• 1. はじめに
• 2. Rulesページの表示方法について
• 3. ルールのフィルタや確認例
• 3.1. 指定 CVE ID のフィルタ
• 3.2. 指定カテゴリのフィルタ
• 3.3. 任意文字列のフィルタ
• 3.4. Snortルールアップデート内容の確認
• 3.5. 各ルールの詳細確認
• 4. 参考情報

1. はじめに

Intrusion Policyの Rulesページのフィルタ機能により、柔軟なルールの検索が可能です。

本ドキュメントでは、Firepower Management Center (FMC)の Rulesページのフィルタの活用や確認例について紹介します。

2. Rulesページの表示方法について

FMC (旧称:FireSIGHT) にアクセスし、Policies > Intrusion > Intrusion Policy に移動し、対象のPolicyをダブルクリックします。

Policy Information ページが表示されますので、Rulesをクリックします。

3. ルールのフィルタや確認例

１つ もしくは 複数の条件を組み合わせての フィルタ出力が可能です。以下に主なフィルタや確認例について紹介します。

3.1. 指定 CVE ID のフィルタ

Rule Contentの Referenceより "CVE ID"をクリックし、任意CVE IDを入力します。 以下画面は、"CVE ID"に"2014-0160"を指定した場合の、OpenSSL Heartbleed Vulnerability (CVE-2014-0160) に関連するルールの フィルタ結果(一覧)の出力例です。

3.2. 指定カテゴリのフィルタ

Categoryより 任意のカテゴリを選択します。 以下画面は、カテゴリ"browser-ie"のフィルタ結果(一覧)です。

複数の条件を AND条件で 組み合わせる事も可能です。 以下画面は、Priorityの "high"を続けて選択した場合の、カテゴリ"browser-ie"の プライオリティの高いルールの フィルタ結果(一覧)の出力例です。

3.3. 任意文字列のフィルタ

任意文字列を、１つ もしくは 複数 組み合わせてのフィルタが可能です。  [Category] [Message] [SID] の各フィールドの 指定された文字列を検索します。 大文字と小文字は区別されません。 複数の文字列を指定時は、AND検索となります。

以下画面は、キーワード "Brute"と"Force"を検索した場合の、Brute Force Attack(総当たり攻撃)に関連するルールのフィルタ結果(一覧)の出力例です。

3.4. Snortルールアップデート内容の確認

Rules > Rule Updateより、Snort Rule Update(SRU)更新時の変更内容や新規ルール一覧を確認できます。

3.5. 各ルールの詳細確認

任意ルールをダブルクリックする事で、詳細内容を確認することができます。

4. 参考情報

FireSIGHT 5.3.1: 侵入ポリシー内のルールの管理
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/ELEKTRA-Intrusion-Rule-Management.html?bid=0900e4b18404e36b#pgfId-1029220

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733