このシナリオ例では、WannaCry などのマルウェアによって悪用される可能性のある、MS17-010 に対するパッチが適用されていないシステムの脆弱性をターゲットにしたプロービング試行を示す SMB トラフィックを検出するカスタム シグネチャを作成するものとします。

前提条件

アップロードされたカスタム シグネチャでは、サポートされている Suricata キーワードのみが使用されていることを確認します。サポートされていないキーワードを使用すると、承認されたリストに含まれないキーワードを解析できないため、シグネチャが無効になります。

手順

  1. カスタム シグネチャは次のいずれかの方法でアップロードできます。

    • カスタム シグネチャ バンドルがすでにアップロードされている場合は、まずバンドルを .zip 形式でローカル システムにエクスポートします。次に、新しいカスタム シグネチャをバンドルに追加して再度アップロードします。

    • IDS シグネチャを追加することで、カスタム シグネチャを手動で追加できます。

    • システム シグネチャのクローンを作成し、シグネチャをカスタマイズします。

  2. カスタム シグネチャを手動で追加してみます。NSX Manager ユーザー インターフェイスで、[セキュリティ] > [IDS/IPS と Malware Prevention]([ポリシー管理] セクションの下)に移動し、[シグネチャの管理] > [カスタム シグネチャ] を選択します。
  3. [+追加][手動で追加] の順にクリックします。
  4. [カスタム シグネチャの手動追加] ウィンドウで、[シグネチャの追加] をクリックし、カスタム シグネチャを入力するか貼り付けて、[追加] をクリックします。[シグネチャの追加] をクリックして、さらにシグネチャを追加できます。バンドルに含めるすべてのシグネチャを追加したら、[保存] をクリックします。次はその例です。 
    alert tcp $HOME_NET any -> $EXTERNAL_NET 445 (msg:"NSX - Detect Potential SMB probe for MS17-010 patch"; flow:established,to_server; target:src_ip; content:"|00|"; depth:1; content:"|FF|SMB"; within:7; content:"|23 00 00 00 07 00 5C|PIPE|5C 00|"; within:110; threshold: type limit, track by_src, seconds 10, count 10; metadata:ll_expected_verifier default, flip_endpoints False, server_side False, threat_class_name Suspicious Network Interaction, threat_name Potential SMB probe for MS17-010 patch, ids_mode INFO, blacklist_mode DISABLED, exploited None, confidence 50, severity 20, detector_id 63681, signature_severity Informational; reference:url,www.lastline.com; classtype:trojan-activity; sid:1063681; rev:6499; priority:5; flowbits:set,CS.LL.verifier_tcp_successful; flowbits:set,CS.LL.verifier_tcp_failed; flowbits:set,CS.LL.verifier_tcp_blocked;)
  5. NSX IDS/IPS は、新しく追加されたシグネチャの検証プロセスを自動的に開始します。シグネチャ バリデータはルールの有効性を評価し、[有効][無効]、または [警告] に分類します。デフォルトでは、[警告] シグネチャは検証プロセスから除外されます。トランスポート ノードにプッシュする場合は、明示的に選択して含める必要があります。[無効] シグネチャは公開されますが、NSX Manager にのみ保存され、トランスポート ノードにプッシュされません。ただし、公開する前に [無効] シグネチャの問題を解決し、再検証する必要があります。
  6. [公開] をクリックします。
  7. トランスポート ノードで公開されたシグネチャを表示できることを確認します。
  8. [IDS/IPS と Malware Prevention] ページで、[プロファイル] を選択します。新しいカスタム プロファイルを追加するか、既存のプロファイルを編集してカスタム シグネチャを含めることができます。プロファイルを追加または編集するときは、カスタム シグネチャに重大度を割り当ててください。
  9. カスタム シグネチャ プロファイルを使用してルールが適用されていることを確認します。
  10. 悪意のあるトラフィックが、MS17-010 に対するパッチが適用されていないシステムの脆弱性をプロービングしようとすると、IDS は疑わしいアクティビティに関するアラートを生成します。




  11. [検出場所] フィールドには、パッチが適用されていないシステムを悪用するためにプロービングが試行された仮想マシンがリストされます。


  12. MS17-010 に対するパッチが適用されていないシステムの脆弱性を回避するために、これらの仮想マシンにパッチを適用します。