目次

侵入防御ルールの設定

侵入防御ルールを設定および使用するには、以下のセクションのタスクを実行します。

侵入防御モジュールの概要については、「侵入防御を使用した攻撃コードのブロック」を参照してください。

侵入防御ルールリスト

[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。

[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが表示されます。侵入防御の詳細検索では、TippingPointルールIDで検索できます。ポリシーエディタとコンピュータエディタの割り当て済み侵入防御ルールのリストにも、TippingPointルールIDが表示されます。

リストを確認するには、[ポリシー] をクリックして、[共通オブジェクト/ルール] の下の [侵入防御ルール] をクリックします。

侵入防御ライセンスの種類

[ルールの可用性] 列には、ルールで使用可能なライセンスの種類に関する情報が表示されます。 Endpoint & Workload は、このルールをEndpoint SecurityライセンスとWorkload Securityライセンスの両方で割り当てることができることを示します。 ワークロード ルールの可用性は、ライセンスの種類がワークロードの場合にのみルールを割り当てることができることを意味します。

割り当てられたすべてのルールに Endpoint & Workload ルールの可用性がある場合、ライセンスの種類は Endpoint で、割り当てられたルールの少なくとも1つにWorkloadルールの可用性がある場合は Workload です。

侵入防御ルールに関する情報の表示

侵入防御ルールのプロパティには、ルールおよびルールが保護するエクスプロイトに関する情報が含まれます。この情報は、次の方法で表示できます。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。

一般情報

  • 名前:侵入防御ルールの名前。
  • 説明:侵入防御ルールの説明。
  • 最小エージェント/アプライアンスバージョン:この侵入防御ルールをサポートするために必要な最小バージョンのエージェント 。

詳細

New (新しいアイコン)または プロパティ (プロパティアイコン)をクリックすると、 侵入防御ルールのプロパティの各画面が表示されます。

トレンドマイクロの侵入防御ルールは、 Workload Securityから直接編集することはできません。代わりに、侵入防御ルールの設定が必要 (または許可) されている場合は、[ 設定 ] タブでそれらの設定オプションを使用できます。自分で作成したカスタム侵入防御ルールは編集可能です。この場合、[ ルール ] タブが表示されます。

  • アプリケーションタイプ:この侵入防御ルールをグループ化するアプリケーションタイプ。

    このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。

  • Priority:ルールの優先度レベル。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。

  • Severity: ルールの重大度を設定しても、ルールの実装方法や適用方法には影響しません。侵入防御ルールのリストを表示するときは、重要度を並べ替える条件として使用できます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 [管理]→[システム設定]→[ランキング] を参照してください。
  • CVSSスコア: National Vulnerability Database に基づく脆弱性の重大度の尺度。

ID (トレンドマイクロのルールのみ)

  • タイプ:スマート (1つ以上の既知の脆弱性と未知の脅威 (ゼロデイ))、 攻撃コード (特定の脆弱性、通常は署名ベース)、または脆弱性 (1つ以上の脆弱性が存在する特定の脆弱性)
  • Issued:ルールが解放された日付です。ダウンロードされた日付ではありません。
  • Last Updated:ローカルまたはセキュリティアップデートのダウンロード時にルールが最後に変更された時刻。
  • ID:ルールの一意の識別タグ。

関連する脆弱性に関する情報の表示 (トレンドマイクロのルールのみ)

トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報を含めることができます。該当する場合、Common Vulnerability Scoring System (CVSS) が表示されます。このスコアリングシステムの詳細については、National Vulnerability Database のCVSSページを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [脆弱性] タブをクリックします。

ルールを割り当てる/ルールの割り当てを解除する

Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。

侵入防御ルールの割り当てを コンピュータのエディタから解除できない場合は、ルールが現在ポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは、 Policy エディタを使用して削除する必要があります。コンピュータレベルでは削除できません。

ポリシーを変更すると、そのポリシーを使用しているすべてのコンピュータに影響します。たとえば、ポリシーからルールの割り当てを解除すると、そのポリシーで保護されているすべてのコンピュータからルールが削除されます。引き続き他のコンピュータにルールを適用するには、そのコンピュータのグループに対して新しいポリシーを作成します。 ポリシー、継承、およびオーバーライド を参照してください。

ルールが割り当てられているポリシーとコンピュータを確認するには、ルールのプロパティの [ Assigned To ] タブを参照してください。

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
  2. [侵入防御]→[一般] の順にクリックします。 ポリシーに割り当てられているルールのリストが、 割り当て侵入防御ルールリストに表示されます。
  3. [現在割り当てられている侵入防御ルール] で、[割り当て/割り当て解除] をクリックします。
  4. ルールを割り当てるには、ルールを選択します。
  5. ルールの割り当てを解除するには、選択を解除します。
  6. [OK] をクリックします。

さらに、コアエンドポイントおよびワークロードルールと呼ばれる、既知の脆弱性問題に対する保護を確実にする侵入防御ルールのサブセットがあります。次のルールはすべてのライセンスタイプで使用でき、簡単に割り当てたり割り当て解除したりできます。

  1. [ポリシー]画面で、設定するポリシーを右クリックし、[詳細]をクリックします。
  2. [ Intrusion Prevention]→[一般] の順にクリックします。ポリシーに割り当てられたルールは、[ Assigned Intrusion Prevention Rules ] リストに表示されます。
  3. 現在割り当てられている侵入防御ルール で、割り当て/割り当て解除 をクリックします。
  4. ルールを割り当てるには、[ ルールの選択] を選択し、ツールバーの [コアエンドポイントとワークロードのルールをすべて選択] の順にクリックします。
  5. ルールの割り当てを解除するには、[ ルールの選択] を選択し、ツールバーの [すべてのコアエンドポイントおよびワークロードルールの選択を解除] の順にクリックします。
  6. [OK]をクリックします。

Endpoint & Workloadコアルールを自動的に割り当てる

ルールのアップデート が発生するたびに、エンドポイントとワークロードのすべてのコアルールがこのポリシーに割り当てられます。 ルールのアップデート 後も、手動で割り当て解除されたコアエンドポイントとワークロードルールが割り当て解除されたままになります。

  1. ポリシー画面で、設定するポリシーを右クリックし、詳細をクリックします。
  2. [ Intrusion Prevention]→[一般] の順にクリックします。ポリシーに割り当てられたルールは、[ Assigned Intrusion Prevention Rules ] リストに表示されます。
  3. [コアEndpoint & Workloadのルールを自動的に実装する] を [はい] に切り替えます。
  4. [保存] をクリックします。

これは、Endpoint Security ライセンスで有効にする必要があります。この機能をオフにして 推奨スキャン を使用します。 Workload Security ライセンスがある場合は、これを無効にし、代わりに 推奨スキャン を使用します。

アップデートされた必須ルールを自動割り当てする

セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な新規またはアップデートされたアプリケーションの種類および侵入防御ルールが含まれている場合があります。Workload Security では、必要に応じてこれらのルールを自動的に割り当てることができます。ポリシーまたはコンピュータプロパティで、次のように自動割り当てを有効化できます。

  1. [ポリシー]ページに移動し、ポリシーを右クリックして設定し、[ 詳細 ]の順にクリックします。
  2. [侵入防御]→[詳細] を順にクリックします。
  3. 自動割り当てを有効にするには、[ルールアップデート] 領域で [はい] を選択します。
  4. [OK] をクリックします。

ルールにイベントログを設定する

ルールのイベントをログに記録するかどうか、およびパケットデータをログに含めるかどうかを設定します。

Workload Securityでは、侵入防御イベントにX-Forwarded-Forヘッダが表示される場合があります。この情報は、エージェントがロードバランサまたはプロキシの背後にある場合に役立ちます。 X-Forwarded-Forヘッダデータがイベントの [プロパティ] ウィンドウに表示されます。ヘッダデータを含めるには、ログにパケットデータを含めます。さらに、ルール1006540 X-Forwarded-For HTTPヘッダログの有効化を割り当てる必要があります。

ルールによってイベントがトリガされるたびにすべてのパケットデータを記録するのは現実的ではないため、 Workload Securityでは、指定された期間内にイベントが最初に発生したときにのみデータを記録します。初期設定は5分ですが、ネットワークエンジンの詳細設定の設定で、[期間内に1パケットのみログする] プロパティを使用して期間を変更できます。 ネットワークエンジンの詳細オプション を参照してください。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. オン一般タブに移動します。イベント領域を選択し、目的のオプションを選択します。
    • ルールのログを無効化するには、[イベントログの無効化] を選択します。
    • パケットが破棄またはブロックされた場合にイベントのログを記録するには、[パケット破棄時にイベントを生成] を選択します。
    • ログエントリにパケットデータを含めるには、[常にパケットデータを含める] を選択します。
    • ルールで検出されたパケットの前後にある複数のパケットをログに記録するには、[ デバッグモードを有効にする] を選択します。デバッグモードは、サポートプロバイダから指示された場合にのみ使用してください。

また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。

  1. [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
  2. [侵入防御]→[詳細] を順にクリックします。
  3. [イベントデータ] 領域で [はい] を選択します。

アラートを生成する

侵入防御ルールがイベントをトリガした場合にアラートを生成します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [ オプション ] タブをクリックして、[アラート] 領域で、[オン] を選択します。
  4. [OK] をクリックします。

設定オプションを設定する (トレンドマイクロのルールのみ)

トレンドマイクロが提供する一部の侵入防御ルールには、ヘッダの長さ、HTTPで許可される拡張子、Cookieの長さなど、1つ以上の設定オプションがあります。一部のオプションでは、設定が必要です。必須オプションを設定せずにルールを割り当てると、必須オプションについて通知するアラートが生成されます。これは、セキュリティアップデートによってダウンロードされ、自動的に適用されるルールにも適用されます。

設定オプションのある侵入防御ルールは、[ 侵入防御ルール ] のリストに表示され、アイコン 侵入防御ルールアイコン の上に小さな歯車が表示されます。

独自のカスタム侵入防御ルールには、[ルール] タブがあり、ルールを編集できます。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. Configuration タブをクリックします。
  4. プロパティを設定して [OK] をクリックします。

有効な時間を予約する

侵入防止ルールがアクティブになる時間をスケジュールします。スケジュールされた時刻にのみアクティブになる侵入防御ルールは、 侵入防御ルール ページに、アイコンの上に小さな時計が付いた状態で表示されます。 時計付きの侵入防御ルール アイコンが表示されます。

エージェントベースの保護では、スケジュールはエンドポイントのOSと同じタイムゾーンを使用します。次の手順で設定を実行すると、すべてのポリシーが影響を受けます。

ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [スケジュール] 領域で [新規] を選択するか、頻度を選択します。
  5. 必要に応じてスケジュールを編集します。
  6. [OK]をクリックします。

推奨設定から除外する

推奨設定検索のルール推奨設定から侵入防御ルールを除外します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [推奨設定オプション] 領域で [推奨設定から除外] を選択します。
  5. [OK] をクリックします。

ルールのコンテキストを設定する

ルールが適用されるコンテキストを設定します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [コンテキスト] 領域で [新規] を選択するか、コンテキストを選択します。
  5. 必要に応じてコンテキストを編集します。
  6. [OK] をクリックします。

ルールの動作モードをオーバーライドする

新しいルールをテストする場合は、侵入防御ルールの動作モードを [検出] に設定します。[検出] モードでは、ルールは「検出のみ:」という言葉で始まるログエントリを作成しますが、トラフィックに干渉しません。侵入防御ルールには [検出] モードでのみ動作するものがあります。これらのルールについては、動作モードを変更できません。

ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。

動作モードの詳細については、「動作モードを使用してルールをテストする」を参照してください。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。

  1. [ ポリシー]→[ 侵入防御 ルール]の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [検出のみ] を選択します。

ルールおよびアプリケーションの種類の設定をオーバーライドする

Computer または Policy エディタを使用して、侵入防御ルールを編集して、変更がポリシーまたはコンピュータのコンテキストにのみ適用されるようにすることができます。また、ルールを編集して、ルールが割り当てられている他のポリシーやコンピュータに変更が反映されるように変更をグローバルに適用することもできます。同様に、アプリケーションの種類を単一のポリシーまたはコンピュータに対して設定することも、グローバルに設定することもできます。

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
  2. [ 侵入防御]の順にクリックします。
  3. ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • プロパティ: そのポリシーのみのルールを編集します。
    • プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) ルールを編集します。
  4. ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • アプリケーションの種類プロパティ: そのポリシーのみのアプリケーションの種類を編集します。
    • アプリケーションの種類プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) アプリケーションの種類を編集します。
  5. [OK] をクリックします。

ルールを選択して [ プロパティ] をクリックすると、編集中のポリシーのルールのみが編集されます。

1つのポートを8つ以上のアプリケーションタイプに割り当てることはできません。使用した場合、ルールはそのポートでは機能しません。

ルールをエクスポート/インポートする

1つ以上の侵入防御ルールをXMLファイルまたはCSVファイルにエクスポートしたり、XMLファイルからルールをインポートしたりできます。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. 1つ以上のルールをエクスポートするには、[エクスポート]→[選択したアイテムをCSV形式でエクスポート] または [エクスポート]→[選択したアイテムをXML形式でエクスポート] を順にクリックします。
  3. すべてのルールをエクスポートするには、[エクスポート]→[CSV形式でエクスポート] または [エクスポート]→[XML形式でエクスポート] を順にクリックします。
  4. ルールをインポートするには、[新規]→[ファイルからインポート] を順にクリックして、ウィザードの指示に従います。