このページのトピック
不正なファイルのアップロード
アプリケーションでファイルのアップロードが許可されている場合、攻撃者がシステムを危険にさらす不正なファイルをアップロードする可能性があります。Application Security は、Trend Micro スマートスキャン および高度な脅威検索エンジン(ATSE)を利用して、アップロードされたファイルで不正プログラムを検索し、アップロードされるファイルのサイズを制限することで、不正なファイルのアップロードからアプリケーションを保護します。
Malicious File UploadでFQDN「https://dsap1.icrc.trendmicro.com/」が使用されています。
Malicious File Uploadポリシーを設定する
- グループを選択します。
- 左側のペインで、
をクリックします。 - Malicious Upload が有効になっていることを確認します。
- 状態を Reportに設定します。これにより、要求をブロックせずにイベントがトリガされます。これにより、アプリケーションを実行し、Malicious File Uploadイベントをトリガする予期される動作を確認できます。
- ページの右側にある
をクリックします。 -
不正なファイルアップロード攻撃から保護するには、次の設定を行います。
- Antivirus Scanning:アップロードされた不正プログラムを検索します
- Max Buffer (MB):バッファリングに割り当てるメモリの最大容量。
- Archive compression level limit: Scanner がアーカイブで確認する最大圧縮レベル。
- Archive file count limit: Scanner がアーカイブで検索するファイルの最大数です。
- Archive file size limit: Scanner が検索するアーカイブの最大サイズ。値を0にすると、アーカイブの不正プログラム検索が無効になります。
- ATSE Scan Aggressiveness Level:高度な脅威検索エンジン(ATSE)エンジンがヒューリスティックでファイルを検索するときの重要度。初期設定値は[中]で、可能な値は[低]、[中]、[高]、および[非常に高]です。非常に高いと誤検出の可能性があります。この機能のエージェントのバージョンの互換性については、 この表 を参照してください。
- File Size Check:アップロードするファイルのサイズを制限します。
- Max Filesize (MB):許可されるファイルアップロードの最大サイズ。値を0にするとファイルのアップロードが無効になります。
- Max Filesize (MB):許可されるファイルアップロードの最大サイズ。値を0にするとファイルのアップロードが無効になります。
- Antivirus Scanning:アップロードされた不正プログラムを検索します
-
[ Save Changes ]を選択してウィンドウを閉じます。
- アプリケーションに移動し、一般的なファイルをアップロードします。処理するように設計されたさまざまなシナリオでアプリケーションを使用します。
- ダッシュボードで、 イベント画面 で Malicious File Upload イベントを確認します(詳細については、「 イベントの管理 」を参照してください)。トリガされた場合は、「 Malicious File Uploadイベントの管理 」の手順に従います。
- ポリシーの設定に問題がなく、予期した動作によってイベントがトリガされなくなった場合は、 Your Group > Policies > Malicious File Uploadに移動します。
- [ Malicious File Upload]の右側で、状態を[ Mitigate]に設定します。ルールが実行されると、試行がブロックされ、 Malicious File Upload イベントがダッシュボードに表示されます。
AgentのバージョンとATSEのアグレッシブ機能の設定との互換性
| Agent | 互換性のあるバージョン |
|---|---|
| エージェントnodejs | 4.3.1以降 |
| エージェントPython | 4.5.3以降 |
| エージェントJava | 4.4.5以降 |
他のすべてのエージェントまたはエージェントのバージョンでは、ATSEのアグレッシブ設定は無効になり、これらのエージェントでは初期設定の「非常に高い」が使用されます。
Malicious File Uploadイベント
Malicious File Uploadイベントは、 Events のダッシュボードまたは各グループのダッシュボードに表示されます。
すべてのイベントには、そのイベントに関する一般的な情報を示す Request Details パネルがあります。詳細については、「 イベントの管理」を参照してください。
[ Antivirus Scanning ]に、イベントをトリガした原因に応じて、Malicious File Uploadポリシーに固有の次の情報が表示されます。
トリガ: Antivirus Scanning
- ウイルス名
- ファイル名
- パラメータ
-
トリガ: Size Check
-
エンティティサイズ
Malicious File Uploadイベントの管理
Application Security がMalicious File Uploadイベントをレポートしている場合:
[ Click to Manage Policy]を選択します。[ Alert ]セクションで、どのポリシールールがトリガされたかを確認できます。アプリケーションでこの動作を許可する場合は、必要なパラメータに基づいてルールを再設定します。
たとえば、ファイルが最大ファイルサイズよりも5MB大きいためにMalicious File Uploadイベントがトリガされた場合、これらのファイルを将来アップロードできるように、最大ファイルサイズを5増やします。
