Snort ルール
Snort ルール とは何ですか?
Snort ルールSnort 侵入検知ルール言語で記述されたシグネチャで、IDS/IPS モードでアラートやブロックの対象となるネットワーク トラフィック パターンを表す。
Snort は、Martin Roesch が 1998 年に開発し、現在は Cisco Talos が維持する長年の実績を持つオープンソースの IDS/IPS です。Snort ルールはヘッダー (アクション、プロトコル、送信元/宛先のアドレスとポート、方向) と、ペイロード パターンとメタデータを記述するオプション本体 (content、pcre、flow、sid、rev、classtype、reference) で構成されます。ルールは community、registered、subscriber の各セットに整理され、Talos のフィードで配布されて、Snort 2、Snort 3、多くの商用 NGFW・IDS で利用されます。防御側は固有のエクスプロイト、マルウェア C2、ポリシー違反を検出するためにカスタム ルールを記述します。
● 例
- 01
既知の C2 User-Agent 文字列に一致する外向き HTTP トラフィックを警告する Snort ルール。
- 02
Talos ルール セットを購読し、Snort 3 で重大 CVE を当日カバレッジで保護する。
● よくある質問
Snort ルール とは何ですか?
Snort 侵入検知ルール言語で記述されたシグネチャで、IDS/IPS モードでアラートやブロックの対象となるネットワーク トラフィック パターンを表す。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Snort ルール とはどういう意味ですか?
Snort 侵入検知ルール言語で記述されたシグネチャで、IDS/IPS モードでアラートやブロックの対象となるネットワーク トラフィック パターンを表す。
Snort ルール はどのように機能しますか?
Snort は、Martin Roesch が 1998 年に開発し、現在は Cisco Talos が維持する長年の実績を持つオープンソースの IDS/IPS です。Snort ルールはヘッダー (アクション、プロトコル、送信元/宛先のアドレスとポート、方向) と、ペイロード パターンとメタデータを記述するオプション本体 (content、pcre、flow、sid、rev、classtype、reference) で構成されます。ルールは community、registered、subscriber の各セットに整理され、Talos のフィードで配布されて、Snort 2、Snort 3、多くの商用 NGFW・IDS で利用されます。防御側は固有のエクスプロイト、マルウェア C2、ポリシー違反を検出するためにカスタム ルールを記述します。
Snort ルール からどのように防御しますか?
Snort ルール に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Snort ルール の別名は何ですか?
一般的な別名: Snort シグネチャ, Talos ルール。
● 関連用語
- network-security№ 547
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
- network-security№ 548
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
- network-security№ 1043
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
- defense-ops№ 1117
Suricata
Open Information Security Foundation (OISF) が維持する、高性能なオープンソース ネットワーク IDS / IPS / セキュリティ モニタリング エンジン。
- network-security№ 295
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
- network-security№ 724
ネットワーク型 IDS(NIDS)
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。