侵入防御の設定
このページのトピック
侵入防御モジュールを有効にし、検出モードを使用してネットワークトラフィックのエクスプロイトをモニタします。IPSルールの割り当てに満足したら、予防モードに切り替えます。
侵入防御システム (IPS) の構成は、中央処理装置 (CPU) やランダムアクセスメモリ (RAM) などのシステムリソースに影響を与えます。エージェント上のIPSのパフォーマンスを最適化するには、侵入防御のパフォーマンスのヒント を参照してください。 { .note }
の概要については、侵入防御モジュール、を参照を使用した不正プログラム試行のブロック侵入防御。
検出モードで 侵入防御 を有効にする
侵入防御を有効にして、監視のために検出モードを使用します。対象のコンピュータに影響を与えるために、適切なポリシーを使用して侵入防御を構成します。個々のコンピュータを構成することもできます。
より詳細に制御するには、侵入防御ルールを割り当てるときに、グローバル動作モードをオーバーライドし、特定のルールを設定して防御または検出を設定できます。(「ルールの動作モードのオーバーライド」を参照してください。)
- コンピュータまたはポリシーエディタで、侵入防御 > 一般 を選択します。
-
構成については、次のいずれかを選択してください:
- オン
- 継承 (オン)(ポリシー、継承、およびオーバーライドを参照.)
-
侵入防御の動作の検出を選択します。
有効化について侵入防御コンテナーについては、侵入防止設定を適用するを参照してください。
動作設定が利用できない場合は、ネットワークエンジンモード が タップ に設定されている可能性があります。 (「配信前にファイアウォールルールをテストする」を参照してください)。
-
[保存] をクリックします。
Endpoint & Workloadルールの自動適用を有効にする
Workload Securityは、ルールの更新 が行われるたびに、このコンピュータにコアエンドポイントおよびワークロードルールを割り当てます。ただし、手動で割り当て解除されたルールは割り当て解除されたままです。
トレンドマイクロは、エンドポイントセキュリティライセンスをお持ちの場合、この機能を有効にすることをお勧めしますが、ワークロードライセンスをお持ちの場合は、この機能を無効にして推奨スキャン を使用することをお勧めします。
- コアEndpoint & Workloadルールを自動的に実装するにははいを選択します。
- [Save] をクリックします。
侵入防御のテスト
侵入防御が正しく機能していることを確認してから、次の操作を続行してください:
- エージェントベースの展開を行っている場合、エージェントが実行されているコンピュータがあることを確認してください。
- Webレピュテーションモジュールをオフにして、侵入防御の妨げにならないようにします。
- Workload Security コンソールで、[ Computers]をクリックします。
- 侵入防御をテストする予定のコンピュータをダブルクリックしてください。
- Webレピュテーションをクリックします。
- オフを選択します。
- 悪質なトラフィックをブロックする。
- コンピュータの侵入防御をクリックします。
- 一般タブで、防止を選択します。グレーアウトしている場合は、設定を継承 (オン)に設定します。
- ヨーロッパコンピュータウイルス対策研究所 (EICAR) のテストポリシーを割り当てます。
- [侵入防御]を選択します。
- [割り当て/割り当て解除] を選択します。
- 1005924を検索。
- 1005924 - EICARテストファイルのHTTP経由でのダウンロードを制限ポリシーを選択してください。
- OKをクリックします。
- EICARファイルをダウンロードしてみてください。侵入防御がこのファイルのダウンロードを阻止するはずです。
- Windowsでhttp://files.trendmicro.com/products/eicar-file/eicar.comを開きます。
- Linuxでは、このコマンドを入力してください:
curl -O http://files.trendmicro.com/products/eicar-file/eicar.com
- コンピュータの侵入防御イベントを確認してください。
- 侵入防御 > 侵入防御イベント を選択します。
- イベントを表示するには、Get Eventsをクリックしてください。
- 理由として1005924 - HTTP経由でのEICARテストファイルのダウンロード制限のイベントを探してください。このイベントが存在することは、侵入防御が機能していることを示します。
- 変更を元に戻してシステムを以前の状態に戻します:
- Webレピュテーションをオンにする。
- 防止または検出オプションをリセットします。
- EICAR ポリシーをコンピュータから削除
推奨ルールを適用する
パフォーマンスを最大化するために、ポリシーとコンピュータが必要とするIPSルールのみを割り当ててください。適切なルールのリストを取得するには、推奨設定スキャン を使用します。推奨設定スキャンは特定のコンピュータに対して実行されますが、コンピュータが使用するポリシー に推奨設定を割り当てることができます。また、Workload Securityを構成してスキャン結果を自動的に実装 することもできます。
- コンピュータのプロパティを開く。
- 推奨設定の一般タブで、推奨設定をスキャンをクリックします。
- ルールを割り当てたいポリシーを開き、ルールの割り当てを完了します (ルールを手動で割り当てる を参照)。
侵入防御ルールを適用した後、システムパフォーマンスと侵入防御イベントログをモニタしてください。システムパフォーマンスが許容範囲内であることを確認するために、CPU、RAM、およびネットワーク使用量をモニタしてください。そうでない場合は、パフォーマンスを向上させるためにいくつかの設定や展開の側面を変更することができます (侵入防御のパフォーマンス向上のヒント を参照してください)。
侵入防御 イベントを確認する
侵入防御イベントを監視して、ルールが正規のネットワークトラフィックと一致していないことを確認します。ルールによって誤検出が発生している場合は、ルールの割り当てを解除できます (ルールの割り当てと割り当て解除を参照してください)。
- 侵入防御イベントを表示するには、イベントとレポート > 侵入防御イベントをクリックします。
パケット障害またはシステム障害に対するフェールオープンを有効にする
侵入防御モジュールには、IPSルールが適用される前にパケットをブロックする可能性のあるネットワークエンジンが含まれています。これにより、ダウンタイムやパフォーマンスの問題が発生する可能性があります。システムや内部パケットの障害が発生した場合にパケットを許可するようにこの動作を変更することができます。詳細については、フェイルオープン動作を有効にする を参照してください。
予防モードに切り替える
侵入防御が誤検知をしていないことを確認したら、ポリシーを構成して、侵入防御を防止モードで使用し、ルールを適用して関連するイベントをログに記録します。
- [コンピュータまたはポリシーエディタ]→[侵入防御]→[一般] に移動します。
- 侵入防御の動作で防止を選択します。
- [保存] をクリックします。
個々のルールについてのベストプラクティスを実装する
HTTPプロトコルデコードルール
HTTPプロトコルデコードルールは、Webサーバ共通アプリケーションタイプで最も重要なルールです。このルールは、他のルールによって検査される前にHTTPトラフィックをデコードします。このルールでは、デコード処理のさまざまなコンポーネントを制御することもできます。
このルールは、Web Application CommonまたはWeb Server Commonルールを使用する際に必要です。Workload Securityは、他のルールによって必要とされる場合にこのルールを自動的に割り当てます。各Webアプリケーションは異なるため、このルールを使用するポリシーは、Preventモードに切り替える前に一定期間Detectモードで実行し、設定変更が必要かどうかを確認する必要があります。違法文字のリストに変更が必要な場合がよくあります。このルールの調整方法の詳細については、ナレッジベース を参照してください。
クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール
最も一般的なアプリケーション層攻撃の2つは、SQLインジェクションとクロスサイトスクリプティング (XSS) です。XSSおよびSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄スコアの調整が必要になることがあります。
この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。
詳細については、一般的なSQLインジェクション防止ルールの理解を参照してください。