1.13. シグネチャ、TCシグネチャのアップデート¶
シグネチャが更新された場合に、ステージングモードで運用するか、即座にLearn/Alarm/Blockの設定を適用するかの指定が可能です。また、既存シグネチャの更新後の振る舞いについての指定も可能です。Security >> Application Security : Policy Building : Learning and Blocking Settings の Attack Signatures にて表示された画面で、必要に応じて希望する動作への設定変更を実施します。(変更する場合、Save, ApplyPolicyで反映させます。)
Note
- Enforce updated rule immediately for non-staged signatures:
Enforcement 状態(Non-Staging)の既存シグネチャがアップデート された場合、更新されたシグネチャも Non-Staging とします。
- Retain previous rule enforcement and place updated rule in staging:
Enforcement 状態(Non-Staging)の既存シグネチャがアップデート された場合、更新前のシグネチャは Non-Staging のままとし、更新 されたシグネチャを Staging とします。更新されたシグネチャの Staging 期間が終了した際に、更新前の シグネチャが削除され、更新されたシグネチャが Non-Staging となります。(Manualモードでの運用の場合は、手動でStaging->Non-Stagingの設定が必要です。)
System >> Software Management : Live Update で表示された画面で、Check for Updates をクリックして、シグネチャ更新の有無を確認します。
チェック中のイメージです。(チェックには数分かかります。)
更新可能なシグネチャがある場合、以下のように表示されます。☓を推し、画面を閉じます。(既にシグネチャを裏でダウンロード済みの場合は、No updates found と表示されます。ダウンロード済みのシグネチャは黄色い矢印アイコンが表示され、Pending Statusとなっています。)
全てをインストールしたい場合は、InstallAllUpdatesをクリックします。
シグネチャ更新中は、以下のように表示されます。(更新には数分かかります。)
Install が完了すると以下のようになります。☓を推し、画面を閉じます。
以下が更新後のイメージとなります。CurrentlyInstaslledステータスのシグネチャをクリックします。
UpdateされたSignatureの情報が表示されます。各Entityをクリックすると、該当するシグネチャ一覧が確認できます。
Update がない場合は Install Updates をクリックしても以下のように表示されます。
追加されたシグネチャがステージングになっているかどうかの確認方法を示します。Security >> Application Security : Security Policies : Policies List >> DVWA_policy で表示された画面で、Status を Staging でフィルタリングします。
追加されたシグネチャがステージングとなっていることが分かります。
Note
F5ハンズオンでは手順の関係上、動作確認の後にシグネチャをアップデートしておりますが、本来は運用テスト前に行って下さい。 新しいシグネチャをアップデートすることで新たな攻撃に対応することができます。シグネチャの更新についての詳細は、以下の記事を参考にして下さい。