侵入防御モジュールは、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性に対する脆弱性攻撃からコンピュータを保護します。
アプリケーションまたはOSの既知の脆弱性に対してパッチが利用できない場合、 侵入防御ルールは、この脆弱性を悪用しようとしているトラフィックをインターセプトできます。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。このため、脆弱性を修正するパッチがリリースされ、テストされて配信されるまでコンピュータが保護されます。
Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を備えたWebアプリケーションにも対応しています。このように、侵入防御は、軽量Webアプリケーションファイアウォール(WAF)としても使用できます。
侵入防御を有効にして設定するには、侵入防御の設定を参照してください。
侵入防御がサポートされているオペレーティングシステムの一覧については、プラットフォーム別のサポート機能を参照してください。
ここでは、次の項目について説明します。
侵入防御ルール
侵入防御ルールは、ペイロードセッションおよびアプリケーション層ネットワークパケット (DNS、HTTP、SSL、およびSMTP) などと比較される一連の条件と、それらの上位層プロトコルに基づくパケットの順序を定義します。
ファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。
エージェントがネットワークトラフィックを検索し、そのトラフィックがルールの一致条件を満たしている場合、エージェントはそのルールを使用して攻撃の可能性があるか確認し、ルールに応じて次のいずれかの処理を実行します。
- パケットの完全な破棄
- 接続のリセット
IPSルールはポリシーとコンピュータに割り当てられます。したがって、使用するポリシーに基づいてコンピュータのグループにルールのセットを適用し、必要に応じてポリシーをオーバーライドすることができます。ポリシー、継承、およびオーバーライドを参照してください。
ルールの機能に影響を与える方法については、IPSルールの設定を参照してください。
アプリケーションの種類
アプリケーションの種類では、関連付けられているアプリケーションごとにルールを整理します。また、通信に使用されるプロトコルやポート番号などのように必要に応じてルールが参照できるプロパティ値を格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、Database
Microsoft SQLのアプリケーションの種類には、Microsoft SQL Serverに関連付けられているルールが含まれます。このアプリケーションの種類を設定すると、データベースへの接続に使用するポートを指定できます。
詳細については、アプリケーションの種類を参照してください。
ルールアップデート
トレンドマイクロは、侵入防御ルールを作成し、アプリケーションの脆弱性を検出します。セキュリティアップデートには、新しいルールまたはアップデートされたルール、およびアプリケーションの種類を含めることができます。ルールがすでにポリシーに割り当てられていて、割り当てられたルールが依存するルールがアップデートに含まれる場合は、アップデートされたルールを自動的に割り当てるように選択できます。
侵入防御ルールには、保護対象となる脆弱性に関する情報が含まれています。
トレンドマイクロのIPSルールはWorkload Securityコンソールを通じて直接編集することはできません。ただし、一部のルールは設定可能であり、一部のルールは設定が必要です。設定オプションの設定 (トレンドマイクロルールのみ)を参照してください。
推奨設定の検索
推奨スキャンを使用して、ポリシーやコンピューターに割り当てるべきIPSルールを発見できます。推奨設定の検索を参照してください。
推奨設定の検索を実行するには、Workload Securityのライセンスが必要です。
動作モードを使用してルールをテストする
侵入防御は、[検出]または[防御]モードで動作します。
- 検出: IPSはルールを使用して一致するトラフィックを検出し、イベントを生成しますが、トラフィックをブロックしません。検出モードは、IPSルールが正当なトラフィックに干渉しないことをテストするのに役立ちます。
- 防御: IPSはルールを使用して一致するトラフィックを検出し、イベントを生成し、攻撃を防ぐためにトラフィックをブロックします。
新しいIPSルールを最初に適用する際は、検出モードを使用して通常のトラフィックを誤ってブロックしないこと (誤検知) を確認してください。誤検知が発生しないことを確認したら、予防モードを使用してルールを強制し、攻撃をブロックできます。検出モードで侵入防御を有効にするおよび予防モードに切り替えるを参照してください。
侵入防御を検出モードで使用するのと同様に、Workload Securityネットワークエンジンはテスト目的でタップモードで実行できます。タップモードでは、侵入防御がルールに一致するトラフィックを検出してイベントを生成しますが、トラフィックをブロックしません。また、タップモードはファイアウォールおよびWebレピュテーションモジュールに影響を与えます。侵入防御ルールを個別にテストするには、検出モードを使用できます。タップモードを侵入防御で使用する方法は、ファイアウォールルールのテストにタップモードを使用する方法と同じです。ファイアウォールルールを展開する前にテストするを参照してください。
ルールの動作モードをオーバーライドする
個別のルールに対して検出モードを選択すると、コンピュータまたはポリシーレベルで設定された防止モードの動作を選択的に上書きすることができます。これは、ポリシーまたはコンピュータに適用される新しい侵入防御ルールをテストするのに役立ちます。例えば、ポリシーが侵入防御を防止モードで動作するように設定されている場合、そのルールを検出モードに設定することで、個別のルールに対して防止モードの動作をバイパスすることができます。そのルールに対してのみ、侵入防御はトラフィックをログに記録し、ポリシーの動作モードを上書きしない他のルールを強制します。ルールの動作モードを上書きするを参照してください。
コンピュータまたはポリシーレベルでの防御モードは、矛盾するルール設定で上書きできますが、[検出]モードにはできません。コンピュータまたはポリシーレベルで[検出]モードを選択すると、ルール設定に関係なく検出モードの動作が適用されます。
トレンドマイクロが用意している一部のルールは、初期設定で検出モードを使用します。たとえば、メールクライアントルールでは、一般的に[検出]モードが使用されます。これは、予防モードでは、すべてのメールのダウンロードがブロックされるためです。一部のルールは、条件が多数回、または一定期間中に一定回数発生した場合にのみアラートをトリガします。これらのルールは、条件が再度発生した場合にのみ、不審な挙動を示すトラフィックに適用され、その条件が1回発生しただけでは異常とはみなされません。
 |
警告設定が必要なルールは、正規のトラフィックをブロックしたりネットワークサービスを中断することがないようにするには、設定が完了するまで検出モードのままにします。ルールを防御モードに切り替えるのは、設定とテストの完了後にします。
|
侵入防御イベント
デフォルトでは、Workload Securityはエージェントからのファイアウォールおよび侵入防御のイベントログをハートビートごとに収集します。Workload
Securityによって収集されたイベントログは、設定可能な期間保持されます。デフォルト設定は1週間です。必要に応じて、個々のルールに対してイベントログの設定を行うことができます。ルールのイベントログ設定を参照してください。
イベントタグ付けはイベントを整理するのに役立ちます。イベントに手動でタグを適用することも、自動的にタグを付けることもできます。また、自動タグ付け機能を使用して、複数のイベントをグループ化してラベル付けすることもできます。イベントタグ付けの詳細については、イベントを識別してグループ化するためのタグの適用を参照してください。
安全な接続のサポート
侵入防御モジュールは、セキュア接続上のパケット検査をサポートします。TLSトラフィックの検査を参照してください。
コンテキスト
コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。一般的には、コンテキストが使用されるポリシーを作成して、さまざまなファイアウォールルールと侵入防御ルールをコンピュータ(通常はモバイルラップトップ)に適用します。このルールは、そのコンピュータが社内にあるか離れているかによって異なります。
コンピュータの場所を特定するために、コンテキストはコンピュータのドメインコントローラへの接続の性質を調べます。詳細については、ポリシーのコンテキストを定義するを参照してください。
インタフェースのタグ付け
マシンに複数のネットワークインターフェースがある場合、特定のインターフェースにファイアウォールまたはIPSルールを割り当てる必要があるときにインターフェースタイプを使用できます。デフォルトでは、ファイアウォールおよびIPSルールはコンピュータのすべてのインターフェースに割り当てられます。例えば、特別なルールを無線ネットワークインターフェースのみに適用するには、インターフェースタイプを使用してこれを実現します。詳細については、複数のインターフェースに対するポリシーの設定を参照してください。