[index] CentreCOM AR450S コマンドリファレンス 2.9

CREATE TRIGGER FIREWALL

カテゴリー:運用・管理 / トリガー


CREATE TRIGGER=trigger-id FIREWALL={ALL|DOSATTACK|FRAGATTACK|HOSTSCAN|PORTSCAN|SMURFATTACK|SYNATTACK|TCPATTACK} [MODE={START|END|BOTH}] [AFTER=time] [BEFORE=time] [{DATE=date|DAYS=day-list}] [NAME=string] [REPEAT={YES|NO|ONCE|FOREVER|count}] [SCRIPT=filename...] [STATE={ENABLED|DISABLED}] [TEST={YES|NO|ON|OFF}]

trigger-id: トリガー番号(1〜100)
time: 時刻(hh:mmの形式。hhは時(0〜23)、mmは分(0〜59))
date: 日付(dd-mmm-yyyyの形式。ddは日(1〜31)、mmmは月(英語月名の頭3文字。例:APR)、yyyyは西暦年)
day-list: 曜日リスト(MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る)
string: 文字列(1〜40文字。空白を含む場合はダブルクォートで囲む)
count: 回数(1〜4294967294)
filename: ファイル名(拡張子は.scpか.cfg)


ファイアウォールトリガーを作成する。

ファイアウォールトリガーは、指定したファイアウォールイベント(各種攻撃の開始、終了、またはその両方)が発生したときに起動される。トリガーから実行されるスクリプトには、特殊な引数として、%D(日付)、%T(時刻)、%N(システム名)、%S(シリアル番号)が渡される。また、ファイアウォールトリガーは、起動するスクリプトに2つの引数を渡す。引数1(%1)はファイアウォールポリシー名、引数2(%2)は攻撃元のIPアドレス。



パラメーター

TRIGGER: トリガー番号

FIREWALL: ファイアウォールの攻撃イベント名。指定した攻撃イベントの発生時にトリガーが起動される。MODEパラメーターと組み合わせることにより、より細かい指定が可能。

MODE: 攻撃のどのタイミングでトリガーを起動させるかを指定する。STARTは攻撃開始時、ENDは攻撃終了時、BOTHは攻撃開始時と攻撃終了時にトリガーを起動する。デフォルトはBOTH。

AFTER: 一日のうちトリガーが有効な時間を制限するパラメーター。トリガーは、AFTERで指定した時刻から深夜24時までの間だけ有効となる。

BEFORE: 一日のうちトリガーが有効な時間を制限するパラメーター。トリガーは、深夜0時からBEFOREで指定した時刻までの間だけ有効となる。

DATE: 一年のうちトリガーが有効な日を一日だけに制限するパラメーター。DAYSと同時には指定できない。

DAYS: 一週間のうちトリガーが有効な日を制限するパラメーター。カンマ区切りで複数曜日を指定可能。WEEKDAYはMON,TUE,WED,THU,FRIと同義。また、WEEKENDはSAT,SUNと同義。ALLはすべての曜日。デフォルトはALL。DATEと同時には指定できない。

NAME: トリガー名。SHOW TRIGGERコマンドで表示されるもので、メモとして使う。

REPEAT: トリガーを一度だけ実行するか、それとも、何度でも繰り返し実行するかを指定する。繰り返しを許す場合は、繰り返しの限度も指定できる。YESとFOREVERは同義で、実行回数に制限を設けないことを示す。NOとONCEは同義で、一回だけしか実行を許可しないことを示す。回数を指定した場合は、指定回数まで実行を許可する。デフォルトはFOREVER。

SCRIPT: トリガー起動時に実行するスクリプトファイルを指定する。SCRIPTパラメーターは、1コマンドラインに複数個指定できる。また、トリガー作成後にも、ADD TRIGGERコマンドで追加可能。スクリプトの実行は記述順。1つのトリガーに関連付けられるスクリプトは最高5個。

STATE: トリガーの有効・無効。省略時のデフォルト値はENABLED。無効状態のトリガーは自動的には起動されないが、ACTIVATE TRIGGERコマンドを使えば手動で起動できる。

TEST: トリガーをテストモードにするかどうか。テストモードのトリガーは起動されても、SCRIPTパラメーターで指定したスクリプトを実行せず、ログにトリガーの起動を記録するだけ。ただし、ACTIVATE TRIGGERコマンドで手動起動された場合は、テストモードであってもスクリプトが実行される。デフォルトはNO。



ポートスキャン開始の検出時に管理者にメールを送るファイアウォールトリガーを作成する。メールはサブジェクトのみ。サブジェクトには攻撃者のIPアドレスと、ファイアウォールポリシー名が入る。
CREATE TRIGGER=1 FIREWALL=PORTSCAN MODE=START SCRIPT=pscans.scp

スクリプト「pscans.scp」の内容
MAIL TO=admin@mydomain.xxx SUBJECT="Portscan from %2 (Policy: %1)"



関連コマンド

ACTIVATE TRIGGER
ADD TRIGGER
DESTROY TRIGGER
DISABLE TRIGGER
ENABLE TRIGGER
SET FIREWALL POLICY ATTACK
SET TRIGGER FIREWALL
SHOW TRIGGER




(C) 2003 - 2009 アライドテレシスホールディングス株式会社

PN: J613-M3069-03 Rev.L