標準モードを使用したシグネチャの作成

この方法は、詳しい知識があるユーザのみが使用してください。この方法を使用すると、変更、追加、削除の操作など、シグネチャが保護する操作を選択できます。完全に新しい例外を作成するか、既存のカスタム シグネチャに基づいて作成するか、または既存のカスタム シグネチャの複製に基づいて作成することができます。

標準モードでシグネチャを作成するには、次の操作を行います。

  1. 次のいずれかを行ってください。
    • [シグネチャ] タブで、ショートカット メニューまたはツール バーの [作成] をクリックします。空白の [新しいカスタム シグネチャ] ダイアログ ボックスが表示されます。
    • [シグネチャ] タブで、カスタム シグネチャを選択し、ショートカット メニューまたはツール バーの [複製] をクリックします。事前入力された [Duplicate Custom Signature (カスタム シグネチャの複製)] ダイアログ ボックスが表示されます。
  2. [全般] タブで、名前を入力し、プラットフォーム、重大度レベル、ログのステータス、およびクライアント ルールの作成を許可するかどうかを選択します。
  3. [説明] タブで、シグネチャの保護対象の説明を入力します。この説明は、シグネチャが呼び出されたときに、[IPS イベント] ダイアログ ボックスに表示されます。
  4. [サブルール] タブで、[標準方法] または [エキスパート向けの方法] のいずれかを選択してルールを作成します。
  5. 標準方法の使用

    エキスパート向けの方法の使用

    標準方法では、シグネチャのルールに設定できる種類の数が制限されます。
    エキスパート向けの方法は、詳しい知識のあるユーザのみが使用することをお勧めします。この方法では、シグネチャのルールに設定できる種類の数は制限されず、ルールの構文を設定できます。ルールを作成する前に、ルールの構文をよく理解してください。カスタム シグネチャの記述を参照してください。
    1. 追加]をクリックします。[New Standard Rule (新しい標準ルール)] ダイアログ ボックスが表示されます。
    2. [全般] タブで、シグネチャの名前を入力し、種類を選択します。
    3. [操作] タブで、選択したルールを呼び出す操作を指定します。
    4. [パラメータ] タブで、ルールに特定のパラメータを含めるか、またはルールから特定のパラメータを除外します。
    5. [ルールの構文] タブで、作成しているシグネチャに対して生成されたルールの構文を確認します。
    6. [OK] をクリックします。ルールがコンパイルされ、構文が検証されます。エラーが発生し、ルールの検証が正常終了しなかった場合は、エラー内容を示すダイアログ ボックスが表示されます。エラーを修正して、ルールを再度検証できます。
    1. [カスタム シグネチャ] ダイアログ ボックスの [ルール] タブで、[エキスパート] を選択します。
    2. 追加]をクリックします。[New Expert Rule (新しいエキスパート ルール)] ダイアログ ボックスが表示されます。
    3. [全般] タブで、[ルール名] フィールドにルールの名前を入力し、[] フィールドに注記を入力します。
    4. [ルールの構文] タブで、ルールを入力します。ルールは、ANSI 形式の TCL 構文で書き込まれます。詳細については、カスタム シグネチャの記述を参照してください。
    5. [OK] をクリックします。ルールがコンパイルされ、構文が検証されます。エラーが発生し、ルール (複数可) の検証が正常終了しなかった場合は、エラー内容を示すダイアログ ボックスが表示されます。エラーを修正して、ルールを再度検証できます。
    .

  6. [適用] をクリックして新しい設定を適用し、[OK] をクリックします。

     

    1 つのシグネチャに対して複数のルールを作成できます。

Copyright © 2005 McAfee, Inc. All Rights Reserved.