侵入防御を有効にし、検出モードを使用してネットワークトラフィックのエクスプロイトをモニタします。IPSルールの割り当てに満足したら、予防モードに切り替えます。
侵入防御システム (IPS) の構成は、中央処理装置 (CPU) やランダムアクセスメモリ (RAM) などのシステムリソースに影響を与えます。エージェント上のIPSのパフォーマンスを最適化するには、侵入防御のパフォーマンスのヒントを参照してください。
侵入防御の概要については、侵入防御を使用して脆弱性悪用の試行をブロックするを参照してください。
検出モードで 侵入防御 を有効にする 
侵入防御を有効にし、監視のために検出モードを使用します。対象のコンピュータに影響を与える適切なポリシーを使用して侵入防御を構成します。個々のコンピュータを構成することもできます。
詳細な制御を行うためにIPSルールを割り当てる際、グローバル動作モードを上書きし、特定のルールを防止または検出するように設定できます。ルールの動作モードを上書きするを参照してください。
手順
- に移動します。
- [設定]について、次のいずれかを選択してください。
- [オン]
- [継承 (オン)] (ポリシー、継承、およびオーバーライドを参照してください。)
- [侵入防御の動作]に対して[検出]を選択します。コンテナに対して侵入防御を有効にする方法については、侵入防御設定の適用を参照してください。動作設定が利用できない場合、[ネットワークエンジンモード]は[タップ]に設定されている可能性があります。ファイアウォールルールを展開する前にテストするを参照してください。
- [保存] をクリックします。
コアエンドポイントとワークロードルールの自動適用を有効にする
侵入防御のテスト
侵入防御が正常に動作していることを確認してから、次の操作を続行してください。
手順
- エージェントベースの展開を行っている場合、エージェントが実行されているコンピュータがあることを確認してください。
- Webレピュテーションをオフにして、侵入防御への干渉を防ぎます。
- Workload Security コンソールで、[コンピュータ]をクリックします。
- 侵入防御をテストする予定のコンピュータをダブルクリックしてください。
- [Webレピュテーション]をクリックします。
- [オフ]を選択
- 悪質なトラフィックをブロックする:
- [侵入防御]をクリックしてコンピュータを保護します。
- 一般タブで、[防御]を選択します。[防止]が利用できない場合、[設定]を[継承 (オン)]に設定してください。
- ヨーロッパコンピュータウイルス対策研究所 (EICAR) テストポリシーを割り当てる:
- [侵入防御]をクリックしてコンピュータを保護します。
- [割り当て/割り当て解除] をクリックします。
1005924を検索してください。- [1005924 - HTTP経由でのEICARテストファイルのダウンロード制限]を選択します。
- [OK] をクリックします。
- EICARファイルをダウンロードしてみてください。侵入防御がこのファイルのダウンロードを阻止するはずです。
- Windowsでは、http://files.trendmicro.com/products/eicar-file/eicar.comに移動します。
- Linuxでは、このコマンドを入力してください:
curl -O http://files.trendmicro.com/products/eicar-file/eicar.com
- コンピュータの侵入防御イベントを確認してください:
- コンピュータのためにを選択します。
- [イベントを取得]をクリックして、最後のハートビート以降に発生したイベントを確認します。
- [1005924 - HTTP経由でのEICARテストファイルのダウンロード制限]を[理由]として持つイベントを探してください。このイベントの存在は、IPSが機能していることを示しています。
- 変更を元に戻してシステムを以前の状態に戻します:
- Webレピュテーションをオンにする。
- [ 防御]または[検出]オプションをリセットしてください。
- EICARポリシーをコンピュータから削除
推奨ルールを適用する
パフォーマンスを最大化するために、ポリシーとコンピュータが必要とするIPSルールのみを割り当ててください。推奨設定スキャンを使用して、適切なルールのリストを取得します。推奨設定スキャンは特定のコンピュータに対して実行されますが、コンピュータが使用するポリシーに推奨設定を割り当てることができます。また、Workload Securityを構成して、推奨設定を自動的に実装するスキャン結果を設定することもできます。
- コンピュータのプロパティを開く。
- 手動で強化された推奨スキャンまたは従来の推奨スキャンを実行します。
- ルールを割り当てたいポリシーを開き、ルールの割り当てを完了します。
IPSルールを適用した後、システムパフォーマンスとIPSイベントログをモニタします。システムパフォーマンスが許容範囲内であることを確認するために、CPU、RAM、およびネットワーク使用量をモニタします。そうでない場合は、パフォーマンスを向上させるためにいくつかの設定や展開の側面を変更することができます。(IPSのパフォーマンス向上のヒントを参照してください)。
侵入防御 イベントを確認する
IPSイベントをモニタして、ルールが正当なネットワークトラフィックに一致していないことを確認してください。ルールが誤検知を引き起こしている場合は、ルールの割り当てを解除することができます
(ルールの割り当てと解除を参照)。
侵入防御イベントを表示するには、をクリックします。
パケット障害またはシステム障害に対するフェールオープンを有効にする
IPSには、IPSルールが適用される前にパケットをブロックする可能性のあるネットワークエンジンが含まれています。これにより、パフォーマンスの問題が発生する可能性があります。システムまたは内部パケットの障害が発生した場合にパケットを許可するようにこの動作を変更できます。詳細については、フェイルオープン動作の有効化を参照してください。
予防モードに切り替える
侵入防御が誤検知をしていないことを確認したら、ポリシーを構成して、侵入防御を防止モードで使用し、ルールを強制し、関連するイベントを記録します。
手順
- に移動します。
- [侵入防御の動作]のために[ 防御]を選択してください。
- [保存] をクリックします。
特定のルールに対するベストプラクティスを実施する
HTTPプロトコルデコードルール
HTTPプロトコルデコードルールは、Webサーバ共通アプリケーションタイプで最も重要なルールです。このルールは、他のルールが検査する前にHTTPトラフィックをデコードします。また、このルールにより、デコードプロセスのさまざまなコンポーネントを制御することができます。
このルールは、Web Application CommonまたはWeb Server Commonルールを使用する際に必要です。Workload Securityは、他のルールによって必要とされる場合に自動的にこのルールを割り当てます。各ウェブアプリケーションは異なるため、このルールを使用するポリシーは、[Prevent]モードに切り替える前に、[Detect]モードで一定期間実行し、設定変更が必要かどうかを判断する必要があります。違法文字のリストに変更が必要なことがよくあります。このルールを調整する方法の詳細については、ナレッジベースを参照してください。
クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール
アプリケーション層への攻撃として最も代表的なものに、SQLインジェクションとクロスサイトスクリプティング (XSS) があります。クロスサイトスクリプティングルールとSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄のしきい値の調整が必要になることがあります。
この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。
詳細については、一般的なSQLインジェクション防止ルールの理解を参照してください。