侵入防御ルールを設定および使用するには、以下のセクションのタスクを実行します。
侵入防御モジュールの概要については、侵入防御を使用して脆弱性悪用の試行をブロックするを参照してください。

侵入防御ルールリスト 親トピック

[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。
[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが表示されます。侵入防御の詳細検索では、TippingPointルールIDで検索できます。ポリシーエディタとコンピュータエディタの割り当て済み侵入防御ルールのリストにも、TippingPointルールIDが表示されます。
リストを確認するには、[ポリシー] をクリックして、[共通オブジェクト/ルール] の下の [侵入防御ルール] をクリックします。

侵入防御ライセンスの種類 親トピック

[ルールの可用性] 列には、ルールで使用可能なライセンスの種類に関する情報が表示されます。 [Endpoint & Workload] は、このルールをEndpoint SecurityライセンスとWorkload Securityライセンスの両方で割り当てることができることを示します。 [ワークロード] ルールの可用性は、ライセンスの種類がワークロードの場合にのみルールを割り当てることができることを意味します。
割り当てられたすべてのルールに [Endpoint & Workload] ルールの可用性がある場合、ライセンスの種類は [Endpoint] で、割り当てられたルールの少なくとも1つにWorkloadルールの可用性がある場合は [Workload] です。

侵入防御ルールに関する情報の表示 親トピック

侵入防御ルールのプロパティには、ルールおよびルールが保護するエクスプロイトに関する情報が含まれます。この情報は、次の方法で表示できます。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。

一般情報 親トピック

  • 名前: 侵入防御ルールの名前。
  • 説明: 侵入防御ルールの説明。
  • 最小エージェント/アプライアンスバージョン: この侵入防御ルールをサポートするために必要な最小バージョンのエージェント 。

詳細 親トピック

新規] (new=3dd69943-a148-4400-888d-22eaa12feafa.png) または [プロパティ] (details=03aeb796-4b32-416d-950d-c3fd30699bdb.png) をクリックすると、[侵入防御ルールのプロパティ] ウィンドウが表示されます。
トレンドマイクロの侵入防御ルールは、 Workload Securityから直接編集することはできません。代わりに、侵入防御ルールの設定が必要 (または許可) されている場合は、[設定] タブでそれらの設定オプションを使用できます。自分で作成したカスタム侵入防御ルールは編集可能です。この場合、[ルール] タブが表示されます。
  • アプリケーションタイプ: この侵入防御ルールをグループ化するアプリケーションタイプ。
    このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
  • 優先度: ルールの優先度レベル。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。
  • 重要度: ルールの重大度を設定しても、ルールの実装方法や適用方法には影響しません。侵入防御ルールのリストを表示するときは、重要度を並べ替える条件として使用できます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 [管理][システム設定][ランキング] を参照してください。
  • CVSSスコア: National Vulnerability Database に基づく脆弱性の重大度の尺度。

ID (トレンドマイクロのルールのみ) 親トピック

  • タイプ: スマート (1つ以上の既知の脆弱性と未知の脅威 (ゼロデイ))、攻撃コード (特定の脆弱性、通常は署名ベース)、または脆弱性 (1つ以上の脆弱性が存在する特定の脆弱性)
  • 発行済み: ルールが解放された日付です。ダウンロードされた日付ではありません。
  • 最終更新日時: ローカルまたはセキュリティアップデートのダウンロード時にルールが最後に変更された時刻。
  • ID: ルールの一意の識別タグ。

関連する脆弱性に関する情報の表示 (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報が含まれる場合があります。該当する場合、共通脆弱性評価システム (CVSS) が表示されます。この評価システムの詳細については、National Vulnerability DatabaseのCVSSページを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [脆弱性] タブをクリックします。

ルールを割り当てる/ルールの割り当てを解除する 親トピック

Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。
侵入防御ルールの割り当てを [コンピュータ]のエディタから解除できない場合は、ルールが現在ポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは、[ポリシー] エディタを使用して削除する必要があります。コンピュータレベルでは削除できません。
ポリシーに変更を加えると、そのポリシーを使用しているすべてのコンピューターに影響します。例えば、ポリシーからルールの割り当てを解除すると、そのポリシーで保護されているすべてのコンピューターからそのルールが削除されます。他のコンピューターに引き続きルールを適用するには、そのコンピューターグループ用に新しいポリシーを作成してください。ポリシー、継承、およびオーバーライドを参照してください。
ルールが割り当てられているポリシーとコンピュータを確認するには、ルールのプロパティの [割り当て対象] タブを参照してください。

手順

  1. [ポリシー]ページに移動し、設定するポリシーを右クリックして[詳細]をクリックします。
  2. [侵入防御][一般] の順にクリックします。 ポリシーに割り当てられているルールのリストが、 [割り当て侵入防御ルール]リストに表示されます。
  3. [現在割り当てられている侵入防御ルール] で、[割り当て/割り当て解除] をクリックします。
  4. ルールを割り当てるには、ルールを選択します。
  5. ルールの割り当てを解除するには、選択を解除します。
  6. [OK]をクリックします。
  7. さらに、既知の脆弱性問題から保護するためのIPSルールのサブセットであるコアエンドポイントおよびワークロードルールがあります。これらのルールはすべてのライセンスタイプで利用可能で、簡単に一括して割り当ておよび解除できます。
    1. [ポリシー]画面で、設定するポリシーを右クリックし、[詳細]をクリックします。
    2. [Intrusion Prevention][一般] の順にクリックします。ポリシーに割り当てられたルールは、[現在割り当てられている侵入防御ルール] リストに表示されます。
    3. [現在割り当てられている侵入防御ルール] で、[割り当て/割り当て解除] をクリックします。
    4. ルールを割り当てるには、[ルールの選択] を選択し、ツールバーの [コアエンドポイントとワークロードのルールをすべて選択] の順にクリックします。
    5. ルールの割り当てを解除するには、[ルールの選択] を選択し、ツールバーの [すべてのコアエンドポイントおよびワークロードルールの選択を解除] の順にクリックします。
    6. [OK]をクリックします。

自動的にコアEndpoint & Workloadルールを割り当てる 親トピック

Workload Securityは、ルールの更新が発生するたびに、すべてのコアエンドポイントおよびWorkloadルールをこのポリシーに割り当てます。手動で割り当て解除されたコアエンドポイントおよびWorkloadルールは、ルールの更新後も割り当て解除されたままです。
エンドポイントセキュリティライセンスをお持ちの場合は、この機能を有効にしてください。Workload Securityライセンスの場合は、この機能を無効にし、代わりに推奨設定の検索を使用してください。

手順

  1. [ポリシー]画面で、設定するポリシーを右クリックし、[詳細]をクリックします。
  2. [侵入防御][一般] をクリックします。ポリシーに割り当てられたルールは、[現在割り当てられている侵入防御ルール] リストに表示されます。
  3. [コアEndpoint & Workloadルールを自動的に実装][はい] に切り替えます。
  4. [保存]をクリックします。

アップデートされた必須ルールを自動割り当てする 親トピック

セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な新規またはアップデートされたアプリケーションの種類および侵入防御ルールが含まれている場合があります。Workload Security では、必要に応じてこれらのルールを自動的に割り当てることができます。ポリシーまたはコンピュータプロパティで、次のように自動割り当てを有効化できます。

手順

  1. [ポリシー]ページに移動し、ポリシーを右クリックして設定し、[詳細]の順にクリックします。
  2. [侵入防御][詳細]をクリックします。
  3. 自動割り当てを有効にするには、[ルールアップデート] 領域で [はい] を選択します。
  4. [OK]をクリックします。

ルールにイベントログを設定する 親トピック

ルールのイベントをログに記録するかどうか、およびパケットデータをログに含めるかどうかを設定します。
Workload Securityでは、侵入防御イベントにX-Forwarded-Forヘッダが表示される場合があります。この情報は、エージェントがロードバランサまたはプロキシの背後にある場合に役立ちます。 X-Forwarded-Forヘッダデータがイベントの [プロパティ] ウィンドウに表示されます。ヘッダデータを含めるには、ログにパケットデータを含めます。さらに、ルール1006540 X-Forwarded-For HTTPヘッダログの有効化を割り当てる必要があります。
ルールがイベントをトリガーするたびにすべてのパケットデータを記録するのは非現実的であるため、Workload Securityは指定された期間内にイベントが初めて発生したときにのみデータを記録します。デフォルトの時間は5分ですが、ポリシーの高度なネットワークエンジンの設定の期間内に1つのパケットのみをログに記録する期間プロパティを使用して期間を変更できます。高度なネットワークエンジンオプションを参照してください。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. オン[一般]タブに移動します。[イベント]領域を選択し、目的のオプションを選択します。
    • ルールのログを無効化するには、[イベントログの無効化] を選択します。
    • パケットが破棄またはブロックされた場合にイベントのログを記録するには、[パケット破棄時にイベントを生成] を選択します。
    • ログエントリにパケットデータを含めるには、[常にパケットデータを含める] を選択します。
    • ルールで検出されたパケットの前後にある複数のパケットをログに記録するには、[デバッグモードを有効にする] を選択します。デバッグモードは、サポートプロバイダから指示された場合にのみ使用してください。
  4. また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。
    1. [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
    2. [侵入防御][詳細]をクリックします。
    3. [イベントデータ]領域で、[はい]を選択します。

アラートを生成する 親トピック

侵入防御ルールがイベントをトリガした場合にアラートを生成します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション]タブをクリックし、[アラート]エリアで[オン]を選択します。
  4. [OK]をクリックします。

設定オプションを設定する (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供する一部の侵入防御ルールには、ヘッダの長さ、HTTPで許可される拡張子、Cookieの長さなど、1つ以上の設定オプションがあります。一部のオプションでは、設定が必要です。必須オプションを設定せずにルールを割り当てると、必須オプションについて通知するアラートが生成されます。これは、セキュリティアップデートによってダウンロードされ、自動的に適用されるルールにも適用されます。
構成オプションがある侵入防止ルールは、アイコンの上に小さなギアが表示されている[IPSルール]リストに表示されますdpi_rules_option=511d258c-f1ad-4da1-bd62-899ab5376ac0.png
独自のカスタム侵入防御ルールには、[ルール] タブがあり、ルールを編集できます。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [設定] タブをクリックします。
  4. プロパティを設定して [OK] をクリックします。

有効な時間を予約する 親トピック

侵入防御ルールが有効になる時間をスケジュールします。スケジュールされた時間にのみ有効な侵入防御ルールは、アイコンの上に小さな時計が表示されている[IPSルール]ページに表示されますdpi_rules_schedule=b1983b57-9421-45ca-8c6b-3bbc680bcf90.png
エージェントベースの保護では、スケジュールはエンドポイントのOSと同じタイムゾーンを使用します。次の手順で設定を実行すると、すべてのポリシーが影響を受けます。
1 つのポリシーに対してルールを構成する方法については、ルールの上書きとアプリケーションタイプの構成を参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [スケジュール] 領域で [新規] を選択するか、頻度を選択します。
  5. 必要に応じてスケジュールを編集します。
  6. [OK]をクリックします。

推奨設定から除外する 親トピック

推奨設定検索のルール推奨設定から侵入防御ルールを除外します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [推奨設定オプション] 領域で [推奨設定から除外] を選択します。
  5. [OK]をクリックします。

ルールのコンテキストを設定する 親トピック

ルールが適用されるコンテキストを設定します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [コンテキスト] 領域で [新規] を選択するか、コンテキストを選択します。
  5. 必要に応じてコンテキストを編集します。
  6. [OK]をクリックします。

ルールの動作モードをオーバーライドする 親トピック

新しいルールをテストする際には、侵入防御ルールの動作モードを検出に設定してください。検出モードでは、ルールは「検出のみ:」という言葉で始まるログエントリを作成し、トラフィックに干渉しません。一部のIPSルールは検出モードでのみ動作するように設計されています。これらのルールでは、動作モードを変更することはできません。
ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。
動作モードの詳細については、動作モードを使用してルールをテストするを参照してください。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。

手順

  1. [ポリシー][侵入防御]ルールをクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [検出のみ]を選択します。

ルールおよびアプリケーションの種類の設定をオーバーライドする 親トピック

[コンピュータ] または [ポリシー] エディタを使用して、侵入防御ルールを編集して、変更がポリシーまたはコンピュータのコンテキストにのみ適用されるようにすることができます。また、ルールを編集して、ルールが割り当てられている他のポリシーやコンピュータに変更が反映されるように変更をグローバルに適用することもできます。同様に、アプリケーションの種類を単一のポリシーまたはコンピュータに対して設定することも、グローバルに設定することもできます。

手順

  1. [ポリシー]ページに移動し、設定するポリシーを右クリックして[詳細]をクリックします。
  2. [侵入防御]の順にクリックします。
  3. ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • プロパティ: そのポリシーのみのルールを編集します。
    • プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) ルールを編集します。
  4. ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • アプリケーションの種類プロパティ: そのポリシーのみのアプリケーションの種類を編集します。
    • アプリケーションの種類プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) アプリケーションの種類を編集します。
  5. [OK]をクリックします。
    ルールを選択して[プロパティ]をクリックすると、編集中のポリシーのルールのみが編集されます。
    1つのポートを8つ以上のアプリケーションタイプに割り当てることはできません。使用した場合、ルールはそのポートでは機能しません。

ルールをエクスポート/インポートする 親トピック

エクスポート/インポート機能は、異なるマネージャー間でカスタムルールを転送することを目的としています。IPSルールをXMLまたはCSVファイルにエクスポートし、[割り当て/割り当て解除]ボタンを使用してXMLファイルからルールをインポートします。特定のルールやルールセットを選択してエクスポートすることはできず、表示されているすべてのルールをエクスポートすることしかできません。

手順

  1. [ポリシー][IPSルール]に移動します。
  2. [エクスポート][XMLにエクスポート (インポート用)]をクリックします。
  3. [割り当て/割り当て解除] をクリックします。
  4. ファイルをインポートする先のマネージャに移動してください。
  5. [ポリシー][IPSルール]に移動します。
  6. [割り当て/割り当て解除] をクリックします。
  7. [新規][ファイルからインポート]をクリックし、ウィザードの指示に従ってください。