• 1. はじめに
• 2. Rulesページの表示方法について
• 3. ルールのフィルタや確認例
• 3.1. 指定 CVE ID のフィルタ
• 3.2. 指定カテゴリのフィルタ
• 3.3. 任意文字列のフィルタ
• 3.4. Snortルールアップデート内容の確認
• 3.5. 各ルールの詳細確認
• 4. 参考情報

 

1. はじめに

Snort 2 Version では Intrusion Policyの Rulesページのフィルタ機能により、柔軟なルールの検索が可能です。

本ドキュメントでは、Firepower Management Center (FMC)の Rulesページのフィルタの活用や確認例について紹介します。

 

2. Rulesページの表示方法について

FMC のGUIにアクセスし、Policies > Intrusion > Intrusion Policy に移動し、対象Policy の "Snort 2 Version" をダブルクリックします。

 Policy Information ページが表示されますので、Rulesをクリックします。

 

3. ルールのフィルタや確認例

１つ もしくは 複数の条件を組み合わせての フィルタ出力が可能です。以下に主なフィルタや確認例について紹介します。

 

3.1. 指定 CVE ID のフィルタ

Rule Contentの Referenceより "CVE ID"をクリックし、任意CVE IDを入力します。 以下画面は、"CVE ID"に"2014-0160"を指定した場合の、OpenSSL Heartbleed Vulnerability (CVE-2014-0160) に関連するルールの フィルタ結果(一覧)の出力例です。

 

 

3.2. 指定カテゴリのフィルタ

Categoryより 任意のカテゴリを選択します。 以下画面は、カテゴリ"browser-ie"のフィルタ結果(一覧)です。 

複数の条件を AND条件で 組み合わせる事も可能です。 以下画面は、Priorityの "high"を続けて選択した場合の、カテゴリ"browser-ie"の プライオリティの高いルールの フィルタ結果(一覧)の出力例です。

 

 

    

3.3. 任意文字列のフィルタ

任意文字列を、１つ もしくは 複数 組み合わせてのフィルタが可能です。  [Category] [Message] [SID] の各フィールドの 指定された文字列を検索します。 大文字と小文字は区別されません。 複数の文字列を指定時は、AND検索となります。

以下画面は、キーワード "Brute"と"Force"を検索した場合の、Brute Force Attack(総当たり攻撃)に関連するルールのフィルタ結果(一覧)の出力例です。

 

 

 

3.4. Snortルールアップデート内容の確認

Rules > Rule Updateより、Snort Rule Update(SRU)更新時の変更内容や新規ルール一覧を確認できます。  

  

3.5. 各ルールの詳細確認

任意ルールをダブルクリックする事で、詳細内容を確認することができます。

 

 

4. 参考情報

• Firepower Management Center バージョン 6.4 : ルールを使用した侵入ポリシーの調整
• Firepower Management Center Snort 3 バージョン 7.0 設定ガイド
• Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
• Firepower System and FTDトラブルシューティング