このページのトピック
侵入防御ルールの設定
侵入防御ルールを設定および使用するには、以下のセクションのタスクを実行します。
侵入防御モジュールの概要については、「侵入防御を使用した攻撃コードのブロック」を参照してください。
侵入防御ルールリスト
[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。
[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが含まれます。侵入防御ルールの [詳細検索] では、TippingPointルールIDを検索できます。ポリシーおよびコンピュータエディタの割り当てられた侵入防御ルールのリストでもTippingPointルールIDを表示できます。
リストを確認するには、[ポリシー] をクリックして、[共通オブジェクト/ルール] の下の [侵入防御ルール] をクリックします。
侵入防御ライセンスの種類
[使用可能なルール]列には、ルールで使用可能なライセンスの種類に関する情報が表示されます。Endpoint & Workload は、このルールを「Endpoint」ライセンスと「Workload」ライセンスの両方で割り当てることができることを示します。 Workload ルールが使用可能であることは、ライセンスの種類が「Workload」の場合にのみルールを割り当てることができることを意味します。
割り当てられたすべてのルールに Endpoint & Workload ルールの可用性がある場合、ライセンスの種類は Endpoint で、割り当てられたルールの少なくとも1つにWorkloadルールの可用性がある場合は Workload です。
侵入防御ルールに関する情報を表示する
侵入防御ルールのプロパティには、ルールおよび防御対象の攻撃コードに関する情報が含まれます。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
一般情報
- 名前:侵入防御ルールの名前。
- 説明:侵入防御ルールの説明。
- 最小エージェント/アプライアンスバージョン:この侵入防御ルールをサポートするために必要な最小バージョンのエージェント 。
詳細
New ()または のプロパティ (
)をクリックすると、 侵入防御 ルールのプロパティの各画面が表示されます。
Trend Microの侵入防御 ルールは、 Workload Securityで直接編集できません。その代わり、侵入防御ルールに設定が必要な場合や設定が可能な場合は、[設定] タブの設定オプションを使用します。ユーザ自身で作成したカスタム侵入防御ルールは、[ルール] タブが表示され、直接編集可能です。
-
アプリケーションタイプ:この侵入防御ルールをグループ化するアプリケーションタイプ。
このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
-
Priority:ルールの優先度レベル。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。
- 重大度:ルールの重大度を設定しても、ルールの実装方法や適用方法には影響しません。重要度レベルは、侵入防御ルールのリストを表示するときにソート条件として使用できます。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。
- CVSSスコア: 全脆弱性データベースに準拠した脆弱性の重大度の尺度です。
ID (トレンドマイクロのルールのみ)
- タイプ:スマート (1つ以上の既知の脆弱性と未知の脅威 (ゼロデイ))、 攻撃コード (特定の脆弱性、通常は署名ベース)、または脆弱性 (1つ以上の脆弱性が存在する特定の脆弱性)
- Issued:ルールが解放された日付です。ダウンロードされた日付ではありません。
- Last Updated:ローカルまたはセキュリティアップデートのダウンロード時にルールが最後に変更された時刻。
- ID:ルールの一意の識別タグ。
関連付けられている脆弱性に関する情報を表示する (トレンドマイクロのルールのみ)
トレンドマイクロが提供するルールには、ルールが守る脆弱性に関する情報を含めることができます。適用可能な場合は、共通脆弱性評価システム (CVSS) が表示されます(この評価システムの詳細は、脆弱性情報データベースのCVSSページを参照してください)。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [脆弱性] タブをクリックします。
ルールを割り当てる/ルールの割り当てを解除する
Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。
侵入防止ルールをコンピュータエディタから割り当て解除できない場合は、ルールが現在ポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられるルールは、ポリシーエディタを使用して削除する必要があり、コンピュータレベルでは削除できません。
ポリシーに対する変更は、そのポリシーを使用するすべてのコンピュータに反映されます。たとえば、ポリシーからルールを割り当て解除すると、そのポリシーで保護しているすべてのコンピュータからルールが削除されます。継続してこのルールを他のコンピュータに適用するには、そのグループのコンピュータ用に新しいポリシーを作成します。(「ポリシー、継承、およびオーバーライド」を参照してください)。
ルールが割り当てられるポリシーとコンピュータを確認するには、ルールプロパティの[割り当て済み]タブを参照してください。
- [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
- [侵入防御]→[一般] の順にクリックします。 ポリシーに割り当てられているルールのリストが、 割り当て侵入防御ルールリストに表示されます。
- [現在割り当てられている侵入防御ルール] で、[割り当て/割り当て解除] をクリックします。
- ルールを割り当てるには、ルールの横にあるチェックボックスをオンにします。
- ルールの割り当てを解除するには、ルールの横にあるチェックボックスをオフにします。
- [OK] をクリックします。
さらに、エンドポイントおよびワークロードのコアルールと呼ばれる既知の脆弱性の問題から保護するための侵入防御ルールのサブセットがあります。これらのルールはすべての種類のライセンスで使用でき、簡単に割り当てたり割り当て解除したりできます。
- [ポリシー]画面で、設定するポリシーを右クリックし、[詳細]をクリックします。
- [侵入防御]→[一般] の順にクリックします。ポリシーに割り当てられているルールのリストが、[割り当て済み侵入防御ルール]リストに表示されます。
- 現在割り当てられている侵入防御ルール で、割り当て/割り当て解除 をクリックします。
- ルールを割り当てるには、[ルールの選択]を選択し、ツールバーの[すべてのコアEndpoint & Workloadルールを選択]ボタンをクリックします。
- ルールの割り当てを解除するには、[ルールの選択]を選択し、[すべてのコアEndpoint & Workloadルールの選択を解除]をクリック
- [OK]をクリックします。
Endpoint & Workloadコアルールを自動的に割り当てる
Workload Security は、ルールのアップデートでが発生するたびに、すべてのコアEndpoint & Workloadルールをこのポリシーに割り当てます。 手動で割り当て解除されたコアEndpoint & Workloadルールは、ルールのアップデート 後も未割り当てのままになります。
- ポリシー画面で、設定するポリシーを右クリックし、詳細をクリックします。
- [侵入防御]→[一般] の順にクリックします。ポリシーに割り当てられているルールのリストが、[割り当て済み侵入防御ルール]リストに表示されます。
- コアEndpoint & Workloadルールを自動的に実装を「はい」に切り替えます。
- [保存] をクリックします。
エンドポイントライセンスでこの機能をオンにし、この機能をオフにして 推奨スキャンとワークロードライセンスを使用することをお勧めします。
アップデートされた必須ルールを自動割り当てする
セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な新規またはアップデートされたアプリケーションの種類および侵入防御ルールが含まれている場合があります。Workload Security では、必要に応じてこれらのルールを自動的に割り当てることができます。ポリシーまたはコンピュータプロパティで、次のように自動割り当てを有効化できます。
- [ポリシー]ページに移動し、ポリシーを右クリックして設定し、[ 詳細 ]の順にクリックします。
- [侵入防御]→[詳細] を順にクリックします。
- 自動割り当てを有効にするには、[ルールアップデート] 領域で [はい] を選択します。
- [OK] をクリックします。
ルールにイベントログを設定する
ルールのイベントをログに記録するかどうか、ログにパケットデータを含めるかどうかを設定します。
Workload Security では、X-Forwarded-Forヘッダがパケットデータ内で利用可能な場合に侵入防御イベントに表示できます。この情報は、エージェントがロードバランサまたはプロキシの背後にある場合に役立ちます。X-Forwarded-Forヘッダデータは、イベントの [プロパティ] 画面に表示されます。ヘッダデータを含めるには、ログにパケットデータを追加します。また、ルール1006540 [X-Forwarded-For HTTPヘッダのログを有効にする] も割り当てる必要があります。
ルールがイベントをトリガするたびにすべてのパケットデータを記録することは実際的でないため、 Workload Security では、イベントが指定された期間内に初めて発生したときにのみデータを記録します。初期設定時間は5分ですが、ポリシーの [ネットワークエンジンの詳細設定] の [1つのパケットデータのみをログに記録する期間] プロパティを使用して期間を変更できます。(「ネットワークエンジンの詳細オプション」を参照してください)。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- オン一般タブに移動します。イベント領域を選択し、目的のオプションを選択します。
- ルールのログを無効化するには、[イベントログの無効化] を選択します。
- パケットが破棄またはブロックされた場合にイベントのログを記録するには、[パケット破棄時にイベントを生成] を選択します。
- ログエントリにパケットデータを含めるには、[常にパケットデータを含める] を選択します。
- ルールで検出されたパケットの前後のパケットをログに記録するには、[デバッグモードを有効にする] を選択します。サポート担当者から指示があった場合のみデバッグモードを使用します。
また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。
- [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
- [侵入防御]→[詳細] を順にクリックします。
- [イベントデータ] 領域で [はい] を選択します。
アラートを生成する
侵入防御ルールがイベントをトリガした場合にアラートを生成します。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [ オプション ]タブをクリックし、[ 警告 ]領域で、 の順に選択します。
- [OK] をクリックします。
設定オプションを設定する (トレンドマイクロのルールのみ)
トレンドマイクロが提供する侵入防御ルールの中には、ヘッダ長、HTTPの許可される拡張子、Cookieの長さなど、1つ以上の設定オプションがあります。オプションには設定が必要なものもあります。必要なオプションを設定せずにルールを割り当てると、アラートが生成され、必要なオプションについての情報が表示されます。(これは、セキュリティアップデートによってダウンロードされ自動的に適用されたルールにも適用されます)。
設定オプションを持つ侵入防御ルールは、 侵入防御 ルールリストに表示され、アイコン の上には小さなアイコンが表示されます。
独自のカスタム侵入防御ルールには、[ルール] タブがあり、ルールを編集できます。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- Configuration タブをクリックします。
- プロパティを設定して [OK] をクリックします。
有効な時間を予約する
侵入防御ルールが有効な時間を予約します。スケジュールされた時間にのみアクティブな侵入防御ルールは、「侵入防御ルール」ページに表示され、アイコン の時計が少し変わります。
エージェントベースの保護では、スケジュールはエンドポイントのOSと同じタイムゾーンを使用します。次の手順で設定を実行すると、すべてのポリシーが影響を受けます。
ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [オプション] タブをクリックします。
- [スケジュール] 領域で [新規] を選択するか、頻度を選択します。
- 必要に応じてスケジュールを編集します。
- [OK]をクリックします。
推奨設定から除外する
推奨設定検索のルール推奨設定から侵入防御ルールを除外します。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [オプション] タブをクリックします。
- [推奨設定オプション] 領域で [推奨設定から除外] を選択します。
- [OK] をクリックします。
ルールのコンテキストを設定する
ルールが適用されるコンテキストを設定します。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [オプション] タブをクリックします。
- [コンテキスト] 領域で [新規] を選択するか、コンテキストを選択します。
- 必要に応じてコンテキストを編集します。
- [OK] をクリックします。
ルールの動作モードをオーバーライドする
新しいルールをテストする場合は、侵入防御ルールの動作モードを [検出] に設定します。[検出] モードでは、ルールは「検出のみ:」という言葉で始まるログエントリを作成しますが、トラフィックに干渉しません。侵入防御ルールには [検出] モードでのみ動作するものがあります。これらのルールについては、動作モードを変更できません。
ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。
動作モードの詳細については、「動作モードを使用してルールをテストする」を参照してください。
次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、「ルールおよびアプリケーションの種類の設定をオーバーライドする」を参照してください。
- [ ポリシー]→[ 侵入防御 ルール]の順にクリックします。
- ルールを選択して [プロパティ] をクリックします。
- [検出のみ] を選択します。
ルールおよびアプリケーションの種類の設定をオーバーライドする
コンピュータまたはポリシーエディタでは、変更内容がポリシーまたはコンピュータのコンテキストでのみ適用されるように、侵入防御ルールを編集できます。グローバルに変更が適用されるようにルールを編集して、ルールが割り当てられた他のポリシーおよびコンピュータで変更を有効にすることもできます。同様に、1つのポリシー/コンピュータ、またはグローバルにアプリケーションの種類を設定できます。
- [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
- [ 侵入防御]の順にクリックします。
- ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
- プロパティ: そのポリシーのみのルールを編集します。
- プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) ルールを編集します。
- ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
- アプリケーションの種類プロパティ: そのポリシーのみのアプリケーションの種類を編集します。
- アプリケーションの種類プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) アプリケーションの種類を編集します。
- [OK] をクリックします。
ルールを選択して [プロパティ] をクリックした場合は、編集中のポリシーのみでルールを編集します。
1つのポートを割り当てできるアプリケーションの種類は8個までです。9個以上割り当てると、そのルールは該当するポートで機能しません。
ルールをエクスポート/インポートする
1つ以上の侵入防御ルールをXMLまたはCSVファイルにエクスポートしたり、XMLファイルからルールをインポートできます。
- [ポリシー]→[侵入防御ルール] の順にクリックします。
- 1つ以上のルールをエクスポートするには、[エクスポート]→[選択したアイテムをCSV形式でエクスポート] または [エクスポート]→[選択したアイテムをXML形式でエクスポート] を順にクリックします。
- すべてのルールをエクスポートするには、[エクスポート]→[CSV形式でエクスポート] または [エクスポート]→[XML形式でエクスポート] を順にクリックします。
- ルールをインポートするには、[新規]→[ファイルからインポート] を順にクリックして、ウィザードの指示に従います。