プロトコルの設定
新しいプロトコルを設定するか、システム設定のプロトコルのオプションを修正するには、この画面を使います。Symantec Data Loss Prevention は、プロトコルがシステム設定 (Symantec Data Loss Prevention システムによって事前に設定済み) かユーザー設定かによって、異なる方式で処理します。Symantec Data Loss Prevention は、システム設定のプロトコル (SMTP、HTTP など) を、プロトコルシグネチャに基づいて認識します。ユーザー設定の TCP プロトコル (Telnet など) は、トラフィックが流れるポートに基づいて認識します。
次のプロトコルを含む多くのアプリケーションプロトコルは IPv4 と IPv6 の両方でサポートされます。
- SMTP
- HTTP
- FTP
- Telnet
- VLAN
- カスタム
次のプロトコルは IPv4 でサポートされますが、IPv6 ではサポートされません。
- NNTP
- GRE
- IM:MSN
- IM:Yahoo
- IM:AOL
Symantec Data Loss Prevention
ユーザーインターフェースで IPv6 アドレスを指定する場合、別途の記述がない限り、完全に正規化された形式で IPv6 アドレスを入力することがベストプラクティスとして推奨されます。完全に正規化された IPv6 アドレスでは、先頭のゼロは省略され、連続するゼロはコロンにより圧縮されます。正規化されたアドレスを入力する場合、通常、この形式で表示されます。 ほとんどの場合、IPv6 アドレスの推奨入力形式は完全に圧縮または省略された状態です。使用方法に応じて、次の例は
Symantec Data Loss Prevention
での IPv6 アドレスの入力として受け入れられます。- ロング - 128 ビット。一般的に16 進数 4 桁のフィールド 8 組として表記されます。例:1000:0200:0003:0000:0000:0000:0000:abcd
- 完全圧縮 (別名「ダブルコロン」) - 内部のゼロフィールドがダブルコロンによって置換されます。例:1000:200:3::abcd
- 省略 - 先頭のゼロが削除されます。例:1000:200:3:0:0:0:0:abcd
URL または電子メールアドレスに表示される IPv6 アドレスは、そのアドレスを送信する HTTP クライアント (通常、Web ブラウザ) として表されます。通常、URL や電子メールアドレスは明示的な IP アドレスではなくホスト名を使うため、URL に IPv6 アドレスが表示されることは一般的ではありません。この動作は IPv4 アドレスについても当てはまります。
[プロトコルの設定]
画面では、IPv4 と IPv6 の組み合わせをセミコロンで区切って入力できます。 各セクションのオプションを表示するには、右矢印をクリックします。利用可能なフィールドでプロトコルに関する情報を入力または修正します。
フィールド | 説明 |
|---|---|
名前 | プロトコルの名前を入力または修正します。256 文字まで使うことができます。プロトコルの名前はシステムのいくつかの場所に表示されるため、わかりやすい名前を入力します。 この値は必須です。 |
ポート | このフィールドはユーザー設定の TCP プロトコルにのみ表示されます。プロトコルと関連付けされる 1 つ以上のポート番号を入力します。ポート番号はカンマまたはハイフンで区切ります。たとえば、18, 23, 25-29, 82 のように入力します。Telnet プロトコルを設定する場合は、ポート番号として 23 を入力します。 |
監視する低い番号のポート | このフィールドは HTML と SMTP のようなシステム設定のプロトコルにのみ表示されます。Symantec Data Loss Prevention で監視する 1024 未満のポート番号を入力します。任意のプロトコルに指定するポートは、ポジティブフィルタとして機能するように集積されます。これらのポートは、Symantec Data Loss Prevention に対して、指定した各ポートについてすべてのプロトコルの種類のトラフィックを監視するように指示します。たとえば、SMTP エントリにポート 25 を指定した場合、そのポートはすべてのプロトコルの種類のトラフィックについて監視されます。少なくとも 1 つのプロトコルについて 1024 未満のポートを指定しないかぎり、1024 未満のポートは監視されないことに注意してください。デフォルトでは、 Symantec Data Loss Prevention は 1024 以上のポートのトラフィックを監視します。 |
IP | 使用する IP ベースのフィルタを入力します。このフィールドを空白のままにすると、Symantec Data Loss Prevention はすべてのストリームと一致し、すべてのストリームを格納します。 [プロトコルの設定] 画面では、IPv4 と IPv6 の組み合わせをセミコロンで区切って入力できます。 IPv6 アドレスでプロトコルフィルタを設定する場合は、次の点に注意してください。
IP プロトコルフィルタの形式 (プロトコル定義とプロトコルフィルタの定義で見つかる) は次のとおりです。
各ストリームはフィルタエントリに対して、エントリがストリームの IP パラメータと一致するまで、順番に評価されます。 エントリの先頭のマイナス記号 (-) は、ストリームがドロップされることを示します。 エントリの先頭のプラス記号 (+) は、ストリームが保たれることを示します。 サブネットネットワークの記述の * は、どのパケットでもこのエントリと一致することを意味します。 アドレスのサブネットのビットマスクサイズはエントリがネットワークアドレスと完全一致する必要があることを示します。この制限は IPv4 アドレスの場合は 32 ビット、IPv6 アドレスの場合は 128 ビットです。 たとえば、IPv4 の場合、フィルタ +,10.67.0.0/16,*;-,*,* は、ネットワーク 10.67.x.x に向かうすべてのストリームに一致しますが、その他のどのトラフィックとも一致しません。 IPv6 アドレスはネットワーク監視でサポートされますが、IPv4 フィルタと IPv6 フィルタは互いに完全に独立しています。 IPv4 ブロックと IPv6 ブロックの両方とも <address>/<マスク サイズ> の CIDR 表記で指定します。たとえば、.*.*. のように記述します。 fdda:e808::/32 - ここでは fdda:e808:: がアドレス、32 がマスクサイズです。または 10.0.2.0/24 - ここでは 10.0.2.0 がアドレス、24 がマスクサイズです。 認識特性を定義する際に特定すればするほど、結果も特定されます。たとえば、特定の 1 つの IP アドレスのみを定義すると、その IP アドレスに関連するインシデントのみがキャプチャされます。IP アドレスを定義しないか、または広い範囲の IP アドレスを定義した場合、より大まかな結果が得られます。 |
フィルタ (サーバーレベルで強制変更の可能性あり) | [フィルタ]フィールドでは、負荷を減らしシステムパフォーマンスを改善するために無視するトラフィックについての詳細を指定できます。このセクションは、個々のサーバーの [プロトコルフィルタ] メニューにも含まれています。 |
IP フィルタ | プロトコルで、不要なトラフィックをフィルタで除外します。IP と同じ IP プロトコルフィルタ形式を使います。 |
L7 送信者フィルタ | 評価する次のいずれかの項目を指定します。
IPv6 アドレスで L7 フィルタを設定する場合は、次の点に注意してください。
ロング形式の IPv4 と IPv6 アドレスのみが有効です。 IPv4 の場合、ドットによって区切られた 4 つのフィールドがロング形式の有効なアドレスです。次に例を示します。 1.2.*.* IPv6 の場合、コロンによって区切られた 8 つのフィールドがロング形式の有効なアドレスです。次に例を示します。 1:2:3:4:*:*:*:* IPv4 と IPv6 の両方では、フィルタはワイルドカードで指定し、フィルタリングはカスタムプロトコルのみに適用されます。 フィルタエントリの形式について詳しくは L7 受信者フィルタ の説明を参照してください。 |
L7 受信者フィルタ | 評価の対象となる、受信者の電子メール (SMTP/MSN IM/FTP)、IP アドレス (UTCP)、ユーザー名 (Yahoo IM/AIM) または URL (HTTP)。 送信者/受信者ルールで IPv6 アドレスを使う場合は、次の点に注意してください。
特定の送信者から、または特定の受信者へのメッセージを含める (検査する) または除外する (無視する) ためにフィルタを使うことができます。一致結果を含むかまたは除外するために、各エントリの前にプラス記号 (+) かマイナス記号 (-) を付けてください。次に例を示します。
フィルタの式の末尾にアスタリスク (*) を追加すると、どのフィルタマスクとも明示的に一致しないメッセージは無視されます。たとえば、送信者フィルタ +*@abc.com,*, を追加すると、ドメイン abc.com のすべての人から送信されるすべてのメッセージが検査されますが、その他すべてのメッセージは無視されます。 また、アドレス文字列の他の所にアスタリスクワイルドカードを含めることもできます。特定のフィルタの構文はプロトコルによって決まります。たとえば、電子メールでは、次のようにフィルタ文字列の任意の場所でワイルドカードを使うことができます。
フィルタが評価される順序は左から右です。たとえば、次の受信者フィルタを追加したとします。
[email protected] に送信されるすべてのメッセージは無視され、ドメイン xyz.com のすべての人に送信されたすべてのメッセージが検査されます。最後のアスタリスクは、フィルタに対してその他すべてのメッセージを無視するように指示します。 送信者フィルタと受信者フィルタが競合した場合、該当するメッセージは無視されます。たとえば、ある特定のメッセージに対して送信者フィルタの評価が「検査する」で、受信者フィルタの評価が「無視する」である場合などに、この状況が発生することがあります。 受信者フィルタに複数の除外マスクがある場合、受信者が任意の除外マスクに一致すると、メッセージが除外対象になります。たとえば、受信者フィルタが -*@xyz.com, -*@abc.com の場合、ドメイン xyz.com と abc.com に送信されたメッセージはすべて無視されます。また、xyz.com と abc.com の両方ではなくいずれか に送信されたメッセージが無視されます。メッセージに他のドメインの受信者がいる場合、メッセージは検査されます。次のフィルタを追加すると、ドメイン xyz.com から 受信 したメールを監視する一方で、xyz.com に送信 したメールを無視できます。
|
コンテンツ | キャプチャされたパケットストリームに対してテキスト一致を使って不要なメッセージをフィルタで除外する、包含ベースのアプローチ。すべてのコンテンツフィルタエントリが一致する必要があります。そうでない場合、ストリームはドロップされます。コンテンツフィルタの形式は次のとおりです。
処理はストリームを走査し、見出しの名前を見つけます。見出しのいずれかの値は、見出しの名前の後のテキストに一致する必要があります。見出しと値の間の空白は無視されます。大文字の使い分けは無視されます。 たとえば、フィルタ I,user-agent:,mozilla,opera;I,content-type:,multipart が一致するのは、テキスト user-agent: のすぐ後に mozilla か opera があり、テキスト content-type: のすぐ後にテキスト multipart がある場合のみです。また、 user-agent:mozilla と content-type:multipart を含むストリームは維持されますが、user-agent:mozilla と content-type:text/plain を含むストリームはドロップされます。 |
検索の深さ (パケット) | 指定の文字列を検索する深さを表すパケット数。値は正の値で 65000 以下である必要があります。 この値は必須です。 検索が深いほど時間がかかります。 |
サンプリング (処理数/10000) | 代表的なサンプリングとして監視する、10,000 件あたりのメッセージ数。たとえば、Symantec Data Loss Prevention でこのプロトコルのすべてのメッセージを検索するには、10000 と入力します。200 と入力すると、10,000 件あたり 200 件のメッセージが検索されます。値は正の値で 17280 以下である必要があります。 この値は必須です。 |
コンテンツ処理 | このプロトコルでのメッセージの処理方法を指定するには、[コンテンツ処理]セクションを使います。 次のいずれかのオプションを選択します。
|
インシデント表現 | 次のいずれかのオプションを選択します。
|
書き込みまでの最大待ち時間 | ストリームがディスクに書き込まれるまでアクティブに維持される、5 秒単位の間隔の最大数。デフォルト値は 6 です。値は正の値で 17280 以下である必要があります。 この値は必須です。 |
破棄までの最大待ち時間 | ストリームコンテンツがディスクにダンプされてからストリームがメモリ内に維持される、5 秒単位の間隔の最大数。デフォルト値は 10 です。値は正の値で 17280 以下である必要があります。 この値は必須です。 |
最大ストリームパケット | ストリームがディスクにスプールされるまでの、ストリームのパケットの最大数。デフォルト値は 20000 です。値は正の値で 100000 以下である必要があります。 この値は必須です。 |
最小ストリームサイズ | ストリームの最小サイズ。デフォルト値は 0 です。値は負の値でない必要があります。 この値は必須です。 |
最大ストリームサイズ | ストリームの最大サイズ。デフォルト値は 30000000 です。値は負の値でない必要があります。 この値は必須です。 |
セグメント間隔 | 永続的なストリームを個々のメッセージに分割する試行間の、5 秒単位の間隔の数。デフォルト値は 12 です。値は正の値で 3600 以下である必要があります。 この値は必須です。 |
トラフィック通知タイムアウトなし (秒単位) | システム警告が送信されるまでにプロトコルに新しいパケットが見られない秒数。デフォルト値は 600 です。値は正の値で 60 以上 604800 以下である必要があります。 この値は必須です。 |
FIN で終了したか | このオプションを選択すると、FIN パケットまたは RST パケットによって、ストリームがディスクにすぐに書き込まれます。 |
値の追加が完了した後の手順
- [保存]をクリックして、プロトコルに対するすべての変更を保存します。
- IP フィルタに変更を加えた場合は、影響を受けるすべての Monitor Server を再起動します。
- L7 フィルタに変更を加えた場合は、影響を受けるすべての Monitor と Prevent Server を再起動します。
- または、プロトコルのすべての変更をキャンセルするには、[キャンセル]をクリックします。