はじめに
本ドキュメントでは、Firepower / FTD の Intrusion Event の表示数の確認方法と、カスタマイズしたい場合の変更方法について記載いたします。
なお、デフォルト設定が推奨値のため、特に理由なく変更は推奨されません。
概要
Firepower / FTD の Snort (Intrusion) のルールマッチングは、アクセスリストのように初めに条件にヒットした 1 ルールのみをイベントとして検知・表示 (ファーストマッチ) させるものではなく、ルールにヒットした後もマッチング処理を続け複数のルールを検知・表示させます。 1パケットあたりの 最大検知可能数は デフォルト 5つ となります。
以下の図のように、コネクションイベント内の "Intrusion Events" のアイコンをクリックすると、複数ルールにマッチした場合、複数のイベントが表示されることが確認できます。
設定方法
パケットに対しいくつまでイベントを検知・表示させるかについては、Access Control Policy の Advanced タブ内で設定可能です。( 検知・表示数を増加させると機器への負荷も増加します。推奨はデフォル値となります。)
以下の図のように、Performance Settings 内の Pattern Matching Limits でマッチングの最大数の設定、Intrusion Event Logging Limits においてイベント用スタックのサイズとイベント表示数を設定します。
例えば以下のように Pattern Matching Limits を デフォルトの 5 から 7 へ、Intrusion Event Logging Limits の イベントスタックのサイズとイベント表示数をそれぞれデフォルト値の 8 から 9 、 5 から 7 へと変更します。
この場合、設定デプロイ後は、以下のように 7 つまでイベントを表示させることが可能です。
* イベントスタックのサイズ ( Maximum Events Stored Per Packet ) を超えて検知した場合は特定の法則に基づくイベントの優先順位に従い、優先順位の低いイベントが破棄されます。