キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

[Network Security Platform]NSM 9.1におけるUDSのImport方法

McAfeeでは、最新の脅威に迅速に対応するために、通常のSignature Setに組み込む前にUDS (User Defined Signatures) を提供する場合がございます。
これらのMcAfeeが提供したUDSについては、通常のSignature Setに組み込まれると自動的に廃止されます。
本項では、NSM 9.1におけるUDSの確認方法及びImport方法を記載いたします。

■UDSの確認方法
McAfeeから提供されるUDSについては、以下のKBを確認してください。

 Network Security Platform User Defined Signature (UDS) Releases (KB55447)

上記KBに提供されているUDS及びダウンロード方法が記載されています。
UDSの表.png

UDSについては通常、次にリリースされるSignature Setに含まれます。
UDSが含まれたSignature Setを既に適用している場合は、UDSの適用は不要です(適用することはできません)。

利用しているSignature Setに対象UDSが含まれているを確認したい場合は、Network Security Manager (NSM) にて、対象UDSのAttack ID (NSP ID) やCVE番号を検索してください。
Attack IDやCVE番号は各UDSのリリースノートに記載されています。

例)"UDS for HTTP: Adobe Flash Player Use After Free Vulnerability (CVE-2018-4878)" の場合
上述のKB55447の表のArticleにある "KB90252" をクリックし、当該UDSの情報を確認

KB90252のUDSの情報.png
上記にて、Attack ID やCVE番号 (CVE Number) を確認することができます。

確認した結果、UDSが含まれていない場合は、UDSを含むSignature Setを適用するか、対象UDSをImportを検討してください。

確認画面例)
上記のUDSが含まれていない場合、"0x45223900" または "CVE-2018-4878" でフィルターしても該当のAttackが表示されません。
Importされていないことがわかる画面結果.png

 

■UDSのImport手順
以降の手順では、Custom Attack Definitions Guideを参照しています。

 Network Security Platform 9.1 Custom Attack Definitions Guide (PD27020)
 (p41 "Importing McAfee defined custom attacks" を参照)

手順の詳細や設定項目に関しては、基本的に上記ドキュメントをご確認ください。
以下では、NSM 9.1における参考手順を記載いたします。

  1. UDSのダウンロード
    対象UDSのリリースノートに添付されたファイルをダウンロードしてください。

    AttachされたUDSのファイル.png
    例)KB90252のUDSをダウンロードする場合
     NSM 9.1に対応したファイルである "Emergency_UDS_2.zip" をダウンロードします。

    ※どのファイルがどのバージョンに対応しているかは必ずリリースノートを確認してください。


  2. NSMにGUIでログイン
    1-MDR.png


  3. [Policy] > [Policy Types] > [IPS Policies] に移動し、[Custom Attacks] をクリック
    CustomAttacksをクリックする画面.png


  4. [Other Actions] の「▼」をクリックし、"Import" をクリック
    OptionActionの選択画面.png


  5. UDSの情報の入力
    ・[Browse] をクリックし、1でダウンロードしたUDSのファイルを選択
    ・UDSの内容に応じて、Protection Categoryを選択
    上記を選択後、[Import] をクリック

    設定画面例)
    Import画面.png


  6. Import Resultsの確認
    "Successfully Imported" がカウントされ、Failedとなっていないことを確認
    ※確認後、[×] をクリックして画面を閉じてください。

    ImportResults.png


  7. ImportしたUDSをSave
    Custom Attack画面で対象UDSが表示されることを確認し、[Save] をクリック

    設定画面例)
    Save画面.png

    [Save] クリック後、確認のポップアップが表示されるため、[OK] をクリック
    Save後のConfirmation画面.png


  8. ImportされたUDSの確認
    Import完了後、[Policy] > [Intrusion Prevention] > [Policy Type] にてセンサに適用しているPolicyを選択し、Attack IDやCVE番号を検索して対象UDSが表示されることを確認

    確認画面例)
    Importされたことがわかる画面結果.png

以上で、NSM 9.1におけるUDSのImport及び確認は完了となります。
参考にしていただけますと幸いです。

寄稿者:
バージョン履歴
改訂番号
5/5
最終更新:
‎03-29-2018 05:47 AM
更新者: