目次

侵入防御の設定

侵入防御 モジュール(IDS / IPS)を設定して、ポリシーの動作を定義します。

モジュールの動作を設計しAPIを使用して実装する場合は、 About 侵入防御に記載されている背景情報とガイダンスを使用してください。

ポリシーオブジェクトには、 侵入防御 モジュールの設定に使用する2つのオブジェクトが含まれます。

  • IntrusionPreventionPolicyExtension:モジュールの状態を制御し (prevent、detect、またはoff)、適用された 侵入防御 ルールを識別し、モジュールに割り当てられているアプリケーションの種類を識別します。
  • PolicySettings:ポリシー設定には、推奨設定の適用、ネットワークエンジン設定、NSXセキュリティタグの使用など、モジュールのランタイム動作を制御する多くの 侵入防御関連の設定が含まれます。

これらのオブジェクトを作成して Policy オブジェクトに追加した後は、 PoliciesApi クラスを使用して、 Policy オブジェクトに基づいて既存のポリシーを変更します。

次のJSONは an IntrusionPreventionPolicyExtension objectのデータ構造を表します。

{
    "state": "prevent",
    "moduleStatus": {...},
    "ruleIDs": [...],
    "applicationTypeIDs": [...]
}

moduleStatus プロパティは読み取り専用です。侵入防御モジュールの実行時のステータスを示します。 コンピュータのステータスに関するレポート を参照してください。

一般的な手順

侵入防御 モジュールを設定するには、次の手順を実行します。

  1. IntrusionPreventionPolicyExtension オブジェクトを作成し、プロパティを設定します。
  2. PolicySettings オブジェクトを作成して、モジュールのランタイム設定を行います。
  3. Policyオブジェクトを作成し、 IntrusionPreventionPolicyExtension およびPolicySettingsオブジェクトを追加します。
  4. PoliciesApi オブジェクトを使用して、 Workload Securityでポリシーを追加または更新します。

1つの 侵入防御関連のポリシー設定のみを設定する必要がある場合は、 単一ポリシーまたは初期設定ポリシーの設定を参照してください。

IntrusionPreventionPolicyExtension オブジェクトを作成して、モジュールの状態を設定し、ルールを割り当てます。

ip_policy_extension = api.IntrusionPreventionPolicyExtension()
ip_policy_extension.state = "prevent"
ip_policy_extension.rule_ids = rule_ids

侵入防御関連の設定を行う PolicySettings オブジェクトを作成します。ポリシー設定の詳細については、「ポリシーと初期設定のポリシーを設定する」を参照してください。たとえば、推奨設定の検索で検出された侵入防御ルールを自動的に適用できます。

policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "yes"
policy_settings.intrusion_prevention_setting_auto_apply_recommendations_enabled = setting_value

この時点で、 侵入防御 ポリシー拡張とポリシー設定が構成されます。次に、 Policy オブジェクトに追加されます。次に、 PoliciesApi オブジェクトを使用して、 Workload Securityのポリシーを変更します。

policy = api.Policy()
policy.IntrusionPrevention = ip_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

modifyPolicypolicy_id (または policyID)パラメーターは、変更される Workload Security の実際のポリシーを識別します。このポリシーは、 policy パラメータとして使用されるポリシーオブジェクトに従って変更されます。設定されていない policy パラメータのプロパティは、実際のポリシーでは変更されません。

次のコード例は、 PolicySettings オブジェクトを作成し、モジュールの状態を設定し、ルールを割り当て、 intrusionPreventionSettingAutoApplyRecommendationsEnables プロパティの値を設定して、推奨検索によって検出されたルールを自動的に適用するようにIPSecに設定します。ポリシーを変更するために使用される Policy オブジェクトにオブジェクトが追加されます。

ソース

# Run in prevent mode
ip_policy_extension = api.IntrusionPreventionPolicyExtension()
ip_policy_extension.state = "prevent"

# Assign rules
ip_policy_extension.rule_ids = rule_ids

# Add to a policy
policy = api.Policy()
policy.IntrusionPrevention = ip_policy_extension

# Configure the setting
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "yes"
policy_settings.intrusion_prevention_setting_auto_apply_recommendations_enabled = setting_value

# Add the setting to a policy
policy.policy_settings = policy_settings

# Modify the policy on Workload Security
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

return modified_policy.id

「APIリファレンス」の ポリシーの変更 操作も参照してください。

ポリシーの 侵入防御 ルールのみを追加、削除、またはリストする必要がある場合は、 PolicyIntrusionPreventionRuleAssignmentsApi クラスを使用します。前の例では、 IntrusionPreventionPolicyExtension, Policyクラスと PoliciesApi クラスを使用して 侵入防御 ルールを追加していますが、これは PolicyIntrusionPreventionRuleAssignmentsApi クラスのみを使用して行うこともできます。詳細については、「APIリファレンス」の ポリシー侵入防御ルールの割り当てと推奨設定 を参照してください。

APIコールの認証の詳細については、Workload Securityによる認証を参照してください。

侵入防御 ルールを作成する

一般に、 侵入防御 モジュールのルールを作成するには、次の手順を実行します。

  1. IntrusionPreventionRule オブジェクトを作成します。
  2. ルールのプロパティを設定します。プロパティについては、 侵入防止ルールの設定で説明しています。
  3. ルールを Workload Securityに追加するには、 IntrusionPreventionRulesApi オブジェクトを使用します。

セキュリティログ監視 ルールには、 侵入防御 ルールとは異なるプロパティがありますが、ルールを作成する方法は似ています。基本的な セキュリティログ監視ルール の例が役立ちます。

APIを使用して侵入防御ルールの設定オプションにアクセスすることはできません。これらのオプションを変更するには、 Workload Securityコンソールでルールのプロパティを開き、[設定] タブを選択します。