次のタスクを実行して、IPSルールを構成および操作します:
侵入防御モジュールの概要については、侵入防御を使用したブロック攻撃のブロックを参照してください。
侵入防御ルールのリストを参照してください
[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。
 |
ヒント「TippingPoint」列には、同等のトレンドマイクロTippingPointルールIDが含まれています。侵入防御の詳細検索では、TippingPointルールIDで検索できます。また、ポリシーおよびコンピュータエディタの割り当てられた侵入防御ルールのリストでTippingPointルールIDを確認することもできます。
|
リストを表示するには、[ポリシー]をクリックし、次に[共通オブジェクト/ルール]の下で[IPSルール]をクリックします。
侵入防御ルールに関する情報を確認する
侵入防御ルールのプロパティには、ルールおよび保護対象となる攻撃コードに関する情報が含まれています。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
一般情報
-
名前::侵入防御ルールの名前。
-
説明::侵入防御ルールの説明。
-
最小Agent/Applianceバージョン:: この侵入防御ルールをサポートするために必要なDeep Security [Agent or Appliance] の最低バージョン。
詳細
[新規] (
) または [プロパティ] (
) をクリックすると、[侵入防御ルールプロパティ] ウィンドウが表示されます。
) または [プロパティ] () をクリックすると、[侵入防御ルールプロパティ] ウィンドウが表示されます。 |
注意[設定]タブに注意してください。トレンドマイクロのIPSルールはDeep Security Managerを通じて直接編集することはできません。代わりに、IPSルールの設定が必要
(または可能) な場合、それらの設定オプションは[設定]タブに表示されます。自分で作成したカスタムIPSルールは編集可能であり、その場合は[ルール]タブが表示されます。
|
侵入防御ルールのリストを参照してください
[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。
|
ヒント「TippingPoint」列には、同等のトレンドマイクロTippingPointルールIDが含まれています。侵入防御の詳細検索では、TippingPointルールIDで検索できます。また、ポリシーおよびコンピュータエディタの割り当てられた侵入防御ルールのリストでTippingPointルールIDを確認することもできます。
|
リストを表示するには、[ポリシー]をクリックし、次に[共通オブジェクト/ルール]の下で[IPSルール]をクリックします。
一般情報
-
アプリケーションの種類::この侵入防御ルールが分類されるアプリケーションタイプ。
ヒント
このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。 -
優先度::ルールの優先度。優先度の高いルールは、優先度の低いルールよりも先に適用されます。
-
重要度::ルールの重大度を設定しても、ルールの実装や適用には影響しません。重大度レベルは、IPSルールのリストを表示する際のソート基準として役立ちます。さらに重要なのは、各重大度レベルが重大度値に関連付けられていることです。この値はコンピュータのアセット価値に掛け合わされ、イベントのランキングを決定します。([管理]→ [システム設定]→ Ranking]を参照してください。)
-
CVSSスコア:: National Vulnerability Databaseによる脆弱性の深刻度の尺度。
ID (トレンドマイクロのルールのみ)
-
種類::[スマート] (1つ以上の既知または不明なゼロデイの脆弱性)、[攻撃コード] (通常、署名ベースの攻撃コード) または [脆弱性] (1つ以上の攻撃コードが存在する可能性のある特定の脆弱性) のいずれかになります。
-
発行日::ルールがリリースされた日付です。これはルールがダウンロードされた日付を示すものではありません。
-
前回のアップデート::ローカルで、またはセキュリティアップデートのダウンロード中に、ルールが変更された前回の日時。
-
識別子::ルールに一意の識別タグ。
関連する脆弱性に関する情報を参照してください (トレンドマイクロのルールのみ)
トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報が含まれる場合があります。該当する場合、共通脆弱性評価システム (CVSS) が表示されます。(この評価システムの詳細については、National Vulnerability DatabaseのCVSSページを参照してください。)
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[脆弱性] タブをクリックします。
ルールを割り当てる/ルールの割り当てを解除する
Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。
[コンピュータエディタ]からIPSルールを割り当て解除できない場合、ルールがポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは[ポリシーエディタ]を使用して削除する必要があり、コンピュータレベルでは削除できません。
ポリシーを変更すると、そのポリシーを使用しているすべてのコンピューターに影響します。例えば、ポリシーからルールを解除すると、そのポリシーで保護されているすべてのコンピューターからそのルールが削除されます。他のコンピューターにルールを適用し続けるには、そのコンピューターグループ用に新しいポリシーを作成してください。(ポリシー、継承、およびオーバーライドを参照してください。)
|
ヒントルールが割り当てられているポリシーとコンピューターを確認するには、ルールプロパティの割り当て先タブを参照してください。
|
-
[ポリシー] ページに移動し、構成するポリシーを右クリックして [詳細] をクリックします。
-
[侵入防御]→[一般]をクリックします。ポリシーに割り当てられたルールのリストが[現在割り当てられている侵入防御ルール]リストに表示されます。
-
[現在割り当てられている侵入防御ルール]の下で、[割り当て/割り当て解除]をクリックします。
-
ルールを割り当てるには、ルールの横にあるチェックボックスをオンにします。
-
ルールの割り当てを解除するには、ルールの横にあるチェックボックスをオフにします。
-
[OK] をクリックします。
アップデートされた必須ルールを自動割り当てする
セキュリティ更新には、新しいまたは更新されたアプリケーションタイプや、二次IPSルールの割り当てが必要なIPSルールが含まれることがあります。Deep Securityは、これらのルールが必要な場合に自動的に割り当てることができます。これらの自動割り当ては、ポリシーまたはコンピュータのプロパティで有効にします。
-
[ポリシー] ページに移動し、構成するポリシーを右クリックして [詳細] をクリックします。
-
[侵入防御]→[詳細]をクリックします。
-
自動割り当てを有効にするには、[ルールアップデート]領域で[はい]を選択します。
-
[OK] をクリックします。
ルールにイベントログを設定する
ルールのイベントがログに記録されるかどうか、およびログにパケットデータを含めるかどうかを設定します。
|
注意Deep Securityは、パケットデータに含まれている場合、侵入防御イベントにX-Forwarded-Forヘッダーを表示できます。この情報は、Deep Security
Agentがロードバランサーやプロキシの背後にある場合に役立ちます。X-Forwarded-Forヘッダーデータはイベントのプロパティウィンドウに表示されます。ヘッダーデータを含めるには、ログにパケットデータを含める必要があります。さらに、ルール1006540「X-Forwarded-For
HTTPヘッダーロギングを有効にする」を割り当てる必要があります。
|
ルールがイベントをトリガーするたびにすべてのパケットデータを記録するのは非現実的であるため、Deep Securityは指定された期間内にイベントが初めて発生したときにのみデータを記録します。デフォルトの時間は5分ですが、ポリシーの高度なネットワークエンジンの設定の「期間内に1つのパケットのみをログに記録する期間」プロパティを使用して期間を変更できます。(高度なネットワークエンジンオプションを参照してください。)
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
一般タブで、イベントエリアに移動し、希望するオプションを選択してください。
-
ルールのログ記録を無効にするには、[イベントログの無効化]を選択します。
-
パケットがドロップまたはブロックされたときにイベントを記録するには、[パケット破棄時にイベントを生成]を選択します。
-
ログエントリにパケットデータを含めるには、[常にパケットデータを含める]を選択してください。
-
ルールが検出したパケットの前後に続く複数のパケットを記録するには、[デバッグモードを有効にする]を選択します。デバッグモードは、サポートプロバイダの指示がある場合にのみ使用してください。
-
また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。
-
[ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
-
[侵入防御]→[詳細]をクリックします。
-
[イベントデータ]領域で[はい]を選択します。
アラートを生成する
侵入防御ルールがイベントをトリガした場合にアラートを生成します。
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
オプションタブをクリックし、[アラート]エリアで[オン]を選択します。
-
[OK] をクリックします。
設定オプションを設定する (トレンドマイクロのルールのみ)
トレンドマイクロが提供するいくつかのIPSルールには、ヘッダーの長さ、HTTPの許可される拡張子、またはクッキーの長さなど、1つ以上の設定オプションがあります。一部のオプションは設定が必要です。必要なオプションを設定せずにルールを割り当てると、必要なオプションについて通知するアラートが生成されます。(これは、セキュリティアップデートによってダウンロードされ、自動的に適用されるルールにも適用されます。)
構成オプションがある侵入防止ルールは、アイコンの上に小さなギアが表示されているIPSルールリストに表示されます
。
。 |
注意自分で作成するカスタムIPSルールには、ルールを編集できる[ルール]タブが含まれています。
|
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[設定] タブをクリックします。
-
プロパティを設定してから、[OK]をクリックしてください。
有効な時間を予約する
侵入防御ルールが有効になる時間をスケジュールします。スケジュールされた時間にのみ有効な侵入防御ルールは、アイコンの上に小さな時計が表示されている
侵入防御ルールページに表示されます。
侵入防御ルールページに表示されます。 |
注意エージェントベースの保護では、スケジュールはエンドポイントOSと同じタイムゾーンを使用します。Agentレス保護では、スケジュールはDeep Security Virtual
Applianceと同じタイムゾーンを使用します。
|
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[オプション] タブをクリックします。
-
[スケジュール]領域で、[新規]を選択するか、頻度を選択します。
-
必要に応じてスケジュールを編集します。
-
[OK] をクリックします。
推奨設定から除外する
推奨設定検索のルール推奨設定から侵入防御ルールを除外します。
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[オプション] タブをクリックします。
-
[推奨設定オプション]領域で[推奨設定から除外]を選択します。
-
[OK] をクリックします。
ルールのコンテキストを設定する
ルールが適用されるコンテキストを設定します。
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[オプション] タブをクリックします。
-
[コンテキスト]領域で、[新規]を選択するか、コンテキストを選択します。
-
必要に応じてコンテキストを編集します。
-
[OK] をクリックします。
ルールの動作モードをオーバーライドする
新しいルールをテストする際には、侵入防御ルールの動作モードを検出に設定します。検出モードでは、ルールは「detect only:」という言葉で始まるログエントリを作成し、トラフィックに干渉しません。一部のIPSルールは検出モードでのみ動作するように設計されています。これらのルールについては、動作モードを変更することはできません。
|
注意ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。
|
動作モードの詳細については、ルールをテストするために動作モードを使用するを参照してください。
次の手順で行う構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成を上書きするを参照してください。
-
[ポリシー]→[IPSルール]をクリックします。
-
ルールを選択して[のプロパティ]をクリックします。
-
[検出のみ]を選択してください。
ルールおよびアプリケーションの種類の設定をオーバーライドする
[コンピュータエディタとポリシーエディタ]から、ポリシーまたはコンピュータのコンテキスト内でのみ変更が適用されるように侵入防御ルールを編集できます。また、変更が他のポリシーやそのルールが割り当てられているコンピュータに影響を与えるように、ルールをグローバルに編集することもできます。同様に、単一のポリシーまたはコンピュータ、またはグローバルにアプリケーションタイプを構成することができます。
-
[ポリシー] ページに移動し、構成するポリシーを右クリックして [詳細] をクリックします。
-
[侵入防御]をクリックします。
-
ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
-
[のプロパティ]: ポリシーのルールのみを編集します。
-
プロパティ (グローバル): すべてのポリシーとコンピューターに対してルールをグローバルに編集します。
-
-
ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
-
[アプリケーションの種類プロパティ]: ポリシーのアプリケーションタイプのみを編集します。
-
Application Type プロパティ (グローバル): すべてのポリシーとコンピューターに対してアプリケーションタイプをグローバルに編集します。
-
-
[OK] をクリックします。
|
ヒントルールを選択してプロパティをクリックすると、編集しているポリシーに対してのみルールを編集することになります。
|
|
注意1つのポートに8つ以上のアプリケーションタイプを割り当てることはできません。それ以上割り当てると、そのポートでルールが機能しなくなります。
|
ルールをエクスポート/インポートする
1つ以上のIPSルールをXMLファイルまたはCSVファイルにエクスポートできます。また、XMLファイルからルールをインポートできます。
-
[ポリシー]→[IPSルール]をクリックします。
-
1つ以上のルールをエクスポートするには、それらを選択して[エクスポート]→[選択したアイテムをCSV形式でエクスポート]または[エクスポート]→[選択したアイテムをXML形式でエクスポート]をクリックします。
-
すべてのルールをエクスポートするには、[エクスポート]→[CSV形式でエクスポート] または [エクスポート]→[XML形式でエクスポート] をクリックします。
-
ルールをインポートするには、[新規]→[ファイルからインポート] をクリックし、ウィザードの指示に従います。