ビュー:
侵入防御 モジュールを有効にし、[Detect]モードを使用してネットワークトラフィックの攻撃を監視します。 侵入防御 ルールの割り当て方法に満足したら、防御モードに切り替えてください。
  1. 侵入防御 (検出モード)
  2. テスト侵入防御
  3. 推奨ルールを適用する
  4. システムを監視する
  5. パケットまたはシステムのエラーに対してFail-Openを有効にする
  6. が予防モードに切り替わる
  7. 個々のルールについてのベストプラクティスを実装する
注意
注意
IPSの設定によって、CPUとRAMの使用率は変化します。Deep Security AgentでIPSのパフォーマンスを最適化するには、侵入防御のパフォーマンスに関するヒントを参照してください。
侵入防御 モジュールの概要については、 侵入防御を使用した ブロック攻撃のブロックを参照してください。

検出モードで 侵入防御 を有効にする

侵入防御 を有効にし、[検出]モードを使用して監視します。適切なポリシーを使用して、対象コンピュータに影響を与える 侵入防御 を設定します。個々のコンピュータを設定することもできます。
  1. [コンピュータエディタとポリシーエディタ]]→[侵入防御]→[一般] に移動します。
  2. [設定]には、[オン]または[継承 (オン)]のいずれかを選択します。コンピュータエディタの侵入防御設定のスクリーンショット
  3. [侵入防御の動作]については、[検出]を選択します。
  4. Deep Security Agent 11.1以前では、ホストコンピュータのネットワークインタフェースを通過してコンテナに向かうトラフィックが侵入防御モジュールによって監視されます。Deep Security Agent 11.2以降では、コンテナ間のトラフィックを監視することもできます。[コンテナのネットワークトラフィックの検索] 設定が [はい] に設定されている場合、コンテナとホストの両方を通過するトラフィックがDeep Securityによって検索されます。[いいえ] に設定されている場合、Deep Securityで検索されるのは、ホストネットワークインタフェースを通過するトラフィックだけです。
  5. [保存] をクリックします。
ヒント
ヒント
動作設定が利用できない場合、[ネットワークエンジンモード][タップ]に設定されている可能性があります。(ファイアウォールルールを展開する前にテストするを参照してください。)
より細かい制御を行うには、侵入防御ルールを割り当てるときに、グローバル動作モードをオーバーライドして、防止または検出のいずれかに特定のルールを設定できます (ルールの動作モードをオーバーライドするを参照してください)。

侵入防御のテスト

続行する前に、次の手順を実行して、侵入防御モジュールが正常に動作していることを確認する必要があります。
  1. Agentベースの配信がある場合は、コンピュータのAgentが実行中であることを確認します。エージェントレスの配置の場合は、 Deep Security Virtual Applianceが正常に動作していることを確認してください。
  2. Webレピュテーションモジュールを無効にします。Deep Security Managerで、[コンピュータ]をクリックし、 侵入防御をテストするコンピュータをダブルクリックします。コンピュータのダイアログボックスで [Webレピュテーション] をクリックし、[オフ] を選択します。Webレピュテーション は現在無効になっており、 侵入防御 機能に干渉しません。
  3. 悪質なトラフィックがブロックされていることを確認してください。コンピュータのダイアログで、[侵入防御]をクリックし、[一般]タブの下で[防御]を選択します。(灰色になっている場合は、[設定]ドロップダウンリストを[継承 (オン)]に設定してください。)
  4. EICARテストポリシーを割り当てます。コンピュータのダイアログで、[侵入防御]をクリックします。[割り当て/割り当て解除]をクリックします。1005924を検索します。[1005924 - HTTP経由でのEICARテストファイルのダウンロードを制限]ポリシーが表示されます。それを選択して[OK]をクリックします。ポリシーがコンピュータに割り当てられました。
  5. EICARファイルをダウンロードしてください (できない場合、侵入防御が適切に実行されている場合は。) を実行できません。Windowsの場合は、: http://files.trendmicro.com/products/eicar-file/eicar.comのリンクをクリックしてください。Linuxの場合は次のコマンドを入力します。curl -O http://files.trendmicro.com/products/eicar-file/eicar.com
  6. コンピュータの 侵入防御 イベントを確認します。引き続き、コンピュータのダイアログボックスで [侵入防御]→[侵入防御イベント] をクリックします。[イベントの取得] をクリックすると、前回のハートビート以降に発生したイベントが表示されます。[理由][1005924 - EICARテストファイルのHTTP経由でのダウンロードを制限] となっているイベントが表示されます。このイベントの存在は、 侵入防御 が機能していることを示しています。
  7. 変更を元に戻し、システムを以前の状態に戻します。Webレピュテーションモジュールをオンにし (オフにした場合)、[防御] または [検出] オプションをリセットして、コンピュータからEICARポリシーを削除します。

推奨ルールを適用する

パフォーマンスを最大化するには、ポリシーとコンピュータで必要な 侵入防御 ルールのみを割り当てます。推奨検索を使用して、適切なルールのリストを取得できます。
推奨設定の検索は特定のコンピュータに対して実行されますが、この推奨設定はコンピュータが使用するポリシーに割り当てることができます。
詳細については、推奨設定の検索の管理と実行を参照してください。
  1. 検索するコンピュータのプロパティを開きます。推奨設定の検索を手動で実行するの説明に従って推奨設定の検索を実行します。
    注意
    注意
    Deep Securityを に設定できます。適切な場合に推奨の 検索結果を自動的に実装します。
  2. ルールを割り当てるポリシーを開き、推奨設定の検索結果を管理するの説明に従ってルールの割り当てを実行します。2016-07-08_000130_DS10=1c07421c-d700-4bb2-ac2d-967b1299b9cf.png
ヒント
ヒント
割り当てられた 侵入防御 ルールを自動的かつ定期的に微調整するために、推奨検索のスケジュールを設定できます。Deep Security予約タスクの設定を参照してください。

システムをモニタする

侵入防御 ルールを適用した後、システムパフォーマンスと 侵入防御 イベントログを監視します。

システムパフォーマンスを監視する

CPU、RAM、およびネットワークの使用量を監視して、システムのパフォーマンスが許容範囲に収まっていることを確認します。パフォーマンスが許容範囲を超えて低下している場合は、パフォーマンスを改善するために一部の設定や環境を変更します (侵入防御のパフォーマンスのヒントを参照してください)。

侵入防御 イベントを確認する

侵入防御イベントを監視して、ルールが正規のネットワークトラフィックに一致しないようにします。ルールで誤判定が発生している場合は、ルールの割り当てを解除できます (ルールを割り当てる/ルールの割り当てを解除するを参照してください)
侵入防御イベントを表示するには、[イベントとレポート][侵入防御イベント]をクリックします。

パケットまたはシステムのエラーに対してFail-Openを有効にする

侵入防御モジュールには、侵入防御ルールを適用する前にパケットをブロックするネットワークエンジンが含まれています。これにより、サービスおよびアプリケーションでダウンタイムやパフォーマンスの問題が発生することがあります。この動作を変更し、システムまたは内部パケットエラーの発生時にパケットの通過を許可できます。詳細については、Fail-Openの動作を有効にする」を参照してください。

予防モードに切り替える

侵入防御で誤検出が検出されないことを確認したら、次のように、侵入防御を防御モードで使用するようにポリシーを設定し、ルールが適用され、関連するイベントがログに記録されるようにします。
  1. [コンピュータエディタとポリシーエディタ]→[侵入防御]→[一般] に移動します。
  2. [侵入防御の動作]については、[防御]を選択してください。
  3. [保存] をクリックします。

個々のルールについてのベストプラクティスを実装する

HTTPプロトコルデコードルール

HTTPプロトコルデコードルールは、アプリケーションの種類「Web Server Common」の中で最も重要なルールです。このルールは、他のルールによってHTTPトラフィックが検査される前にHTTPトラフィックをデコードします。また、このルールを使用して、デコードプロセスの各種のコンポーネントを制御することもできます。
このルールは、このルールを必要とするいずれかの「Web Application Common」ルールまたは「Web Server Common」ルールを使用する場合には必須です。Deep Security Managerは、他のルールでルールが必要な場合に自動的にこのルールを割り当てます。Webアプリケーションは1つ1つ異なるため、設定変更が必要かどうかを判断するために、このルールを使用するポリシーは一定期間検出モードで実行してから保護モードに切り替える必要があります。
無効な文字のリストは、しばしば変更が必要です。
詳細については、以下を参照してください。

クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール

アプリケーション層への攻撃として最も代表的なものに、SQLインジェクションとクロスサイトスクリプティング (XSS) があります。クロスサイトスクリプティングルールとSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄のしきい値の調整が必要になることがあります。
この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。
詳細については、Generic SQL Injection Preventionルールを理解するを参照してください。
NSXセキュリティタグを適用する