プロトコルの設定

新しいプロトコルを設定するか、システム設定のプロトコルのオプションを修正するには、この画面を使います。Symantec Data Loss Prevention は、プロトコルがシステム設定 (Symantec Data Loss Prevention システムによって事前に設定済み) かユーザー設定かによって、異なる方式で処理します。Symantec Data Loss Prevention は、システム設定のプロトコル (SMTP、HTTP など) を、プロトコルシグネチャに基づいて認識します。ユーザー設定の TCP プロトコル (Telnet など) は、トラフィックが流れるポートに基づいて認識します。
次のプロトコルを含む多くのアプリケーションプロトコルは IPv4 と IPv6 の両方でサポートされます。
  • SMTP
  • HTTP
  • FTP
  • Telnet
  • VLAN
  • カスタム
次のプロトコルは IPv4 でサポートされますが、IPv6 ではサポートされません。
  • NNTP
  • GRE
  • IM:MSN
  • IM:Yahoo
  • IM:AOL
Symantec Data Loss Prevention
ユーザーインターフェースで IPv6 アドレスを指定する場合、別途の記述がない限り、完全に正規化された形式で IPv6 アドレスを入力することがベストプラクティスとして推奨されます。完全に正規化された IPv6 アドレスでは、先頭のゼロは省略され、連続するゼロはコロンにより圧縮されます。正規化されたアドレスを入力する場合、通常、この形式で表示されます。
ほとんどの場合、IPv6 アドレスの推奨入力形式は完全に圧縮または省略された状態です。使用方法に応じて、次の例は
Symantec Data Loss Prevention
での IPv6 アドレスの入力として受け入れられます。
  • ロング - 128 ビット。一般的に16 進数 4 桁のフィールド 8 組として表記されます。例:
    1000:0200:0003:0000:0000:0000:0000:abcd
  • 完全圧縮 (別名「ダブルコロン」) - 内部のゼロフィールドがダブルコロンによって置換されます。例:
    1000:200:3::abcd
  • 省略 - 先頭のゼロが削除されます。例:
    1000:200:3:0:0:0:0:abcd
URL または電子メールアドレスに表示される IPv6 アドレスは、そのアドレスを送信する HTTP クライアント (通常、Web ブラウザ) として表されます。通常、URL や電子メールアドレスは明示的な IP アドレスではなくホスト名を使うため、URL に IPv6 アドレスが表示されることは一般的ではありません。この動作は IPv4 アドレスについても当てはまります。
[プロトコルの設定]
画面では、IPv4 と IPv6 の組み合わせをセミコロンで区切って入力できます。
各セクションのオプションを表示するには、右矢印をクリックします。利用可能なフィールドでプロトコルに関する情報を入力または修正します。
[プロトコル]フィールド
フィールド
説明
名前
プロトコルの名前を入力または修正します。256 文字まで使うことができます。プロトコルの名前はシステムのいくつかの場所に表示されるため、わかりやすい名前を入力します。
この値は必須です。
ポート
このフィールドはユーザー設定の TCP プロトコルにのみ表示されます。プロトコルと関連付けされる 1 つ以上のポート番号を入力します。ポート番号はカンマまたはハイフンで区切ります。たとえば、18, 23, 25-29, 82 のように入力します。Telnet プロトコルを設定する場合は、ポート番号として 23 を入力します。
監視する低い番号のポート
このフィールドは HTML と SMTP のようなシステム設定のプロトコルにのみ表示されます。Symantec Data Loss Prevention で監視する 1024 未満のポート番号を入力します。任意のプロトコルに指定するポートは、ポジティブフィルタとして機能するように集積されます。これらのポートは、Symantec Data Loss Prevention に対して、指定した各ポートについてすべてのプロトコルの種類のトラフィックを監視するように指示します。たとえば、SMTP エントリにポート 25 を指定した場合、そのポートはすべてのプロトコルの種類のトラフィックについて監視されます。少なくとも 1 つのプロトコルについて 1024 未満のポートを指定しないかぎり、1024 未満のポートは監視されないことに注意してください。デフォルトでは、
Symantec Data Loss Prevention
は 1024 以上のポートのトラフィックを監視します。
IP
使用する IP ベースのフィルタを入力します。このフィールドを空白のままにすると、Symantec Data Loss Prevention はすべてのストリームと一致し、すべてのストリームを格納します。
[プロトコルの設定]
画面では、IPv4 と IPv6 の組み合わせをセミコロンで区切って入力できます。
IPv6 アドレスでプロトコルフィルタを設定する場合は、次の点に注意してください。
  • フィルタは CIDR (classless inter-domain routing) ブロックで指定します。アドレスのサブネットのビットマスクサイズはエントリがネットワークアドレスと完全一致する必要があることを示します。このビットマスク制限は IPv4 アドレスの場合は 32 ビット、IPv6 アドレスの場合は 128 ビットです。
  • IPv4 と IPv6 フィルタは完全に独立しています。
  • すべての有効な形式がサポートされます。
  • IPv4 フィルタと同じように、IPv6 フィルタは検出サーバーごとに上書きできます。
  • ユーザーインターフェースのプロトコル IP フィルタリストの制限は 2800 バイトです。
IP プロトコルフィルタの形式 (プロトコル定義とプロトコルフィルタの定義で見つかる) は次のとおりです。
IP Protocol Filter := protocol_filter_entry [; protocol_filter_entry ] Protocol Filter Entry := -|+, destination_subnetwork_description , source_ subnetwork_description Subnetwork description := network_address / subnet_bitmask_size | *
各ストリームはフィルタエントリに対して、エントリがストリームの IP パラメータと一致するまで、順番に評価されます。
エントリの先頭のマイナス記号 (-) は、ストリームがドロップされることを示します。
エントリの先頭のプラス記号 (+) は、ストリームが保たれることを示します。
サブネットネットワークの記述の * は、どのパケットでもこのエントリと一致することを意味します。
アドレスのサブネットのビットマスクサイズはエントリがネットワークアドレスと完全一致する必要があることを示します。この制限は IPv4 アドレスの場合は 32 ビット、IPv6 アドレスの場合は 128 ビットです。
たとえば、IPv4 の場合、フィルタ +,10.67.0.0/16,*;-,*,* は、ネットワーク 10.67.x.x に向かうすべてのストリームに一致しますが、その他のどのトラフィックとも一致しません。
IPv6 アドレスはネットワーク監視でサポートされますが、IPv4 フィルタと IPv6 フィルタは互いに完全に独立しています。
IPv4 ブロックと IPv6 ブロックの両方とも
<address>/<マスク サイズ>
の CIDR 表記で指定します。たとえば、.*.*. のように記述します。
fdda:e808::/32
- ここでは
fdda:e808::
がアドレス、
32
がマスクサイズです。または
10.0.2.0/24
- ここでは
10.0.2.0
がアドレス、
24
がマスクサイズです。
認識特性を定義する際に特定すればするほど、結果も特定されます。たとえば、特定の 1 つの IP アドレスのみを定義すると、その IP アドレスに関連するインシデントのみがキャプチャされます。IP アドレスを定義しないか、または広い範囲の IP アドレスを定義した場合、より大まかな結果が得られます。
フィルタ (サーバーレベルで強制変更の可能性あり)
[フィルタ]フィールドでは、負荷を減らしシステムパフォーマンスを改善するために無視するトラフィックについての詳細を指定できます。このセクションは、個々のサーバーの
[プロトコルフィルタ]
メニューにも含まれています。
IP フィルタ
プロトコルで、不要なトラフィックをフィルタで除外します。IP と同じ IP プロトコルフィルタ形式を使います。
L7 送信者フィルタ
評価する次のいずれかの項目を指定します。
  • 送信者の電子メール (SMTP/MSN IM)
  • IP アドレス (UTCP)
  • プロキシ認証済みのユーザー名 (プロキシ処理された HTTP/FTP)
  • ユーザー名 (AIM/Yahoo IM)
IPv6 アドレスで L7 フィルタを設定する場合は、次の点に注意してください。
  • フィルタはワイルドカードで指定します。
  • ロング形式の IPv6 アドレスのみが受け入れられます。正規化された (完全圧縮または省略) IPv6 アドレスを使わないでください。たとえば、IPv6 アドレスが有効です。
    fdda:*:*:*:*:*:*:*
ロング形式の IPv4 と IPv6 アドレスのみが有効です。
IPv4 の場合、ドットによって区切られた 4 つのフィールドがロング形式の有効なアドレスです。次に例を示します。
1.2.*.*
IPv6 の場合、コロンによって区切られた 8 つのフィールドがロング形式の有効なアドレスです。次に例を示します。
1:2:3:4:*:*:*:*
IPv4 と IPv6 の両方では、フィルタはワイルドカードで指定し、フィルタリングはカスタムプロトコルのみに適用されます。
フィルタエントリの形式について詳しくは
L7 受信者フィルタ
の説明を参照してください。
L7 受信者フィルタ
評価の対象となる、受信者の電子メール (SMTP/MSN IM/FTP)、IP アドレス (UTCP)、ユーザー名 (Yahoo IM/AIM) または URL (HTTP)。
送信者/受信者ルールで IPv6 アドレスを使う場合は、次の点に注意してください。
  • フィルタはワイルドカードで指定します。
  • ロング形式の IPv6 アドレスのみが受け入れられます。正規化されたアドレスを使わないでください。
  • インラインと再利用可能なパターンがサポートされます。
特定の送信者から、または特定の受信者へのメッセージを含める (検査する) または除外する (無視する) ためにフィルタを使うことができます。一致結果を含むかまたは除外するために、各エントリの前にプラス記号 (+) かマイナス記号 (-) を付けてください。次に例を示します。
  • プラス記号 (+) で始まる電子メールアドレスマスクは、一致するメッセージを検査のために保持します。送信者フィルタ +*@abc.com を追加すると、ドメイン abc.com のすべての人から送信されるすべてのメッセージが検査されます。
  • マイナス記号 (-) で始まる電子メールアドレスマスクは、一致するメッセージを検査から除外します。受信者フィルタ
    -
    *@xyz.com を追加すると、ドメイン xyz.com のすべての人に送信されるすべてのメッセージは検査されません。
フィルタの式の末尾にアスタリスク (*) を追加すると、どのフィルタマスクとも明示的に一致しないメッセージは無視されます。たとえば、送信者フィルタ +*@abc.com,*, を追加すると、ドメイン abc.com のすべての人から送信されるすべてのメッセージが検査されますが、その他すべてのメッセージは無視されます。
また、アドレス文字列の他の所にアスタリスクワイルドカードを含めることもできます。特定のフィルタの構文はプロトコルによって決まります。たとえば、電子メールでは、次のようにフィルタ文字列の任意の場所でワイルドカードを使うことができます。
  • +*@symantec.com は symantec.com に対して送受信されるすべての電子メールを検査します。
  • +*.symantec.com は symantec.com のサブドメインに対して送受信されるすべての電子メールを検査します。
  • -*symantec.com は symantec.com で終わる任意の電子メールアドレスに対して送受信されるすべての電子メールを除外します。
  • [email protected][email protected] に対して送受信されるすべての電子メールを除外します。
フィルタが評価される順序は左から右です。たとえば、次の受信者フィルタを追加したとします。
[email protected], +*@xyz.com,*,
[email protected] に送信されるすべてのメッセージは無視され、ドメイン xyz.com のすべての人に送信されたすべてのメッセージが検査されます。最後のアスタリスクは、フィルタに対してその他すべてのメッセージを無視するように指示します。
送信者フィルタと受信者フィルタが競合した場合、該当するメッセージは無視されます。たとえば、ある特定のメッセージに対して送信者フィルタの評価が「検査する」で、受信者フィルタの評価が「無視する」である場合などに、この状況が発生することがあります。
受信者フィルタに複数の除外マスクがある場合、受信者が任意の除外マスクに一致すると、メッセージが除外対象になります。たとえば、受信者フィルタが -*@xyz.com, -*@abc.com の場合、ドメイン xyz.com
abc.com に送信されたメッセージはすべて無視されます。また、xyz.com と abc.com の両方ではなく
いずれか
に送信されたメッセージが無視されます。メッセージに他のドメインの受信者がいる場合、メッセージは検査されます。
次のフィルタを追加すると、ドメイン xyz.com から
受信
したメールを監視する一方で、xyz.com に
送信
したメールを無視できます。
L7 Sender Filter: +*@xyz.com, * L7 Recipient Filter: -*@xyz.com
コンテンツ
キャプチャされたパケットストリームに対してテキスト一致を使って不要なメッセージをフィルタで除外する、包含ベースのアプローチ。すべてのコンテンツフィルタエントリが一致する必要があります。そうでない場合、ストリームはドロップされます。コンテンツフィルタの形式は次のとおりです。
Content Filter := content_filter_entry [; content_filter_entry ] Content Filter Entry := I, heading_name , heading_value [, heading_ value ]
処理はストリームを走査し、見出しの名前を見つけます。見出しのいずれかの値は、見出しの名前の後のテキストに一致する必要があります。見出しと値の間の空白は無視されます。大文字の使い分けは無視されます。
たとえば、フィルタ
I,user-agent:,mozilla,opera;I,content-type:,multipart
が一致するのは、テキスト
user-agent:
のすぐ後に
mozilla
opera
があり、テキスト
content-type:
のすぐ後にテキスト
multipart
がある場合のみです。
また、
user-agent:mozilla
content-type:multipart
を含むストリームは維持されますが、
user-agent:mozilla
content-type:text/plain
を含むストリームはドロップされます。
検索の深さ (パケット)
指定の文字列を検索する深さを表すパケット数。値は正の値で 65000 以下である必要があります。
この値は必須です。
検索が深いほど時間がかかります。
サンプリング (処理数/10000)
代表的なサンプリングとして監視する、10,000 件あたりのメッセージ数。たとえば、Symantec Data Loss Prevention でこのプロトコルのすべてのメッセージを検索するには、10000 と入力します。200 と入力すると、10,000 件あたり 200 件のメッセージが検索されます。値は正の値で 17280 以下である必要があります。
この値は必須です。
コンテンツ処理
このプロトコルでのメッセージの処理方法を指定するには、[コンテンツ処理]セクションを使います。
次のいずれかのオプションを選択します。
  • [汎用文字列抽出]
    - すべての適用可能なポリシーに対してメッセージ全体を評価します。
  • [コンテンツを処理しない]
    - コンテンツをまったく評価せず、すべてのメッセージをインシデントとしてカウントします。
インシデント表現
次のいずれかのオプションを選択します。
  • [単方向]
    - 発信トラフィックのみ評価します。
  • [双方向]
    - 接続の双方向から 1 文字ずつ評価します。方向ごとに 1 つ、合計 2 つの別々のテキストブロックとして表します。このオプションは一般に telnet とそれに類似したプロトコルのために使われます。
  • [双方向インターレース]
    - 接続の双方向からテキストブロックを 1 個ずつ評価します。ブロックは、伝送された順序に戻すよう試みられます。それらは混在します。複数のテキストブロックが存在することがあります。このオプションは一般にインスタントメッセージとそれに類似したプロトコルのために使われます。
書き込みまでの最大待ち時間
ストリームがディスクに書き込まれるまでアクティブに維持される、5 秒単位の間隔の最大数。デフォルト値は 6 です。値は正の値で 17280 以下である必要があります。
この値は必須です。
破棄までの最大待ち時間
ストリームコンテンツがディスクにダンプされてからストリームがメモリ内に維持される、5 秒単位の間隔の最大数。デフォルト値は 10 です。値は正の値で 17280 以下である必要があります。
この値は必須です。
最大ストリームパケット
ストリームがディスクにスプールされるまでの、ストリームのパケットの最大数。デフォルト値は 20000 です。値は正の値で 100000 以下である必要があります。
この値は必須です。
最小ストリームサイズ
ストリームの最小サイズ。デフォルト値は 0 です。値は負の値でない必要があります。
この値は必須です。
最大ストリームサイズ
ストリームの最大サイズ。デフォルト値は 30000000 です。値は負の値でない必要があります。
この値は必須です。
セグメント間隔
永続的なストリームを個々のメッセージに分割する試行間の、5 秒単位の間隔の数。デフォルト値は 12 です。値は正の値で 3600 以下である必要があります。
この値は必須です。
トラフィック通知タイムアウトなし (秒単位)
システム警告が送信されるまでにプロトコルに新しいパケットが見られない秒数。デフォルト値は 600 です。値は正の値で 60 以上 604800 以下である必要があります。
この値は必須です。
FIN で終了したか
このオプションを選択すると、FIN パケットまたは RST パケットによって、ストリームがディスクにすぐに書き込まれます。
値の追加が完了した後の手順
  1. [保存]
    をクリックして、プロトコルに対するすべての変更を保存します。
  2. IP フィルタに変更を加えた場合は、影響を受けるすべての Monitor Server を再起動します。
  3. L7 フィルタに変更を加えた場合は、影響を受けるすべての Monitor と Prevent Server を再起動します。
  4. または、プロトコルのすべての変更をキャンセルするには、
    [キャンセル]
    をクリックします。