクションを変更する場合もあります。ルール更新でのベースポリシーの更新を許可すると、ポリシーの作成時に使用されたデフォルトポリシー(または基礎となるデフォルトポリシー)のデフォルトアクションが変更されたときの、そのポリシー内のルールのデフォルトアクションの変更も許可することになります。ただし、ルールアクションを変更している場合は、ルール更新でその変更がオーバーライドされないことに注意してください。
侵入ルールを作成すると、そのルールは、ポリシーの作成時に使用されたデフォルトポリシー内のルールのデフォルトアクションを継承します。
侵入ポリシーでは、ルールのアクションを次の値に設定できます。
システムで特定の侵入試行を検出して、一致したトラフィックが見つかった時点で侵入イベントを生成する場合。悪意のあるパケットがネットワークを通過してルールをトリガーすると、そのパケットが宛先に送信され、システムが侵入イベントを生成します。悪意のあるパケットはその対象に到達しますが、イベントロギングによって通知されます。
システムで特定の侵入試行を検出して、その攻撃を含むパケットをドロップし、一致したトラフィックが見つかった時点で侵入イベントを生成する場合。悪意のあるパケットはその対象に到達せず、イベントロギングによって通知されます。
システムで一致するトラフィックを評価しない場合。
(注) |
[アラート(Alert)] または [ブロック(Block)] オプションを選択すると、ルールが有効になります。[無効(Disable)] を選択すると、ルールが無効になります。 侵入ポリシー内のすべての侵入ルールを有効にしないことを強く推奨します。すべてのルールが有効になっている場合は、管理対象デバイスのパフォーマンスが低下する可能性があります。代わりに、できるだけネットワーク環境に合わせてルール セットを調整してください。 |
侵入ルールアクションはポリシーに固有です。
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
編集するポリシーの横にある [Snort 3 バージョン(Snort 3 Version)] をクリックします。
|
||
|
ステップ 3 |
ルールアクションを設定する 1 つ以上のルールを選択します。 |
||
|
ステップ 4 |
[ルールアクション(Rule Action)] ドロップダウンリストからルールアクションのいずれかを選択します。さまざまなルールアクションの詳細については、「Snort 3 侵入ポリシーの編集」を参照してください。 |
||
|
ステップ 5 |
[保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
侵入イベントの重要度は、発生頻度、送信元 IP アドレス、または宛先 IP アドレスに基づいて設定できます。イベントが特定の回数発生するまで注意が必要ない場合もあります。たとえば、何者かがサーバにログインしようとしても、特定の回数失敗するまで、気にする必要はありません。一方、ほんの少数の発生を見れば、広範な問題があることを理解できる場合もあります。たとえば、Web サーバに対して DoS 攻撃が行われた場合は、少数の侵入イベントの発生を確認しただけで、その状況に対処しなければならないことが分かります。同じイベントが何百回も確認されれば、システムの機能が麻痺します。
指定した期間内にイベントを生成する回数に基づいて、システムが侵入イベントをログに記録して表示する回数を制限するには、個別のルールのしきい値を設定します。これにより、大量の同じイベントが原因で機能が麻痺するのを避けることができます。共有オブジェクトルール、標準テキストルール、またはインスペクタルールごとにしきい値を設定できます。
しきい値を設定するには、最初にしきい値のタイプを指定します。
|
オプション |
説明 |
|---|---|
|
制限(Limit) |
指定された数のパケット(count 引数によって指定される)が、指定された期間内にルールをトリガーとして使用した場合に、イベントを記録して表示します。たとえば、タイプを [制限(Limit)] に、[カウント(Count)] を |
|
しきい値(Threshold) |
指定された数のパケット(count 引数によって指定される)が、指定された期間内にルールをトリガーとして使用した場合に、1 つのイベントを記録して表示します。イベントのしきい値カウントに達し、システムがそのイベントを記録した後、時間のカウンタは再び開始されることに注意してください。たとえば、タイプを
[しきい値(Threshold)] に、[カウント(Count)] を |
|
両方(Both) |
指定された数(カウント)のパケットがルールをトリガーとして使用した後で、指定された期間ごとに 1 回イベントを記録して表示します。たとえば、タイプを [両方(Both)] に、[カウント(Count)] を 2 に、[秒(Seconds)] を
|
次に、トラッキングを指定します。これにより、イベントしきい値が送信元 IP アドレス単位と宛先 IP アドレス単位のどちらで計算されるかが決まります。
|
オプション |
説明 |
|---|---|
|
ソース(Source) |
送信元 IP アドレス単位でイベント インスタンス カウントを計算します。 |
|
接続先(Destination) |
宛先 IP アドレス単位でイベント インスタンス カウントを計算します。 |
最後に、しきい値を定義するインスタンスの数と期間を指定します。
|
オプション |
説明 |
|---|---|
|
カウント(Count) |
しきい値を満たすために必要な、追跡する IP アドレス単位で指定された期間単位のイベント インスタンスの数。 |
|
秒(Seconds) |
カウントがリセットされるまでの秒数。しきい値タイプを [制限(limit)] に、トラッキングを [送信元IP(Source IP)] に、[カウント(count)] を [10] |
侵入イベントのしきい値設定は、単独で使用することも、レート ベースの攻撃防御、detection_filter キーワード、および侵入イベント抑制のいずれかと組み合わせて使用することもできます。
 ヒント |
侵入イベントのパケット ビューでしきい値を追加することもできます。 |
[ルールの詳細(Rule Detail)] ページで、ルールの単一のしきい値を設定できます。しきい値を追加すると、ルールの既存のしきい値が上書きされます。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
侵入ルールの [アラート設定(Alert Configuration)] 列で、[なし(None)] リンクをクリックします。 |
|
ステップ 4 |
[編集(Edit)]( |
|
ステップ 5 |
[アラート設定(Alert Configuration)] ウィンドウで、[しきい値(Threshold)] タブをクリックします。 |
|
ステップ 6 |
[タイプ(Type)] ドロップダウンリストから、設定するしきい値のタイプを選択します。
|
|
ステップ 7 |
[追跡対象(Track By)] フィールドで [送信元(Source)] または [宛先(Destination)] を選択し、イベントインスタンスの追跡を送信元 IP アドレスで行うか、宛先の IP アドレスで行うかを指定します。 |
|
ステップ 8 |
[カウント(Count)] フィールドに、しきい値として使用するイベントインスタンスの数を入力します。 |
|
ステップ 9 |
[秒数(Seconds)] フィールドに、イベントインスタンスを追跡する期間(秒数)を指定する数値を入力します。 |
|
ステップ 10 |
[保存(Save)] をクリックします。 追加のサポートと情報については、「Snort 3 の抑制としきい値」ビデオを参照してください。 |
設定変更を展開します。設定変更の展開を参照してください。
ルールのしきい値の既存の設定を表示または削除するには、[ルールの詳細(Rules Details)] ビューを使用して、しきい値の構成済み設定を表示し、それらがシステムに適切かどうかを確認します。そうでない場合は、新しいしきい値を追加して既存の値を上書きすることができます。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
[アラート設定(Alert Configuration)] 列に表示されるしきい値が設定されているルールを選択します([アラート設定(Alert Configuration)] 列には、ルールのリンクとして [しきい値(Threshold)] が表示されます)。 |
|
ステップ 4 |
ルールのしきい値を削除するには、[アラート設定(Alert Configuration)] 列の [しきい値(Threshold)] リンクをクリックします。 |
|
ステップ 5 |
[編集(Edit)]( |
|
ステップ 6 |
[しきい値(Threshold)] タブをクリックします。 |
|
ステップ 7 |
[リセット(Reset)] をクリックします。 |
|
ステップ 8 |
[保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
特定の IP アドレスまたは IP アドレスの範囲でインスペクタの特定のルールをトリガーしたときの侵入イベント通知を抑制できます。これは、誤検出を回避するのに役立ちます。たとえば、特定のエクスプロイトのように見えるパケットを伝送しているメール サーバが存在する場合は、そのメール サーバによってトリガーとして使用されたイベントに関するイベント通知を抑制できます。ルールはすべてのパケットに対してトリガーとして使用されますが、本物の攻撃に対するイベントだけが表示されます。
侵入イベント抑制は、単独で使用することも、レート ベースの攻撃防御、detection_filter キーワード、および侵入イベントしきい値構成のいずれかと組み合わせて使用することもできることに注意してください。
ヒント |
侵入イベントのパケット ビュー内から抑制を追加できます。侵入ルールエディタページ()の [アラート設定(Alert Configuration)] 列を使用して、抑制設定にアクセスすることもできます |
侵入ポリシーのルールに対して 1 つ以上の抑制を設定できます。
送信元または宛先の抑制に追加する必要があるネットワークオブジェクトを作成していることを確認します。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
侵入ルールの [アラート設定(Alert Configuration)] 列の [なし(None)] リンクをクリックします。 |
|
ステップ 4 |
[編集(Edit)]( |
|
ステップ 5 |
[抑制(Suppressions)] タブで、次のオプションの横にある追加アイコン(+)をクリックします。
|
|
ステップ 6 |
[ネットワーク(Network)] ドロップダウンリストからプリセットネットワークを選択します。 |
|
ステップ 7 |
[保存(Save)] をクリックします。 |
|
ステップ 8 |
(任意)必要に応じて、最後の 3 つの手順を繰り返します。 |
|
ステップ 9 |
[アラート設定(Alert Configuration)] ウィンドウで [保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
既存の抑制条件を表示または削除することもできます。たとえば、メール サーバがエクスプロイトのように見えるパケットを普段から送信しているという理由で、そのメール サーバの IP アドレスから送信されたパケットに関するイベント通知を抑制できます。その後、そのメール サーバが使用停止になり、その IP アドレスが別のホストに再割り当てされたら、その送信元 IP アドレスの抑制条件を削除する必要があります。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
抑制を表示または削除するルールを選択します。 |
|
ステップ 4 |
[アラート設定(Alert Configuration)] 列の [抑制(Suppression)] をクリックします。 |
|
ステップ 5 |
[編集(Edit)]( |
|
ステップ 6 |
[抑制(Suppressions)] タブをクリックします。 |
|
ステップ 7 |
抑制の横にある [クリア(Clear)]( |
|
ステップ 8 |
[保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
侵入ポリシーのルールにコメントを追加できます。このようにして追加されたコメントはポリシー専用のコメントとなります。よって、ある侵入ポリシーのルールに追加したコメントは、他の侵入ポリシーでは表示されません。
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
編集するポリシーの横にある [Snort 3 バージョン(Snort 3 Version)] をクリックします。 |
||
|
ステップ 3 |
すべてのルールがリストされているページの右側で、コメントを追加するルールを選択します。 |
||
|
ステップ 4 |
[コメント(Comments)] 列の下にある コメント([コメント(comment)] アイコン [コメント(comment)] |
||
|
ステップ 5 |
[コメント(Comments)] フィールドに、ルールコメントを入力します。 |
||
|
ステップ 6 |
[コメントを追加(Add a Comment)] をクリックします。 |
||
|
ステップ 7 |
[保存(Save)] をクリックします。
|
設定変更を展開します。設定変更の展開を参照してください。
カスタムルールを使用している場合は、Snort 2 から Snort 3 に変換する前に、Snort 3 のルールセットを管理する準備ができていることを確認してください。サードパーティベンダーのルールセットを使用している場合は、そのベンダーに連絡して、そのルールが Snort 3 に正常に変換されることを確認するか、または Snort 3 用にネイティブに作成された置換ルールセットを取得します。独自に作成したカスタムルールがある場合は、変換前に Snort 3 ルールの作成に慣れておくと、変換後の Snort 3 検出を最適化するようにルールを更新できます。Snort 3 でのルールの作成の詳細については、次のリンクを参照してください。
https://blog.snort.org/2020/08/how-rules-are-improving-in-snort-3.html
https://blog.snort.org/2020/10/talos-transition-to-snort-3.html
Snort 3 ルールの詳細については、https://blog.snort.org/ にある他のブログを参照してください。
システム付属のツールを使用して Snort 2 ルールを Snort 3 ルールに変換するには、Snort 2 カスタムルールの Snort 3 への変換を参照してください。
重要 |
Snort 2 ネットワーク分析ポリシー(NAP)の設定を Snort 3 に自動的にコピーすることはできません。NAP 設定は、Snort 3 で手動で複製する必要があります。 |
|
ステップ 1 |
をクリックします。 |
||
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
||
|
ステップ 3 |
左側のペインで [すべてのルール(All Rules)] が選択されていることを確認します。 |
||
|
ステップ 4 |
[タスク(Tasks)] ドロップダウンリストから値を選択します。
|
||
|
ステップ 5 |
[OK] をクリックします。
追加のサポートと情報については、「Snort 2 ルールの Snort 3 への変換」ビデオを参照してください。 |
設定変更を展開します。設定変更の展開を参照してください。
|
ステップ 1 |
を選択します。 |
||
|
ステップ 2 |
[侵入ポリシー(Intrusion Policies)] タブで、[Snort 3同期ステータスの表示(Show Snort 3 Sync status)] をクリックします。 |
||
|
ステップ 3 |
侵入ポリシーの [同期(Sync)] アイコン(
|
||
|
ステップ 4 |
サマリーを読み、[カスタムルール(Custom Rules)] タブをクリックします。 |
||
|
ステップ 5 |
次のどちらかを選択します。
|
||
|
ステップ 6 |
[再同期(Re-Sync)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
Management Center でカスタムルールをアップロードすると、ローカルで作成したカスタムルールがすべての Snort 3 ルールのリストに追加されます。
|
ステップ 1 |
をクリックします。 |
||
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
||
|
ステップ 3 |
[タスク(Tasks)] ドロップダウンリストをクリックします。 |
||
|
ステップ 4 |
[Snort 3ルールのアップロード(Upload Snort 3 Rules)] をクリックします。 |
||
|
ステップ 5 |
作成した Snort 3 カスタムルールを含む .txt または .rules ファイルをドラッグアンドドロップします。 |
||
|
ステップ 6 |
[OK] をクリックします。
|
||
|
ステップ 7 |
ルールをルールグループに関連付けて、そのグループに新しいルールを追加します。 新しいカスタムルールグループを作成し([新しいカスタムルールグループの作成(Create New Custom Rule Group)] リンクをクリック)、新しいグループにルールを追加することもできます。
|
||
|
ステップ 8 |
次のいずれかを選択します。
|
||
|
ステップ 9 |
[次へ(Next)] をクリックします。 サマリーを確認して、追加する新しいルール ID を確認し、必要に応じてダウンロードします。 |
||
|
ステップ 10 |
[終了(Finish)] をクリックします。 |
重要 |
アップロードされたすべてのルールのルールアクションは無効な状態になっています。ルールをアクティブにするために必要な状態に変更する必要があります。 |
Management Center でカスタムルールをアップロードすると、作成したカスタムルールがすべての Snort 3 ルールのリストに追加されます。これらのカスタムルールをトラフィックに適用するには、必要な侵入ポリシーでこれらのルールを追加して有効にします。カスタムルールを含むルールグループを侵入ポリシーに追加する方法については、カスタムルールを含むルールグループの侵入ポリシーへの追加を参照してください。カスタムルールを有効にする方法については、Snort 3 でのカスタムルールの管理を参照してください。
設定変更を展開します。設定変更の展開を参照してください。
システムにアップロードされたカスタムルールを侵入ポリシーで有効にし、それらのルールをトラフィックに適用する必要があります。Management Center にカスタムルールをアップロードした後、侵入ポリシーに新しいカスタムルールを含むルールグループを追加します。
|
ステップ 1 |
を選択します。 |
|
ステップ 2 |
[侵入ポリシー(Intrusion Policies)] タブで、侵入ポリシーの [Snort 3 バージョン(Snort 3 Version)] をクリックします。 |
|
ステップ 3 |
[ルールグループ(Rule Groups)] 検索バーの横にある [追加(Add)] (+)をクリックします。 |
|
ステップ 4 |
[ルールグループの追加(Add Rule Groups)] ウィンドウで、ルールグループの横にある [>] アイコンをクリックして、ローカルルールグループを展開します。 |
|
ステップ 5 |
アップロードしたカスタムルールグループの横にあるチェックボックスをオンにします。 |
|
ステップ 6 |
[保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
システムにアップロードしたカスタムルールを侵入ポリシーに追加し、それらのルールを有効にしてトラフィックに適用する必要があります。アップロードされたカスタムルールは、すべてのポリシーで有効にすることも、個々のポリシーで選択して有効にすることもできます。
次の手順に従って、1 つ以上の侵入ポリシーでカスタムルールを有効にします。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
[ローカルルール(Local Rules)] を展開します。 |
|
ステップ 4 |
必要なルールグループを選択します。 |
|
ステップ 5 |
ルールの横にあるチェックボックスをオンにしてルールを選択します。 |
|
ステップ 6 |
[ルールアクション(Rule Actions)] ドロップダウンリストから [侵入ポリシーごと(Per Intrusion Policy)] を選択します。 |
|
ステップ 7 |
次のどちらかを選択します。
|
|
ステップ 8 |
ルールアクションを次のように設定します。
|
|
ステップ 9 |
必要に応じて、[コメント(Comments)] テキストボックスにコメントを追加します。 |
|
ステップ 10 |
[保存(Save)] をクリックします。 |
デバイスに変更を展開します。設定変更の展開を参照してください。.
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
左側のペインの [ローカルルール(Local Rules)] を展開します。 |
|
ステップ 4 |
削除するルールのチェックボックスをオンにします。 |
|
ステップ 5 |
選択したすべてのルールのルールアクションが [無効(Disable)] であることを確認します。 必要に応じて次の手順に従い、選択した複数のルールのルールアクションを無効にします。
|
|
ステップ 6 |
[ルールアクション(Rule Actions)] ドロップダウンリストから、[削除(Delete)] を選択します。 |
|
ステップ 7 |
[ルールの削除(Delete Rules)] ポップアップウィンドウで [削除(Delete)] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
含めたすべての侵入ポリシーから削除するルールグループを除外します。侵入ポリシーからルールグループを除外する手順については、Snort 3 侵入ポリシーの編集を参照してください。
|
ステップ 1 |
をクリックします。 |
|
ステップ 2 |
[Snort 3 のすべてのルール(Snort 3 All Rules)] タブをクリックします。 |
|
ステップ 3 |
左側のペインの [ローカルルール(Local Rules)] を展開します。 |
|
ステップ 4 |
削除するルールグループを選択します。 |
|
ステップ 5 |
続行する前に、グループ内のすべてのルールのルールアクションが [無効(Disable)] に設定されていることを確認します。 いずれかのルールのルールアクションが [無効(Disable)] 以外の場合、ルールグループは削除できません。必要に応じて、次の手順に従ってすべてのルールのルールアクションを無効にします。
|
|
ステップ 6 |
ルールグループの横にある [削除(Delete)]( |
|
ステップ 7 |
[ルールグループの削除(Delete Rule Group)] ポップアップウィンドウで [OK] をクリックします。 |
設定変更を展開します。設定変更の展開を参照してください。
![[編集(Edit)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/448001-449000/448235.jpg)
)
)
アイコン) 
![[削除(Delete)] アイコン](/c/dam/en/us/td/i/400001-500000/440001-450000/447001-448000/447585.jpg)
)
フィードバック