このページのトピック
侵入防御の設定
侵入防御 モジュールを有効にし、[Detect] モードを使用してネットワークトラフィックの攻撃を監視します。侵入防御 ルールの割り当て方法に満足したら、防御モードに切り替えてください。
CPU使用率とRAM使用率は、IPS設定によって異なります。エージェントのIPSパフォーマンスを最適化するには、 侵入防御のためのパフォーマンスのヒントを参照して。
の概要については、侵入防御モジュール、を参照を使用した不正プログラム試行のブロック侵入防御。
検出モードで 侵入防御 を有効にする
侵入防御 を有効にし、[検出]モードを使用して監視します。適切なポリシーを使用して、対象コンピュータに影響を与える 侵入防御 を設定します。個々のコンピュータを設定することもできます。
- コンピュータまたはポリシーエディタ> 侵入防御 >一般に移動します。
- For設定、いずれかを選択します。オンまたは継承(On) 。
-
[侵入防御の動作] では、[検出] を選択します。
有効化について侵入防御コンテナーについては、侵入防止設定を適用するを参照してください。
-
[Save] をクリックします。
動作を設定できない場合は、[ネットワークエンジンモード] が [タップ] に設定されている可能性があります(Seeテストファイアウォールルールを配信する前に。)
より細かい制御を行うには、 侵入防御 ルールを割り当てるときに、グローバル動作モードをオーバーライドして、防止または検出のいずれかに特定のルールを設定できます。(「ルールの動作モードをオーバーライドする」を参照してください)。
Endpoint & Workloadルールの自動適用を有効にする
- コアEndpoint & Workloadルールを自動的に実装を「はい」に切り替える
- [保存] をクリックします。
Workload Security は、ルールのアップデートでが発生するたびに、すべてのコアEndpoint & Workloadルールをこのコンピュータに割り当てます。
手動で割り当て解除されたコアEndpoint & Workloadルールは、ルールのアップデート 後も未割り当てのままになります。
エンドポイントライセンスでこの機能をオンにし、この機能をオフにして 推奨スキャンとワークロードライセンスを使用することをお勧めします。
侵入防御のテスト
侵入防御 モジュールが正常に動作していることをテストしてから、次の手順に進んでください。
- Agentベースの配信がある場合は、コンピュータのAgentが実行中であることを確認します。
- Webレピュテーション モジュールの電源を切ります。 Workload Security コンソールで、[ Computers]をクリックし、 侵入防御をテストするコンピュータをダブルクリックします。コンピュータのダイアログボックスで [Webレピュテーション] をクリックし、[オフ] を選択します。Webレピュテーション は現在無効になっており、 侵入防御 機能に干渉しません。
- 不正なトラフィックがブロックされることを確認します。コンピュータのダイアログボックスで、 侵入防御をクリックし、 の[ 一般 ]タブで[ Prevent]を選択します。(影付きの場合は、 Configuration ドロップダウンリストを Inherited(On)に設定します。)
- EICARテストポリシーを割り当てます。引き続き、コンピュータのダイアログボックスで [侵入防御] をクリックします。[割り当て/割り当て解除] をクリックします。
1005924
を検索します。[1005924 - Restrict Download of EICAR Test File Over HTTP] ポリシーが表示されます。チェックボックスをオンにして、[OK] をクリックします。これで、ポリシーがコンピュータに割り当てられました。 - EICARファイルをダウンロードしてください( 侵入防御 が適切に実行されている場合は実行できません)。Windowsの場合は、[http://files.trendmicro.com/products/eicar-file/eicar.com]リンクを選択します。Linuxの場合は、次のコマンドを入力します。
curl -O http://files.trendmicro.com/products/eicar-file/eicar.com
- コンピュータの侵入防御イベントを確認します。引き続き、コンピュータのダイアログボックスで [侵入防御] → [侵入防御イベント] をクリックします。[イベントの取得] をクリックすると、前回のハートビート以降に発生したイベントが表示されます。表示されるイベントReason 1005924 - HTTPを介したEICARテストファイルのダウンロードを制限します。このイベントの存在は、 侵入防御 が機能していることを示しています。
- 変更を元に戻し、システムを以前の状態に戻します。Webレピュテーション モジュールを有効にます (オフにした場合)、検出 たは削除オプションをリセットして、コンピュータからEICARポリシーを削除します。
推奨ルールを適用する
パフォーマンスを最大化するには、ポリシーとコンピュータで必要な 侵入防御 ルールのみを割り当てます。推奨検索を使用して、適切なルールのリストを取得できます。
推奨設定の検索は特定のコンピュータに対して実行されますが、この推奨設定はコンピュータが使用するポリシーに割り当てることができます。
詳細については、「推奨設定の検索の管理と実行」を参照してください。
-
検索するコンピュータのプロパティを開きます。「推奨設定の検索を手動で実行する」の説明に従って推奨設定の検索を実行します。
Workload Security を に設定できます。適切な場合に推奨の 検索結果を自動的に実装します。
-
ルールを割り当てるポリシーを開き、 [[推奨検索結果の管理]の説明に従ってルールの割り当てを完了します。]。
割り当てられた 侵入防御 ルールを自動的かつ定期的に微調整するために、推奨検索のスケジュールを設定できます。SeeスケジュールWorkload Securityタスクを実行する。
システムを監視する
侵入防御 ルールを適用した後、システムパフォーマンスと 侵入防御 イベントログを監視します。
システムパフォーマンスを監視する
CPU、RAM、およびネットワークの使用量を監視して、システムのパフォーマンスが許容範囲に収まっていることを確認します。パフォーマンスが許容範囲を超えて低下している場合は、パフォーマンスを改善するために一部の設定や環境を変更します( 侵入防御のパフォーマンスに関するヒントを参照してください。)
侵入防御 イベントを確認する
侵入防御 イベントを監視して、ルールが正規のネットワークトラフィックに一致しないようにします。ルールで誤判定が発生している場合は、ルールの割り当てを解除できます(「ルールを割り当てる/ルールの割り当てを解除する」を参照してください)。
侵入防御 イベントを表示するには、[ イベント] [&レポート]> [ 侵入防御 イベント]の順にクリックします。
パケットまたはシステムのエラーに対して「Fail-Open」を有効にする
侵入防御 モジュールには、 侵入防御 ルールを適用する前にパケットをブロックするネットワークエンジンが含まれています。これにより、サービスおよびアプリケーションでダウンタイムやパフォーマンスの問題が発生することがあります。この動作を変更し、システムまたは内部パケットエラーの発生時にパケットの通過を許可できます。詳細については、「Fail-Open」の動作を有効にする」を参照してください。
予防モードに切り替える
侵入防御 で誤検出が検出されない場合は、防止モードで 侵入防御 を使用するようにポリシーを設定し、ルールが適用され、関連するイベントがログに記録されるようにします。
- コンピュータまたはポリシーエディタ> 侵入防御 >一般に移動します。
- [侵入防御の動作] では、[防御] を選択します。
- [保存] をクリックします。
個々のルールについてのベストプラクティスを実装する
HTTPプロトコルデコードルール
HTTPプロトコルデコードルールは、アプリケーションの種類「Web Server Common」の中で最も重要なルールです。このルールは、他のルールによってHTTPトラフィックが検査される前にHTTPトラフィックをデコードします。また、このルールを使用して、デコードプロセスの各種のコンポーネントを制御することもできます。
このルールは、このルールを必要とするいずれかの「Web Application Common」ルールまたは「Web Server Common」ルールを使用する場合には必須です。Workload Security では、このルールが他のルールで必要な場合に自動的に割り当てられます。Webアプリケーションは1つ1つ異なるため、設定変更が必要かどうかを判断するために、このルールを使用するポリシーは一定期間検出モードで実行してから保護モードに切り替える必要があります。
無効な文字のリストは、しばしば変更が必要です。
このルールとその調整方法の詳細については、次の製品Q&Aを参照してください。
- https://success.trendmicro.com/solution/1098016
- https://success.trendmicro.com/solution/1054481
- https://success.trendmicro.com/solution/1096566
クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール
アプリケーション層への攻撃として最も代表的なものに、SQLインジェクションとクロスサイトスクリプティング (XSS) があります。クロスサイトスクリプティングルールとSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄のしきい値の調整が必要になることがあります。
この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。
詳細については、https://success.trendmicro.com/solution/1098159
NSXセキュリティタグを適用する