Upload
kenji-fukuta
View
206
Download
3
Embed Size (px)
Citation preview
通信検知~アクション
1.見た 2.評価 した
3.行動 した
Step1. どんな方法で見る(検知)をする? 例) ・パターンマッチ →特定の文字列、コードが含まれる ・通信の異常(いつもと違う) →DoS、ワーム、ウィルス、プロトコル
通信検知~アクション
Step2. どんな方法で評価する? (ヤツは注意~危険) RiskRating・・・ ・シグニチャのSeverity(重大度) ・シグニチャのFidelity(信頼性) ・攻撃元/宛先/内容のReputation(評価) and more
1.見た 2.評価 した
3.行動 した
覚えてください
・シグニチャのSeverity(重大度)4種類 High,Medium,Low,Info ・シグニチャのFidelity(信頼性) ・攻撃元/宛先/脅威のReputation(評価) ・トレンド(グローバル相関) and more
「RiskRating」という計算
「0~100」という計算結果・・ それを、「Risk Category」 に分類
INPUT
work
OUTPUT
通信検知~アクション
1.見た 2.評価 した
3.行動 した
Step3. どんな行動をする? ・Alert(イベントログに書き込む) ・Deny(パケット拒否) ・SNMP Trap ・キャプチャ
処理フローを少し詳しく(1/2)
ASA5585
①FWポリシー
SSP60
Interface
Interface
分析エンジン
④イベントアクションオーバーライド
⑤イベントアクションフィルタ
⑥イベントアクションハンドラ
③シグニチャイベントカウンタ
・通信ブロック・アラート生成・IPロギング・SNMP Trap
②仮想センサー
処理フローを少し詳しく(2/2)
各シグニチャをもとにした検知
③シグニチャイベントカウンタ(各シグニチャ個別のイベントアクション)
検知イベントが一定の値に達すると、各シグニチャで設定されたイベントを追加する
RiskRatingに基づくアクションを追加
シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除
④シグニチャイベントイベントアクションオーバーライド(RRに基づいてアクションを追加する機能)
アラート生成
FWポリシーによる接続許可①FWポリシー
②仮想センサー検知イベントの発生
ASA5585
SSP60
機能 動作内容
ブロッキング(inlineモード)
SNMP Trap
②MPF IPSへの通信転送各シグニチャをもとにした検知
⑤イベントアクションフィルタ(シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除する機能)
⑤イベントアクションフィルタ(シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除する)
通信を分類してIPSに渡す
④イベントアクション オーバライド
アクションの制御
1.イベントアクションオーバライド 3つの「リスクカテゴリ」 ・Low:0~69★ +社内~社内:許可 ・Medium :70~89 ★ ・ High:90~100 ★ に応じて一意のルール★をオーバライド(上乗せ) ★ルール:Alert、Deny、SNMP Trap
検知~アクション後、確認すること
まず今、どういう状況か ex)業務を止めている。 >既知? >未知? ①攻撃元、攻撃先を確認 ②シグニチャを確認 対象となるOS,サービスを確認 ③攻撃が成功すると、 ・どんな範囲 ・どんな影響があるか確認(サービス停止 etc)
並行で。
シグニチャとは
「製品に含まれる脆弱性」を明らかにし、 その脆弱性を「悪用する動き」を検知する ためのカルテ(問診票) 【脆弱性】 ・対象製品、バージョン http://tools.cisco.com/security/center/search.x
Ciscoシグニチャ展開までの時間 出典:Cisco社サイト
時間 説明
3時間 Microsoft Windows 月例脆弱性パッチ「Patch Tuesday」に対する防御のアップデート を提供するまでの平均応答時間
8時間 致命的(Critical) な脆弱性に対する防御のアップデートを提供するまでの平均応答時間
24時間 緊急(Urgent) の脆弱性に対する防御のアップデートを提供するまでの平均応答時間
平均1週間に1回はリリースされています。 導入していない製品の脆弱性は重要ではありません。
→ 誤検知の可能性が高いから。
IME操作(コンフィグ変更)
★ハンズオン(デモモード) ・基本は、ホスト「ASAIME」から操作。 ・「Reflesh」をする。 ・シグニチャ(次ページ) ・イベントアクションオーバライド ・イベントフィルタ ・1回の操作で2台のIPSに反映できるか、確認中。 →現段階では両方にもれなく実施してください。
設定変更操作時の留意点
検知プロセス・・・
状況 動作
シグニチャ / エンジン更新時 30秒~5分停止
シグニチャ enable/disable時** シグニチャ 編集時**
確認中
イベントフィルタの実行 停止なし
イベントアクション オーバライドの実行
停止なし
フェイルオーバ/バック 停止なし
A/S構成を活かす。
IME操作(シグニチャ変更)
★ハンズオン(マニュアル 9-4) ・シグニチャを絞る ・既にCisco社によって分類されている。 ・左上の「Filter」(name,ID etc) 便利:tuned ・下段「explanation(説明) リンク」 右下「Cisco.com」
IME操作(イベントモニタリング / レポート)
・フィルタ ・IPアドレス、シグニチャ(重要度)、リアルタイム 期間(Range,Last)RR、アクション、 ・Tips:見やすくする。 Group by >「Severity」「Sig Name」 「show group columns」「show count columns」
・CSVエクスポート ・レポート(40件までという制約) ・パケットキャプチャした内容を見る Configuration>Time-Based Action >IP Logging 右から対象を選択>Download
★ハンズオン
Tips:便利な操作
・検知結果から、シグニチャ内容の確認 Detail画面・・「Explanation」 ・検知結果から、フィルタ追加 「Filter」 ・検知結果からすぐに、フィルタ作成 「Create Rule」 ・検知結果からすぐに、ブロック作成 「Stop Attacker」 ●SNMP Trap 「検知後、どんなアクションをしたか」を知ることはできない。
★イベントモニタ
Tips:Ciscoのサポートコミュニティ(IPS)
https://supportforums.cisco.com/community/csc-japan/security/ips
★日本語でCisco社SEさんが記事を作っています。 30個ほどの記事があります。
IPSサービス用プログラム
●シグニチャおよび検出エンジンの頻繁なアップデートとアラートの通知 ●Cisco IntelliShield Search Access 機能を利用した IPS シグニチャの取得 ●オンライン ツールおよび技術サポートを利用するための Cisco.com への登録アクセス ● Cisco Technical Assistance Center (TAC) へのアクセス ● Cisco IPS Sensor ソフトウェアの更新 ●障害が発生したハードウェアの迅速な交換 ●Cisco Services for IPS の詳細については、 http://www.cisco.com/web/JP/services/portfolio/ tss/ips.html を参照してください。
Cisco社提供の情報(for エンジニア)
●1.Cisco社 セキュリティセンター(日本語訳ページ)のチェック http://www.cisco.com/cisco/web/support/JP/index/ips-index.html 2.Cisco社 セキュリティセンター Cisco Security Intelligence Operation(SIO) (英語版)のチェック http://tools.cisco.com/security/center/home.x 3.Cisco社 セキュリティセンター(英語版)での、すべてのベンダーのセキュリティチェック http://tools.cisco.com/security/center/search.x 4.Cisco社 バグツールキット http://tools.cisco.com/security/center/publicationListing.x
Cisco社提供の情報
●Cisco Security Manager、Cisco Security MARS、および Cisco IPS Manager Express の詳細 http://www.cisco.com/jp/go/csmanager/ http://www.cisco.com/jp/go/mars/ http://www.cisco.com/jp/go/ime/ ●Cisco Security Center http://www.cisco.com/security