ビュー:
侵入防御ルールを設定および使用するには、以下のセクションのタスクを実行します。
侵入防御モジュールの概要については、侵入防御を使用して脆弱性悪用の試行をブロックするを参照してください。

IPSルール一覧 親トピック

[ポリシー]ページには、IPSルールのリストが表示されます。IPSルールを検索したり、ルールのプロパティを開いて編集したりできます。リストでは、ルールはアプリケーションタイプごとにグループ化され、一部のルールプロパティは異なる列に表示されます。
[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが表示されます。侵入防御の詳細検索では、TippingPointルールIDで検索できます。ポリシーエディタとコンピュータエディタの割り当て済み侵入防御ルールのリストにも、TippingPointルールIDが表示されます。
リストを表示するには、[ポリシー]をクリックし、次に[共通オブジェクト/ルール]の下で[IPSルール]をクリックします。

侵入防御ライセンスの種類 親トピック

ルール可用性列は、ルールに利用可能なライセンスタイプに関する情報を提供します。[Endpoint & Workload]は、このルールがエンドポイントセキュリティとWorkload Securityの両方のライセンスで割り当て可能であることを示します。[Workload]ルール可用性は、ライセンスタイプがWorkloadの場合にのみルールを割り当て可能であることを意味します。
すべての割り当てられたルールが[Endpoint & Workload]ルールの可用性を持つ場合、ライセンスタイプは[エンドポイント]であり、少なくとも1つの割り当てられたルールがWorkloadルールの可用性を持つ場合、[Workload]です。

侵入防御ルールに関する情報の表示 親トピック

侵入防御ルールのプロパティには、ルールおよびルールが保護するエクスプロイトに関する情報が含まれます。この情報は、次の方法で表示できます。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。

一般情報 親トピック

  • 名前: IPSルールの名前。
  • 説明: IPSルールの説明。
  • 最小Agent/Applianceバージョン: このIPSルールをサポートするために必要なエージェントの最小バージョン。

詳細 親トピック

[新規] (new=3dd69943-a148-4400-888d-22eaa12feafa.png) または [プロパティ] (details=03aeb796-4b32-416d-950d-c3fd30699bdb.png) をクリックすると、[Intrusion Prevention Rule Properties] ウィンドウが表示されます。
トレンドマイクロのIPSルールは、Workload Securityを通じて直接編集することはできません。代わりに、IPSルールが設定を必要とする (または許可する) 場合、その設定オプションは[設定]タブで利用可能です。自分で作成したカスタムIPSルールは編集可能で、その場合[ルール]タブが表示されます。
  • アプリケーションの種類: このIPSルールがグループ化されているアプリケーションタイプ。
    このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
  • 優先度: ルールの優先度レベル。優先度の高いルールは、優先度の低いルールよりも先に適用されます。
  • 重大度: ルールの重大度を設定しても、ルールの実装や適用方法には影響しません。重大度レベルは、IPSルールのリストを表示する際のソート基準として役立ちます。さらに重要なのは、各重大度レベルが重大度値に関連付けられていることです。この値は、コンピュータのアセット値に掛け合わされてイベントのランキングを決定します。[管理][システム設定][Ranking]を参照してください。
  • CVSS Score: National Vulnerability Databaseに基づく脆弱性の深刻度の尺度。

ID (トレンドマイクロのルールのみ) 親トピック

  • 種類: スマート (既知および未知 (ゼロデイ) の脆弱性の1つ以上)、エクスプロイト (通常はシグネチャベースの特定のエクスプロイト)、または脆弱性 (1つ以上のエクスプロイトが存在する可能性のある特定の脆弱性) のいずれかです。
  • Issued: ルールがリリースされた日付です。これはルールがダウンロードされた日付を示すものではありません。
  • 最終更新: ルールがローカルで、またはセキュリティアップデートのダウンロード中に最後に変更された時刻。
  • 識別子: ルールの一意の識別タグ。

関連する脆弱性に関する情報の表示 (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報が含まれる場合があります。該当する場合、共通脆弱性評価システム (CVSS) が表示されます。この評価システムの詳細については、National Vulnerability DatabaseのCVSSページを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [脆弱性]タブをクリックします。

ルールを割り当てる/ルールの割り当てを解除する 親トピック

Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。
[コンピュータ]エディターからIPSルールの割り当てを解除できない場合、ルールがポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは[ポリシー]エディターを使用して削除する必要があり、コンピュータレベルでは削除できません。
ポリシーに変更を加えると、そのポリシーを使用しているすべてのコンピューターに影響します。例えば、ポリシーからルールの割り当てを解除すると、そのポリシーで保護されているすべてのコンピューターからそのルールが削除されます。他のコンピューターに引き続きルールを適用するには、そのコンピューターグループ用に新しいポリシーを作成してください。ポリシー、継承、およびオーバーライドを参照してください。
ルールが割り当てられているポリシーとコンピューターを確認するには、ルールプロパティの[割り当て対象]タブを参照してください。
  1. [ポリシー]ページに移動し、設定するポリシーを右クリックして[詳細]をクリックします。
  2. [侵入防御][一般]をクリックします。ポリシーに割り当てられているルールの一覧が[割り当て済みの侵入防御ルール]リストに表示されます。
  3. [割り当て済みの侵入防御ルール]の下で、[割り当て/割り当て解除]をクリックします。
  4. ルールを割り当てるには、ルールを選択します。
  5. ルールの割り当てを解除するには、選択を解除します。
  6. [OK] をクリックします。
さらに、既知の脆弱性問題から保護するためのIPSルールのサブセットであるコアエンドポイントおよびワークロードルールがあります。これらのルールはすべてのライセンスタイプで利用可能で、簡単に一括して割り当ておよび解除できます。
  1. [ポリシー]ページでポリシーを右クリックして設定し、[詳細]をクリックします。
  2. [侵入防御][一般]をクリックします。ポリシーに割り当てられたルールは[割り当て済みの侵入防御ルール]リストに表示されます。
  3. [割り当て済みの侵入防御ルール]の下で、[割り当て/割り当て解除]をクリックします。
  4. ルールを割り当てるには、[ルールの選択]を選択し、Trend ツールバーで[すべてのコアEndpoint & Workloadルールの選択解除]をクリックします。
  5. ルールの割り当てを解除するには、[ルールの選択]を選択し、Trend ツールバーで[すべてのコアEndpoint & Workloadルールの選択解除]をクリックします。
  6. [OK] をクリックします。

自動的にコアEndpoint & Workloadルールを割り当てる 親トピック

Workload Securityは、ルールの更新が発生するたびに、すべてのコアエンドポイントおよびWorkloadルールをこのポリシーに割り当てます。手動で割り当て解除されたコアエンドポイントおよびWorkloadルールは、ルールの更新後も割り当て解除されたままです。
エンドポイントセキュリティライセンスをお持ちの場合は、この機能を有効にしてください。Workload Securityライセンスの場合は、この機能を無効にし、代わりに推奨設定の検索を使用してください。
  1. [ポリシー]ページでポリシーを右クリックして設定し、[詳細]をクリックします。
  2. [侵入防御][一般]をクリックします。ポリシーに割り当てられたルールは[割り当て済みの侵入防御ルール]リストに表示されます。
  3. [コアEndpoint & Workloadルールを自動的に実装][はい]に切り替えます。
  4. [保存] をクリックします。

アップデートされた必須ルールを自動割り当てする 親トピック

セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な新規またはアップデートされたアプリケーションの種類および侵入防御ルールが含まれている場合があります。Workload Security では、必要に応じてこれらのルールを自動的に割り当てることができます。ポリシーまたはコンピュータプロパティで、次のように自動割り当てを有効化できます。
  1. ポリシーページに移動し、設定するポリシーを右クリックして[詳細]をクリックします。
  2. [侵入防御][詳細]をクリックします。
  3. 自動割り当てを有効にするには、[ルールアップデート]領域で[はい]を選択します。
  4. [OK] をクリックします。

ルールにイベントログを設定する 親トピック

ルールのイベントをログに記録するかどうか、およびパケットデータをログに含めるかどうかを設定します。
Workload Securityでは、侵入防御イベントにX-Forwarded-Forヘッダが表示される場合があります。この情報は、エージェントがロードバランサまたはプロキシの背後にある場合に役立ちます。 X-Forwarded-Forヘッダデータがイベントの [プロパティ] ウィンドウに表示されます。ヘッダデータを含めるには、ログにパケットデータを含めます。さらに、ルール1006540 X-Forwarded-For HTTPヘッダログの有効化を割り当てる必要があります。
ルールがイベントをトリガーするたびにすべてのパケットデータを記録するのは非現実的であるため、Workload Securityは指定された期間内にイベントが初めて発生したときにのみデータを記録します。デフォルトの時間は5分ですが、ポリシーの高度なネットワークエンジンの設定の期間内に1つのパケットのみをログに記録する期間プロパティを使用して期間を変更できます。高度なネットワークエンジンオプションを参照してください。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [一般]タブで[イベント]エリアに移動し、希望のオプションを選択します。
    • ルールのログ記録を無効にするには、[イベントログの無効化]を選択します。
    • パケットがドロップまたはブロックされたときにイベントを記録するには、[パケット破棄時にイベントを生成]を選択してください。
    • ログエントリにパケットデータを含めるには、[常にパケットデータを含める]を選択してください。
    • ルールが検出したパケットの前後にある複数のパケットを記録するには、[デバッグモードを有効にする]を選択します。デバッグモードは、サポートプロバイダから指示があった場合のみ使用してください。
また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。
  1. [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
  2. [侵入防御][詳細]をクリックします。
  3. [Event Data]領域で[はい]を選択してください。

アラートを生成する 親トピック

侵入防御ルールがイベントをトリガした場合にアラートを生成します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [オプション]タブをクリックし、[警告]エリアで[オン]を選択します。
  4. [OK] をクリックします。

設定オプションを設定する (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供する一部の侵入防御ルールには、ヘッダの長さ、HTTPで許可される拡張子、Cookieの長さなど、1つ以上の設定オプションがあります。一部のオプションでは、設定が必要です。必須オプションを設定せずにルールを割り当てると、必須オプションについて通知するアラートが生成されます。これは、セキュリティアップデートによってダウンロードされ、自動的に適用されるルールにも適用されます。
構成オプションがあるIPSルールは、アイコンの上に小さなギアが表示されている[IPSルール]リストに表示されますdpi_rules_option=511d258c-f1ad-4da1-bd62-899ab5376ac0.png
自分で作成したカスタムIPSルールには、ルールを編集できる[ルール]タブが含まれています。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [設定]タブをクリックしてください。
  4. プロパティを設定してから[OK]をクリックしてください。

有効な時間を予約する 親トピック

侵入防止ルールがアクティブになる時間をスケジュールします。スケジュールされた時間にのみアクティブな侵入防止ルールは、アイコンに小さな時計が表示されている[IPSルール]ページに表示されますdpi_rules_schedule=b1983b57-9421-45ca-8c6b-3bbc680bcf90.png
エージェントベースの保護では、スケジュールはエンドポイントのOSと同じタイムゾーンを使用します。次の手順で設定を実行すると、すべてのポリシーが影響を受けます。
1 つのポリシーに対してルールを構成する方法については、ルールの上書きとアプリケーションタイプの構成を参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [オプション]タブをクリックしてください。
  4. [スケジュール]領域で、[新規]を選択するか、頻度を選択してください。
  5. 必要に応じてスケジュールを編集します。
  6. [OK]をクリックします。

推奨設定から除外する 親トピック

推奨設定検索のルール推奨設定から侵入防御ルールを除外します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [オプション]タブをクリックしてください。
  4. [推奨オプション]領域で[推奨設定から除外]を選択します。
  5. [OK] をクリックします。

ルールのコンテキストを設定する 親トピック

ルールが適用されるコンテキストを設定します。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][IPSルール]をクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [オプション]タブをクリックしてください。
  4. [コンテキスト]エリアで、[新規]を選択するか、コンテキストを選択してください。
  5. 必要に応じてコンテキストを編集します。
  6. [OK] をクリックします。

ルールの動作モードをオーバーライドする 親トピック

新しいルールをテストする際には、侵入防御ルールの動作モードを検出に設定してください。検出モードでは、ルールは「検出のみ:」という言葉で始まるログエントリを作成し、トラフィックに干渉しません。一部のIPSルールは検出モードでのみ動作するように設計されています。これらのルールでは、動作モードを変更することはできません。
ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。
動作モードの詳細については、動作モードを使用してルールをテストするを参照してください。
次の手順で行われる構成は、すべてのポリシーに影響します。1つのポリシーに対してルールを構成する方法については、ルールとアプリケーションタイプの構成の上書きを参照してください。
  1. [ポリシー][侵入防御]ルールをクリックします。
  2. ルールを選択して[プロパティ]をクリックしてください。
  3. [検出のみ]を選択します。

ルールおよびアプリケーションの種類の設定をオーバーライドする 親トピック

[コンピュータ]または[ポリシー]エディターから、IPSルールを編集して、変更がポリシーまたはコンピュータのコンテキストでのみ適用されるようにすることができます。また、変更が他のポリシーやそのルールが割り当てられているコンピュータに影響を与えるように、ルールをグローバルに編集することもできます。同様に、単一のポリシーまたはコンピュータ、またはグローバルにアプリケーションタイプを設定することができます。
  1. [ポリシー]ページに移動し、設定するポリシーを右クリックして[詳細]をクリックします。
  2. [侵入防御]をクリックします。
  3. ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • プロパティ: ポリシーのルールのみを編集します。
    • Properties (Global): すべてのポリシーとコンピューターに対してルールをグローバルに編集します。
  4. ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • アプリケーションの種類プロパティ: ポリシーに対してのみアプリケーションタイプを編集します。
    • アプリケーションの種類プロパティ (グローバル): すべてのポリシーとコンピューターに対して、アプリケーションタイプをグローバルに編集します。
  5. [OK] をクリックします。
ルールを選択して[プロパティ]をクリックすると、編集中のポリシーに対してのみルールを編集しています。
1つのポートを8つ以上のアプリケーションタイプに割り当てることはできません。使用した場合、ルールはそのポートでは機能しません。

ルールをエクスポート/インポートする 親トピック

エクスポート/インポート機能は、異なるマネージャー間でカスタムルールを転送することを目的としています。IPSルールをXMLまたはCSVファイルにエクスポートし、[割り当て/割り当て解除]ボタンを使用してXMLファイルからルールをインポートします。特定のルールやルールセットを選択してエクスポートすることはできず、表示されているすべてのルールをエクスポートすることしかできません。
  1. [ポリシー][IPSルール]に移動します。
  2. [エクスポート][XMLにエクスポート (インポート用)]をクリックします。
  3. [割り当て/割り当て解除]をクリックしてください。
  4. ファイルをインポートする先のマネージャに移動してください。
  5. [ポリシー][IPSルール]に移動します。
  6. [割り当て/割り当て解除]をクリックしてください。
  7. [新規][ファイルからインポート]をクリックし、ウィザードの指示に従ってください。