1. はじめに
Intrusion Policyの Rulesページのフィルタ機能により、柔軟なルールの検索が可能です。
本ドキュメントでは、Firepower Management Center (FMC)の Rulesページのフィルタの活用や確認例について紹介します。
2. Rulesページの表示方法について
FMC (旧称:FireSIGHT) にアクセスし、Policies > Intrusion > Intrusion Policy に移動し、対象のPolicyをダブルクリックします。
Policy Information ページが表示されますので、Rulesをクリックします。
3. ルールのフィルタや確認例
1つ もしくは 複数の条件を組み合わせての フィルタ出力が可能です。以下に主なフィルタや確認例について紹介します。
3.1. 指定 CVE ID のフィルタ
Rule Contentの Referenceより "CVE ID"をクリックし、任意CVE IDを入力します。 以下画面は、"CVE ID"に"2014-0160"を指定した場合の、OpenSSL Heartbleed Vulnerability (CVE-2014-0160) に関連するルールの フィルタ結果(一覧)の出力例です。
3.2. 指定カテゴリのフィルタ
Categoryより 任意のカテゴリを選択します。 以下画面は、カテゴリ"browser-ie"のフィルタ結果(一覧)です。
複数の条件を AND条件で 組み合わせる事も可能です。 以下画面は、Priorityの "high"を続けて選択した場合の、カテゴリ"browser-ie"の プライオリティの高いルールの フィルタ結果(一覧)の出力例です。
3.3. 任意文字列のフィルタ
任意文字列を、1つ もしくは 複数 組み合わせてのフィルタが可能です。 [Category] [Message] [SID] の各フィールドの 指定された文字列を検索します。 大文字と小文字は区別されません。 複数の文字列を指定時は、AND検索となります。
以下画面は、キーワード "Brute"と"Force"を検索した場合の、Brute Force Attack(総当たり攻撃)に関連するルールのフィルタ結果(一覧)の出力例です。
3.4. Snortルールアップデート内容の確認
Rules > Rule Updateより、Snort Rule Update(SRU)更新時の変更内容や新規ルール一覧を確認できます。
3.5. 各ルールの詳細確認
任意ルールをダブルクリックする事で、詳細内容を確認することができます。
4. 参考情報
FireSIGHT 5.3.1: 侵入ポリシー内のルールの管理
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/ELEKTRA-Intrusion-Rule-Management.html?bid=0900e4b18404e36b#pgfId-1029220
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733