侵入防御について

侵入防御 モジュールは、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性に対する脆弱性攻撃からコンピュータを保護します。

アプリケーションまたはOSの既知の脆弱性に対してパッチが利用できない場合、 侵入防御 ルールは、この脆弱性を悪用しようとしているトラフィックをインターセプトできます。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。このため、脆弱性を修正するパッチがリリースされ、テストされて配信されるまでコンピュータが保護されます。

Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を備えたWebアプリケーションにも対応しています。このように、 侵入防御 は、軽量Webアプリケーションファイアウォール(WAF)としても使用できます。

侵入防御を有効にして設定するには、 侵入防御を参照してください。

侵入防御 ルール

侵入防御 ルールは、ネットワークパケットのペイロードセッションおよびアプリケーション層(DNS、HTTP、SSL、およびSMTP), など)と比較される一連の条件と、それらの上位層プロトコルに基づくパケットの順序を定義します。 。

ファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。

Deep Security Agentがネットワークトラフィックを検索し、そのトラフィックがルールの一致条件を満たしている場合、エージェントはそのルールを使用して攻撃の可能性があるか確認し、ルールに応じて次のいずれかの処理を実行します。

  • パケットの完全な破棄
  • 接続のリセット

侵入防御 ルールはポリシーとコンピュータに割り当てられます。このため、使用するポリシーに基づいてコンピュータのグループにルールセットを適用し、必要に応じてポリシーをオーバーライドできます(「ポリシー、継承、およびオーバーライド」を参照してください)。

ルールの機能に影響を与える方法については、 侵入防御 ルール

アプリケーションの種類

アプリケーションの種類では、関連付けられているアプリケーションごとにルールを整理します。また、通信に使用されるプロトコルやポート番号などのように必要に応じてルールが参照できるプロパティ値を格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、Database Microsoft SQLのアプリケーションの種類には、Microsoft SQL Serverに関連付けられているルールが含まれます。このアプリケーションの種類を設定すると、データベースへの接続に使用するポートを指定できます。

詳細については、「アプリケーションの種類」を参照してください。

ルールアップデート

トレンドマイクロは、 侵入防御 ルールを作成し、アプリケーションの脆弱性を検出します。セキュリティアップデートには、新しいルールまたはアップデートされたルール、およびアプリケーションの種類を含めることができます。ルールがすでにポリシーに割り当てられていて、割り当てられたルールが依存するルールがアップデートに含まれる場合は、アップデートされたルールを自動的に割り当てるように選択できます。

侵入防御 ルールには、保護対象となる脆弱性に関する情報が含まれています。

侵入防御 ルールは、 Workload Security コンソールから直接編集できません。ただし、一部のルールは設定可能であり、設定が必要なルールもあります(「設定オプションを設定する (トレンドマイクロのルールのみ)」参照してください)。

推奨設定の検索

推奨検索を使用して、ポリシーとコンピュータに割り当てる 侵入防御 ルールを検出できます。(「推奨設定の検索の管理と実行」を参照してください)。

動作モードを使用してルールをテストする

侵入防御 は、[検出]または[防御]モードで動作します。

  • の検出: 侵入防御 では、一致するトラフィックを検出してイベントを生成するためにルールを使用しますが、トラフィックはブロックしません。検出モードは、 侵入防御 ルールが正規のトラフィックに干渉しないことをテストする場合に便利です。
  • Prevent: 侵入防御 では、ルールを使用して一致するトラフィックを検出し、イベントを生成し、トラフィックをブロックして攻撃を防止します。

新しい 侵入防御 ルールを最初に適用するときは、[Detect]モードを使用して、誤って通常のトラフィックをブロックしないことを確認します(誤検出)。誤判定が発生しないことを確認できた時点で、防御モードを使用して、ルールを適用して攻撃をブロックできます( 侵入防御 の検出モード および から予防モードに切り替えるを参照してください)。

Workload Security ネットワークエンジンは、検出モードで 侵入防御 を使用するのと同様に、テスト目的でタップモードで実行できます。タップモードでは、 侵入防御 はルールマッチングトラフィックを検出してイベントを生成しますが、トラフィックはブロックしません。また、タップモードは、 ファイアウォール および Webレピュテーション モジュールにも影響します。検出モードを使用すると、 侵入防御 ルールを個別にテストできます。 侵入防御 でタップモードを使用するのと同じ方法で、 ファイアウォール ルールのテストにタップモードが使用されます。Seeテストファイアウォールルールを配信する前に

ルールの動作モードをオーバーライドする

個々のルールに対して[検出]モードを選択することで、コンピュータまたはポリシーレベルで[防止モード]の動作を選択して優先させることができます。ポリシーまたはコンピュータに適用される新しい 侵入防御 ルールをテストする場合に便利です。たとえば、防御モードで 侵入防御 が機能するようにポリシーが設定されている場合、ルールを[検出]モードに設定することで、個々のルールの防御モードの動作を回避できます。そのルールの場合にのみ、 侵入防御 はトラフィックをログに記録し、ポリシーの動作モードをオーバーライドしない他のルールを適用します。(「ルールの動作モードをオーバーライドする」を参照してください)。

コンピュータまたはポリシーレベルでの防御モードは、矛盾するルール設定で上書きできますが、[検出]モードにはできません。コンピュータまたはポリシーレベルで[検出]モードを選択すると、ルール設定に関係なく検出モードの動作が適用されます。

トレンドマイクロが用意している一部のルールは、初期設定で検出モードを使用します。たとえば、メールクライアントルールでは、一般的に[検出]モードが使用されます。これは、予防モードでは、すべてのメールのダウンロードがブロックされるためです。一部のルールは、条件が多数回、または一定期間中に一定回数発生した場合にのみアラートをトリガします。これらのルールは、条件が再度発生した場合にのみ、不審な挙動を示すトラフィックに適用され、その条件が1回発生しただけでは異常とはみなされません。

設定が必要なルールは、正規のトラフィックをブロックしたりネットワークサービスを中断することがないようにするには、設定が完了するまで検出モードのままにします。ルールを防御モードに切り替えるのは、設定とテストの完了後にします。

侵入防御 イベント

初期設定では、 Workload Security は、 Deep Security Agentから ファイアウォール および 侵入防御 イベントログをすべてのハートビートで収集します。 Workload Securityによって収集されたイベントログは、設定可能な期間保存されます。初期設定値は1週間です必要に応じて、個々のルールにイベントログを設定できます(「ルールにイベントログを設定する」を参照してください)。

イベントにタグを付けると、イベントをソートしやすくなります。イベントには、手動でタグを付けることも、自動でタグを付けることもできます。また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。イベントのタグ付けの詳細については、「イベントを識別およびグループ化するためのタグの適用」を参照してください。

安全な接続のサポート

侵入防御 モジュールでは、セキュリティで保護された接続でパケットを検査できます。「SSLまたはTLSトラフィックの検査」を参照してください。

コンテキスト

コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。一般的には、コンテキストが使用されるポリシーを作成して、さまざまな ファイアウォール ルールと 侵入防御 ルールをコンピュータ(通常はモバイルラップトップ)に適用します。このルールは、そのコンピュータが社内にあるか離れているかによって異なります。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。詳細については、「ポリシーで使用するコンテキストの定義」を参照してください。

インタフェースのタグ付け

ファイアウォール または 侵入防御 ルールを特定のインタフェースに割り当てる必要がある場合にインタフェースの種類を使用できます。複数のネットワークインタフェースがあるコンピュータの場合初期設定では、 ファイアウォール および 侵入防御 ルールは、コンピュータ上のすべてのインタフェースに割り当てられます。たとえば、ワイヤレスネットワークインタフェースにのみ特別なルールを適用する場合、インタフェースの種類を使用します。詳細については、「複数のインタフェースに対してポリシーを設定する」を参照してください。