はじめに
Intrusion Policy内の Suppression設定を用いる事で、任意Ruleの Intrusion Eventの生成の抑制が可能です。
本ドキュメントでは、当Suppression機能の設定例、及び、実際の動作確認例として Intrusion Policy にて ICMP packet を検知した際に生成される Intrusion Event の抑制(Suppression)の設定と確認方法を紹介します。
本ドキュメントは、Cisco Firepower Management Center for VMWare バージョン 6.3.0.2、Cisco Firepower Threat Defense Virtual for VMware バージョン 6.3.0.2を用いて確認、作成しております。
構成例
本ドキュメントは、以下の構成で、動作確認例を紹介します。
設定例
Intrusion Policy ベースの抑制(Suppression)は、予め設定された基準に基づいて、特定のルール(Signature)がトリガーされた際に、Intrusion Event の抑制(生成されないこと)を実現できます。FMC の Policies > Intrusion > Intrusion Policy 箇所で、対象ルールを選択し、"Event Filtering"箇所で抑制(Suppression)の詳細内容を設定できます。以下は SID 408 PROTOCOL-ICMP Echo Reply に対する抑制の設定例です。
抑制のタイプ(Suppression Type)は Rule、Source、Destination の 3つ が存在し、それぞれの違いは以下の通りです。
- Rule:選択したルールのイベントを完全に抑制します
- Source:指定した送信元 IP アドレスから送信されるパケットによって生成されるイベントを抑制します
- Destination:指定した宛先 IP アドレスに送信されるパケットによって生成されるイベントを抑制します
動作確認例
以下は Intrusion Policy 中の SID 408 PROTOCOL-ICMP Echo Reply によって ICMP パケット検知時に、抑制のタイプが Destination に設定された場合の動作を紹介します。
1. 対象ルール SID 408 PROTOCOL-ICMP Echo Reply の Rule State を Drop and Generate Events に設定します。
2. Client A -> Server 、Client B -> Server への ICMP トラフィックをヒットするための ACP(Access Control Policy) を作成し、対象 Intrusion Policy を呼び出すように設定します。
3. Client A -> Server、Client B -> Server への Ping を実施し、Ping Failed ことを確認できます。また、以下の画像では、両 Client に対する Intrusion Event が生成されたことを確認できます。
4. SID 408 PROTOCOL-ICMP Echo Reply に対して、宛先が Client A(192.168.11.1)に送信されるパケットによって生成されるイベントの抑制を設定します。
5. 抑制を設定された後の SID 408 PROTOCOL-ICMP Echo Reply の行で Event filters のマークを確認できます。
6. 上記の変更内容を Commit し、Deploy します。
7. 再度、Client A -> Server、Client B -> Server への Ping を実施し、Ping Failed ことを確認できます。また、以下の画像では、Client A (192.168.11.1)に対する Intrusion Event が抑制された(生成されない)ことを確認できます。
参考情報
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
