侵入防御のパフォーマンスに関するヒント

エージェントのシステムリソースの使用率を向上させるには、特定のパフォーマンス関連設定を最適化します。

侵入防御モジュールの概要については、侵入防御を使用して脆弱性悪用の試行をブロックするを参照してください。

システムリソース	パフォーマンスに影響する設定
CPU使用率	パケットがドロップまたはブロックされたときにイベントを記録します。パケットの変更を記録すると、多くのログエントリが生成される可能性があります。ルールのイベントログの設定を参照してください。トラブルシューティング時のみイベントログにパケットデータを含めます。ルールのイベントログ設定を参照してください。コンピュータのOSおよびアプリケーションに適用されるIPSルールのみを割り当てます。適用可能な脆弱性とルールを発見するための推奨スキャンの使用に関する情報については、推奨設定の検索を参照してください。割り当てるルールの数を300以下にします。
ネットワーク使用量またはスループット	パケットがドロップまたはブロックされたときにイベントを記録します。パケットの変更を記録すると、多くのログエントリが生成される可能性があります。ルールのイベントログの設定を参照してください。トラブルシューティング時のみイベントログにパケットデータを含めます。ルールのイベントログ設定を参照してください。特にポリシーに多数の署名が適用されている場合はWebサーバから応答を監視しないでください。 [ポリシー] → [IPSルール]をクリックします。アプリケーションの種類Web Server Commonのルールを右クリックし、[アプリケーションの種類プロパティ] をクリックします。 [設定] タブで、[継承] と [Webサーバからの応答を監視] をオフにします。
ディスク使用量	トラブルシューティング時のみイベントログにパケットデータを含めます。ルールのイベントログ設定を参照してください。

設定パッケージの最大サイズ

エージェントに多数のIPSルールが割り当てられると、構成パッケージのサイズが許可される最大サイズを超えることがあります。許可されたサイズを超えると、エージェントのステータスが「構成パッケージが大きすぎます」に変わり、イベントメッセージ「構成パッケージが大きすぎます」が表示されます。

Windows 32ビットプラットフォームでは、使用可能なカーネルメモリが少ないため、20MBの設定制限があることに注意してください。その他のプラットフォームの場合、上限は32MBです。

パフォーマンス上の理由から、コンピュータに割り当てる侵入防御ルールは350未満にする必要があります。必要なルールの数を最小限に抑えるには、使用可能なすべてのパッチがコンピュータのオペレーティングシステムとインストールされているサードパーティソフトウェアに適用されていることを確認します。

使用可能なパッチをコンピュータのOSに適用します。
使用可能なパッチをインストールされているすべてのサードパーティのソフトウェアに適用します。
推奨スキャンが推奨するIPSルールのみを適用します。割り当て解除が推奨されるルールはコンピュータまたは割り当てられたポリシーから削除します。推奨設定の検索を参照してください。
ポリシーレベルで侵入防御を管理していて、設定パッケージがまだ大きすぎる場合は、次のいずれかの方法で侵入防御を設定します。
- ポリシー内のすべてのサーバが同じOSとアプリケーションを持つように、ポリシーを細分化します。
- コンピュータのルールが自動的に追加および削除されるように、侵入防御をサーバレベルで管理します。

侵入防御をサーバレベルで管理するには、次の手順に従います。

コンピュータに割り当てられているポリシーをエディタで開きます。
[侵入防御] → [一般]をクリックします。
[推奨設定] セクションで、[侵入防御の推奨設定を自動的に適用 (可能な場合)] を [はい] に設定します。
ポリシーからすべての侵入防御ルールを削除します。
コンピュータで推奨設定の検索を実行します。