目次

侵入防御について

侵入防御モジュールは、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性に対する脆弱性攻撃からコンピュータを保護します。

アプリケーションまたはOSの既知の脆弱性に対してパッチが利用できない場合、 侵入防御ルールは、この脆弱性を悪用しようとしているトラフィックをインターセプトできます。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。このため、脆弱性を修正するパッチがリリースされ、テストされて配信されるまでコンピュータが保護されます。

Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を備えたWebアプリケーションにも対応しています。このように、侵入防御は、軽量Webアプリケーションファイアウォール(WAF)としても使用できます。

侵入防御を有効にして設定するには、 侵入防御を参照してください。

侵入防御 がサポートされているオペレーティングシステムのリストについては、プラットフォームごとにサポートされる機能を参照してください。

侵入防御ルール

侵入防御ルールは、ペイロードセッションおよびアプリケーション層ネットワークパケット (DNS、HTTP、SSL、およびSMTP) などと比較される一連の条件と、それらの上位層プロトコルに基づくパケットの順序を定義します。

ファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。

エージェントがネットワークトラフィックを検索し、そのトラフィックがルールの一致条件を満たしている場合、エージェントはそのルールを使用して攻撃の可能性があるか確認し、ルールに応じて次のいずれかの処理を実行します。

  • パケットの完全な破棄
  • 接続のリセット

侵入防御ルールがポリシーとコンピュータに割り当てられます。したがって、使用するポリシーに基づいてコンピュータのグループにルールセットを適用し、必要に応じてポリシーを上書きできます。 ポリシー、継承、およびオーバーライド を参照してください。

ルールの機能に影響を与える方法については、 侵入防御ルール

アプリケーションの種類

アプリケーションの種類では、関連付けられているアプリケーションごとにルールを整理します。また、通信に使用されるプロトコルやポート番号などのように必要に応じてルールが参照できるプロパティ値を格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、Database Microsoft SQLのアプリケーションの種類には、Microsoft SQL Serverに関連付けられているルールが含まれます。このアプリケーションの種類を設定すると、データベースへの接続に使用するポートを指定できます。

詳細については、「アプリケーションの種類」を参照してください。

ルールアップデート

トレンドマイクロは、侵入防御ルールを作成し、アプリケーションの脆弱性を検出します。セキュリティアップデートには、新しいルールまたはアップデートされたルール、およびアプリケーションの種類を含めることができます。ルールがすでにポリシーに割り当てられていて、割り当てられたルールが依存するルールがアップデートに含まれる場合は、アップデートされたルールを自動的に割り当てるように選択できます。

侵入防御ルールには、保護対象となる脆弱性に関する情報が含まれています。

トレンドマイクロの侵入防御ルールは、 Workload Securityコンソールから直接編集することはできません。ただし、一部のルールは設定可能であり、一部のルールは設定が必要です。 設定オプションの設定 (トレンドマイクロルールのみ)を参照してください。

推奨設定の検索

推奨設定の検索を使用すると、ポリシーとコンピュータに割り当てる必要がある侵入防御ルールを検出できます。 推奨設定の検索の管理と実行 を参照してください。

推奨設定の検索を実行するには、Workload Securityのライセンスが必要です。

動作モードを使用してルールをテストする

侵入防御は、[検出]または[防御]モードで動作します。

  • 検出: 侵入防御では、一致するトラフィックを検出してイベントを生成するためにルールを使用しますが、トラフィックはブロックしません。検出モードは、 侵入防御ルールが正規のトラフィックに干渉しないことをテストする場合に便利です。
  • Prevent: 侵入防御では、ルールを使用して一致するトラフィックを検出し、イベントを生成し、トラフィックをブロックして攻撃を防止します。

新しい侵入防御ルールを初めて適用するときは、検出モードを使用して、通常のトラフィックを誤ってブロックしていないことを確認します (誤検出)。誤検出が発生していないことが確認できたら、防御モードを使用してルールを適用し、攻撃をブロックできます。 検出モードで侵入防御を有効にする および 防御モードへの切り替え

侵入防御を検出モードで使用する場合と同様に、Workload Securityネットワークエンジンをテスト目的でタップモードで実行できます。タップモードでは、侵入防御によってルールに一致するトラフィックが検出され、イベントが生成されますが、トラフィックはブロックされません。また、タップモードはファイアウォールモジュールとWebレピュテーションモジュールに影響します。検出モードを使用して、侵入防御ルールを個別にテストできます。侵入防御でのタップモードの使用方法は、ファイアウォールルールのテストに使用するのと同じです。 配信前にファイアウォールルールをテストする を参照してください。

ルールの動作モードをオーバーライドする

個々のルールに対して検出モードを選択することで、コンピュータまたはポリシーレベルで設定された防御モードの動作を選択的に無効にできます。これは、ポリシーまたはコンピュータに適用される新しい侵入防御ルールをテストする場合に役立ちます。たとえば、侵入防御が防御モードで動作するようにポリシーが設定されている場合、個々のルールを検出モードに設定することで、そのルールの防御モードの動作をバイパスできます。そのルールについてのみ、侵入防御はトラフィックをログに記録し、ポリシーの動作モードを上書きしない他のルールを適用します。 ルールの動作モードをオーバーライドする を参照してください。

コンピュータまたはポリシーレベルでの防御モードは、矛盾するルール設定で上書きできますが、[検出]モードにはできません。コンピュータまたはポリシーレベルで[検出]モードを選択すると、ルール設定に関係なく検出モードの動作が適用されます。

トレンドマイクロが用意している一部のルールは、初期設定で検出モードを使用します。たとえば、メールクライアントルールでは、一般的に[検出]モードが使用されます。これは、予防モードでは、すべてのメールのダウンロードがブロックされるためです。一部のルールは、条件が多数回、または一定期間中に一定回数発生した場合にのみアラートをトリガします。これらのルールは、条件が再度発生した場合にのみ、不審な挙動を示すトラフィックに適用され、その条件が1回発生しただけでは異常とはみなされません。

設定が必要なルールは、正規のトラフィックをブロックしたりネットワークサービスを中断することがないようにするには、設定が完了するまで検出モードのままにします。ルールを防御モードに切り替えるのは、設定とテストの完了後にします。

侵入防御イベント

初期設定では、Workload Securityはハートビートごとにエージェントからファイアウォールと侵入防御のイベントログを収集します。Workload Securityによって収集されたイベントログは、設定可能な期間保持されます。初期設定は1週間です。必要に応じて、個々のルールのイベントログを設定できます。 ルールのイベントログの設定 を参照してください。

イベントにタグを付けると、イベントをソートしやすくなります。イベントには、手動でタグを付けることも、自動でタグを付けることもできます。また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。イベントのタグ付けの詳細については、「イベントを識別およびグループ化するためのタグの適用」を参照してください。

安全な接続のサポート

侵入防御モジュールでは、セキュリティで保護された接続でパケットを検査できます。TLSトラフィックの検査を参照してください。

コンテキスト

コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。一般的には、コンテキストが使用されるポリシーを作成して、さまざまなファイアウォールルールと侵入防御ルールをコンピュータ(通常はモバイルラップトップ)に適用します。このルールは、そのコンピュータが社内にあるか離れているかによって異なります。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。詳細については、「ポリシーで使用するコンテキストの定義」を参照してください。

インタフェースのタグ付け

ファイアウォールまたは侵入防御ルールを特定のインタフェースに割り当てる必要がある場合にインタフェースの種類を使用できます。複数のネットワークインタフェースがあるコンピュータの場合初期設定では、 ファイアウォールおよび侵入防御ルールは、コンピュータ上のすべてのインタフェースに割り当てられます。たとえば、ワイヤレスネットワークインタフェースにのみ特別なルールを適用する場合、インタフェースの種類を使用します。詳細については、「複数のインタフェースに対してポリシーを設定する」を参照してください。