Cisco IPS

運用インストラクション資料

Jan 29th 2014

1.IPSによって「通信を判断」する。 2.判断のツール（IME）を使う。 ・操作方法 ・設定変更 ・イベントログ ・情報収集 3.「シグニチャ」の見方

目次

通信検知～アクション

1.見た 2.評価 した

3.行動 した

キミは、誰だ。

通信検知～アクション

1.見た 2.評価 した

3.行動 した

Step1. どんな方法で見る（検知）をする？ 例） ・パターンマッチ →特定の文字列、コードが含まれる ・通信の異常（いつもと違う） →DoS、ワーム、ウィルス、プロトコル

通信検知～アクション

Step2. どんな方法で評価する？ （ヤツは注意～危険） RiskRating・・・ ・シグニチャのSeverity（重大度） ・シグニチャのFidelity（信頼性） ・攻撃元/宛先/内容のReputation（評価） and more

1.見た 2.評価 した

3.行動 した

覚えてください

・シグニチャのSeverity（重大度）4種類 High,Medium,Low,Info ・シグニチャのFidelity（信頼性） ・攻撃元/宛先/脅威のReputation（評価） ・トレンド（グローバル相関） and more

「RiskRating」という計算

「0～100」という計算結果・・ それを、「Risk Category」 に分類

INPUT

work

OUTPUT

覚えてください

「Risk Category」の設定 0～69：Low 70～89：Medium 90～100：High

覚えてください

つまり、 ・シグニチャのSeverity （High,Medium,Low,Info） と ・RiskRatingの値 （High,Medium,Low） は別物です。

通信検知～アクション

1.見た 2.評価 した

3.行動 した

2.検知が、「RiskRating」によって、 「Risk Category」 に分類された。

通信検知～アクション

1.見た 2.評価 した

3.行動 した

Step3. どんな行動をする？ ・Alert（イベントログに書き込む） ・Deny（パケット拒否） ・SNMP Trap ・キャプチャ

処理フローを少し詳しく（1/2）

ASA5585

①FWポリシー

SSP60

Interface

Interface

分析エンジン

④イベントアクションオーバーライド

⑤イベントアクションフィルタ

⑥イベントアクションハンドラ

③シグニチャイベントカウンタ

・通信ブロック・アラート生成・IPロギング・SNMP Trap

②仮想センサー

処理フローを少し詳しく（2/2）

各シグニチャをもとにした検知

③シグニチャイベントカウンタ（各シグニチャ個別のイベントアクション）

検知イベントが一定の値に達すると、各シグニチャで設定されたイベントを追加する

RiskRatingに基づくアクションを追加

シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除

④シグニチャイベントイベントアクションオーバーライド（RRに基づいてアクションを追加する機能）

アラート生成

FWポリシーによる接続許可①FWポリシー

②仮想センサー検知イベントの発生

ASA5585

SSP60

機能 動作内容

ブロッキング（inlineモード）

SNMP Trap

②MPF IPSへの通信転送各シグニチャをもとにした検知

⑤イベントアクションフィルタ（シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除する機能）

⑤イベントアクションフィルタ（シグニチャID、アドレス、ポート、RRなどに基づいてアクションを削除する）

通信を分類してIPSに渡す

④イベントアクション オーバライド

行動（アクション）の制御

1.イベントアクションオーバライド 2.イベントアクションフィルタ

アクションの制御

1.イベントアクションオーバライド 3つの「リスクカテゴリ」 ・Low：0～69★ ＋社内～社内：許可 ・Medium ：70～89 ★ ・ High：90～100 ★ に応じて一意のルール★をｵｰﾊﾞﾗｲﾄﾞ（上乗せ） ★ルール：Alert、Deny、SNMP Trap

アクションの制御

2.イベントアクションフィルタ この「通信」は、「アクションなし」で 大丈夫。 検知した ・シグニチャごと ・攻撃元、攻撃先ごと ・ポートごと 柔軟に設定可能。

検知～アクション後、確認すること

まず今、どういう状況か ex）業務を止めている。 ＞既知？ ＞未知？ ①攻撃元、攻撃先を確認 ②シグニチャを確認 対象となるOS,サービスを確認 ③攻撃が成功すると、 ・どんな範囲 ・どんな影響があるか確認（ｻｰﾋﾞｽ停止 etc）

並行で。

シグニチャとは

「製品に含まれる脆弱性」を明らかにし、 その脆弱性を「悪用する動き」を検知する ためのカルテ（問診票） 【脆弱性】 ・対象製品、バージョン http://tools.cisco.com/security/center/search.x

Ciscoシグニチャ展開までの時間 出典：Cisco社サイト

時間 説明

3時間 Microsoft Windows 月例脆弱性パッチ「Patch Tuesday」に対する防御のアップデート を提供するまでの平均応答時間

8時間 致命的（Critical） な脆弱性に対する防御のアップデートを提供するまでの平均応答時間

24時間 緊急（Urgent） の脆弱性に対する防御のアップデートを提供するまでの平均応答時間

平均1週間に1回はリリースされています。 導入していない製品の脆弱性は重要ではありません。

→ 誤検知の可能性が高いから。

検知～アクション後、確認すること

・判断後、どうするのか。 1.そのまま、止める 2.様子見 3.誤検知 1.正しいものを、正しくないと検知 2.正しくないことを、正しいと検知 許可する / しない

2.IME操作方法

・IMEの操作方法 ・大きな機能3つ ・ヘルスチェック ・コンフィグ変更 ・イベントモニタリング

ヘルスチェック（メンテナンス）

★ダッシュボード ★デバイス ★ライセンス 1年ごとに更新（2014/10/21） ★メモリ表示 割り当てを表示する仕様。 ★ネットワークセキュリティ状態とは

IME操作（コンフィグ変更）

★ハンズオン（デモモード） ・基本は、ホスト「ASAIME」から操作。 ・「Reflesh」をする。 ・シグニチャ（次ページ） ・イベントアクションオーバライド ・イベントフィルタ ・1回の操作で2台のIPSに反映できるか、確認中。 →現段階では両方にもれなく実施してください。

設定変更操作時の留意点

検知プロセス・・・

状況 動作

シグニチャ / エンジン更新時 30秒～5分停止

シグニチャ enable/disable時** シグニチャ 編集時**

確認中

イベントフィルタの実行 停止なし

イベントアクション オーバライドの実行

停止なし

フェイルオーバ/バック 停止なし

A/S構成を活かす。

IME操作（シグニチャ変更）

★ハンズオン(マニュアル 9-4） ・シグニチャを絞る ・既にCisco社によって分類されている。 ・左上の「Filter」（name,ID etc） 便利：tuned ・下段「explanation（説明） リンク」 右下「Cisco.com」

IME操作（イベントモニタリング / レポート）

・フィルタ ・IPアドレス、シグニチャ（重要度）、ﾘｱﾙﾀｲﾑ 期間（Range,Last）RR、アクション、 ・Tips：見やすくする。 Group by ＞「Severity」「Sig Name」 「show group columns」「show count columns」

・CSVエクスポート ・レポート（40件までという制約） ・パケットキャプチャした内容を見る Configuration＞Time-Based Action ＞IP Logging 右から対象を選択＞Download

★ハンズオン

Tips：便利な操作

・検知結果から、シグニチャ内容の確認 Detail画面・・「Explanation」 ・検知結果から、フィルタ追加 「Filter」 ・検知結果からすぐに、フィルタ作成 「Create Rule」 ・検知結果からすぐに、ブロック作成 「Stop Attacker」 ●SNMP Trap 「検知後、どんなアクションをしたか」を知ることはできない。

★イベントモニタ

Tips：Ciscoのサポートコミュニティ（IPS）

https://supportforums.cisco.com/community/csc-japan/security/ips

★日本語でCisco社SEさんが記事を作っています。 30個ほどの記事があります。

IPSサービス用プログラム

●シグニチャおよび検出エンジンの頻繁なアップデートとアラートの通知 ●Cisco IntelliShield Search Access 機能を利用した IPS シグニチャの取得 ●オンライン ツールおよび技術サポートを利用するための Cisco.com への登録アクセス ● Cisco Technical Assistance Center （TAC） へのアクセス ● Cisco IPS Sensor ソフトウェアの更新 ●障害が発生したハードウェアの迅速な交換 ●Cisco Services for IPS の詳細については、 http://www.cisco.com/web/JP/services/portfolio/ tss/ips.html を参照してください。

Cisco社提供の情報（for エンジニア）

●1.Cisco社 セキュリティセンター（日本語訳ページ）のチェック http://www.cisco.com/cisco/web/support/JP/index/ips-index.html 2.Cisco社 セキュリティセンター Cisco Security Intelligence Operation（SIO） （英語版）のチェック http://tools.cisco.com/security/center/home.x 3.Cisco社 セキュリティセンター（英語版）での、すべてのベンダーのセキュリティチェック http://tools.cisco.com/security/center/search.x 4.Cisco社 バグツールキット http://tools.cisco.com/security/center/publicationListing.x

Cisco社提供の情報

●Cisco Security Manager、Cisco Security MARS、および Cisco IPS Manager Express の詳細 http://www.cisco.com/jp/go/csmanager/ http://www.cisco.com/jp/go/mars/ http://www.cisco.com/jp/go/ime/ ●Cisco Security Center http://www.cisco.com/security

まとめ

シグニチャ ・重要度 ・信頼度

ｲﾍﾞﾝﾄ ｱｸｼｮﾝ

ｵｰﾊﾞﾗｲﾄﾞ

ｲﾍﾞﾝﾄ ｱｸｼｮﾝ ﾌｨﾙﾀ

ﾘｽｸﾚｰﾃｨﾝｸﾞ

ﾘｽｸｶﾃｺﾞﾘ

ｼｸﾞﾆﾁｬ 更新

ﾙｰﾙ/ﾎﾟﾘｼｰ=判断基準

× 情報収集