各 signature の設定を確認すると、ステータスのフィールドにenable と retired という記述が
確認できると思います。用語的には、有効(enable) と リタイア(retired) と類似しているように
思われると思います。
では、実際にはどのように2つの用語を使用してどの設定をした際にどのようになるかを
ご説明いたします。
<signature の設定抜粋>
sensor(config-sig-sig-sta)# sho setting
status
-----------------------------------------------
enabled: true <----- here
retired: false <----- here
obsoletes (min: 0, max: 65535, current: 0)
-----------------------------------------------
まず、retired と enable の関係ですが大本にあるのは retired です。
retired はその設定している signature を使うかどうかとお考えください。
つまり、retired: true と設定されている場合にはその signature は使わないと
設定されているとお考えください。
retired: true の場合、enable の設定が true でも false でも signature
は使われていないと設定されているので動作いたしません。
次に、enable の設定についてご説明します。
enable は、retired: false (使うという設定時)の時にのみ設定の必要があります。
enable はその名の通り、enable: true の場合にはその signature を有効にします。
signature を有効にするとはいったいどんなことなのか疑問にもつ方もいらっしゃるかもしれません。
ここでは、そのもやもや(?)を払拭できればと考えてます。
ずばり、有効(enable:true)とは signature が攻撃を検知した際にイベントアクション
(アラートやパケットドロップなど)を起こすかどうかというものになります。
ここで言うアクションとは signature 設定の event action の事を指します。
では、有効(enable:true) の場合はどのようになっているかというと、signature の
検知動作は内部で実施して、攻撃を検知した場合にはイベントアクションを起こします。
また、無効(enable:false) の場合はどのようになっているかというと、signature の
検知動作自体は内部で実施しているが、検知をしてもイベントアクションを起こさない
というものになります。
※つまり、retired: false では signature の検知自体は有効になっているが enable
の設定によりイベントアクション起こすか起こさないかを決定するということになります。
<すべての設定パターン>
enabled: true かつ retired: false(signature は使って有効にする)
signature の検知動作を実施してかつ攻撃を検知した場合にはイベントアクションを起こす。
enabled: false かつ retired: false(signature は使うけど無効にする)
signature の検知動作を実施して攻撃を検知した場合でもイベントアクションは起こさない。
enabled: true かつ retired: true(signature を使わない)
signature の検知動作を実施しない。もちろん検知しない為、イベントアクションは発生しない。
enabled: false かつ retired: true(signature を使わない)
signature の検知動作を実施しない。もちろん検知しない為、イベントアクションは発生しない。