侵入防御を有効にし、検出モードを使用してネットワークトラフィックのエクスプロイトをモニタします。IPSルールの割り当てに満足したら、予防モードに切り替えます。
注意
注意
侵入防御システム (IPS) の構成は、中央処理装置 (CPU) やランダムアクセスメモリ (RAM) などのシステムリソースに影響を与えます。エージェント上のIPSのパフォーマンスを最適化するには、侵入防御のパフォーマンスのヒントを参照してください。
侵入防御の概要については、侵入防御を使用して脆弱性悪用の試行をブロックするを参照してください。

検出モードで 侵入防御 を有効にする 親トピック

侵入防御を有効にし、監視のために検出モードを使用します。対象のコンピュータに影響を与える適切なポリシーを使用して侵入防御を構成します。個々のコンピュータを構成することもできます。
詳細な制御を行うためにIPSルールを割り当てる際、グローバル動作モードを上書きし、特定のルールを防止または検出するように設定できます。ルールの動作モードを上書きするを参照してください。

手順

  1. [コンピュータまたはポリシーエディタ][侵入防御][一般]に移動します。
  2. [構成]については、次のいずれかを選択してください。
  3. [侵入防御の動作]に対して[検出]を選択します。
    コンテナに対して侵入防御を有効にする方法については、侵入防御設定の適用を参照してください。
    動作設定が利用できない場合、[ネットワークエンジンモード][タップ]に設定されている可能性があります。 (ファイアウォールルールを展開する前にテストするを参照してください。)
  4. [保存] をクリックします。

コアエンドポイントとワークロードルールの自動適用を有効にする 親トピック

Workload Securityは、ルールの更新が発生するたびに、このコンピュータにコアエンドポイントおよびWorkloadルールを割り当てます。ただし、手動で割り当て解除されたルールは割り当て解除されたままです。
トレンドマイクロでは、[Endpointライセンス]をお持ちの場合はこの機能を有効にすることをお勧めしますが、[Workloadライセンス]を使用する場合はこの機能を無効にして推奨設定の検索を使用することをお勧めします。

手順

  1. [はい]を選択して、[コアエンドポイントおよびワークロードルールを自動的に実装]します。
  2. [保存] をクリックします。

侵入防御のテスト 親トピック

侵入防御が正常に動作していることを確認してから、次の操作を続行してください。

手順

  1. エージェントベースの展開を行っている場合、エージェントが実行されているコンピュータがあることを確認してください。
  2. Webレピュテーションをオフにして、侵入防御への干渉を防ぎます。
    1. Workload Security コンソールで、[コンピュータ]をクリックします。
    2. 侵入防御をテストする予定のコンピュータをダブルクリックしてください。
    3. [Webレピュテーション]をクリックします。
    4. [オフ]を選択
  3. 悪質なトラフィックをブロックする:
    1. [侵入防御]をクリックしてコンピュータを保護します。
    2. 一般タブで、[防御]を選択します。
      [防止]が利用できない場合、[設定][継承 (オン)]に設定してください。
  4. ヨーロッパコンピュータウイルス対策研究所 (EICAR) テストポリシーを割り当てる:
    1. [侵入防御]をクリックしてコンピュータを保護します。
    2. [割り当て/割り当て解除] をクリックします。
    3. 1005924を検索してください。
    4. [1005924 - EICARテストファイルのHTTP経由でのダウンロードを制限]を選択します。
    5. [OK] をクリックします。
  5. EICARファイルをダウンロードしてみてください。侵入防御がこのファイルのダウンロードを阻止するはずです。
  6. コンピュータの侵入防御イベントを確認してください:
    1. コンピュータのために[侵入防御][侵入防御イベント]を選択します。
    2. [イベントを取得]をクリックして、最後のハートビート以降に発生したイベントを確認します。
    3. [理由]として[1005924 - Restrict Download of EICAR Test File Over HTTP]のイベントを探してください。このイベントが存在することは、侵入防御が機能していることを示します。
  7. 変更を元に戻してシステムを以前の状態に戻します:
    1. Webレピュテーションをオンにする。
    2. [防止]または[検出]オプションをリセットします。
    3. EICARポリシーをコンピュータから削除

推奨ルールを適用する 親トピック

パフォーマンスを最大化するために、ポリシーとコンピュータが必要とするIPSルールのみを割り当ててください。推奨設定スキャンを使用して、適切なルールのリストを取得します。推奨設定スキャンは特定のコンピュータに対して実行されますが、コンピュータが使用するポリシーに推奨設定を割り当てることができます。また、Workload Securityを構成して、推奨設定を自動的に実装するスキャン結果を設定することもできます。

手順

  1. コンピュータのプロパティを開く。
  2. 手動で強化された推奨スキャンまたは従来の推奨スキャンを実行します。
  3. ルールを割り当てたいポリシーを開き、ルールの割り当てを完了します

次に進む前に

侵入防御ルールを適用した後、システムパフォーマンスと侵入防御イベントログをモニタしてください。システムパフォーマンスが許容範囲内であることを確認するために、CPU、RAM、およびネットワーク使用量をモニタしてください。そうでない場合は、パフォーマンスを向上させるためにいくつかの設定や展開の側面を変更することができます。(侵入防御のパフォーマンス向上のヒントを参照してください。)

侵入防御 イベントを確認する 親トピック

侵入防御イベントをモニタして、ルールが正当なネットワークトラフィックに一致していないことを確認します。ルールが誤検知を引き起こしている場合は、そのルールの割り当てを解除できます。(ルールの割り当てと解除を参照してください。)

手順

  • 侵入防御イベントを表示するには、[イベントとレポート][侵入防御イベント]をクリックします。

パケット障害またはシステム障害に対するフェールオープンを有効にする 親トピック

侵入防御には、侵入防御ルールを適用する前にパケットをブロックする可能性があるネットワークエンジンが含まれています。これにより、パフォーマンスの問題が発生する可能性があります。この動作を変更して、システムまたは内部のパケット障害が発生したときにパケットを通過させることができます。詳細については、[フェイルオープン]動作を有効にする を参照してください。

予防モードに切り替える 親トピック

侵入防御が誤検知をしていないことを確認したら、ポリシーを構成して、侵入防御を防止モードで使用し、ルールを強制し、関連するイベントを記録します。

手順

  1. [コンピュータまたはポリシーエディタ][侵入防御][一般]に移動します。
  2. [侵入防御の動作]に対して[防止]を選択します。
  3. [保存]をクリックします。

HTTPプロトコルデコードルール 親トピック

HTTPプロトコルデコードルールは、Webサーバ共通アプリケーションタイプで最も重要なルールです。このルールは、他のルールが検査する前にHTTPトラフィックをデコードします。また、このルールにより、デコードプロセスのさまざまなコンポーネントを制御することができます。
このルールは、このルールを必要とするいずれかのWeb Application CommonルールまたはWeb Server Commonルールを使用する場合には必須です。Workload Security では、このルールが他のルールで必要な場合に自動的に割り当てられます。Webアプリケーションは1つ1つ異なるため、設定変更が必要かどうかを判断するために、このルールを使用するポリシーは一定期間[検出]モードで実行してから[保護]モードに切り替える必要があります。違法文字のリストに変更が必要な場合がよくあります。このルールの調整方法については、ナレッジベースを参照してください。

クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール 親トピック

アプリケーション層への攻撃として最も代表的なものに、SQLインジェクションとクロスサイトスクリプティング (XSS) があります。クロスサイトスクリプティングルールとSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄のしきい値の調整が必要になることがあります。
この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。
詳細については、一般的なSQLインジェクション防止ルールの理解を参照してください。