警告
警告
クラシック推奨スキャンを使用する場合、コアエンドポイントおよびワークロードルールの自動適用を有効にしないでください。
クラシック推奨スキャン中に、エージェントは次の項目をスキャンします:
  • インストール済みアプリケーション
  • Windowsレジストリ
  • ポートを開く
  • ディレクトリリスト
  • ファイルシステム
  • 実行中のプロセスとサービス
  • 環境変数
  • ユーザ

検索の制限

技術的および論理的な制限により、いくつかの種類のソフトウェアに対して不正確または欠落した推奨設定が発生する可能性があります。
  • クラシック推奨スキャンには以下が含まれません:
    • Webアプリケーションの保護ルール。
    • ほとんどのスマートルールは、重大な脅威や特定の脆弱性に対処しない限り。スマートルールは、1つ以上の (ゼロデイ) 脆弱性に対処します。Workload Securityのルールリストでは、[種類] 列が [スマート] であるスマートルールが識別されます。
    • Windowsシステムでは、OpenSSLはアプリケーションが内部で使用するルールを定めます。OpenSSLに対して推奨設定を行うには、明示的にインストールする必要があります。
  • Scannerは次の技術に対して不要なルールを推奨する場合があります:
    • Red Hat JBoss
    • Eclipse Jetty
    • Apache Struts
    • Oracle WebLogic
    • WebSphere
    • Oracle Application Testing Suite
    • Oracle Golden Gate
    • Nginx
    • Chrome用Adobe Flash Playerプラグイン - 推奨設定はChromeのバージョンに基づいています。
    • コンテンツ管理システム (CMS) およびすべてのCMSプラグイン - PHPを使用するウェブサーバーの場合、スキャンはCMSに関連するすべてのIPSルールを推奨します。
  • Linuxシステム上:
    • WebブラウザがJava関連の脆弱性に対する唯一の適用可能なベクターである場合、Scannerはそのようなルールを推奨しません。
  • UnixまたはLinuxシステムの場合:
    • 従来の推奨検索エンジンは、OSのデフォルトパッケージマネージャを介してインストールされていないソフトウェアを検出するのに問題があるかもしれません。標準のパッケージマネージャを使用してインストールされたアプリケーションにはこの問題はありません。
    • 推奨設定には、デスクトップアプリケーションの脆弱性やローカルの脆弱性に関するルールは含まれていません。例えば、ブラウザやメディアプレーヤーです。
関連情報

クラシック推奨設定の検索を実行する

推奨設定スキャンを定期的に実行してください (最適な頻度は毎週です)。環境の変更はルールの推奨設定に影響を与える可能性があるためです。理想的には、トレンドマイクロが毎週火曜日に新しいIPSルールをリリースした直後に推奨設定スキャンをスケジュールしてください。推奨設定スキャンの実行中は、中央処理装置 (CPU) サイクル、メモリ、ネットワークなどのシステムリソースの使用が増加するため、ピーク時以外にスキャンをスケジュールしてください。推奨設定スキャンを実行した後、推奨設定があるすべてのコンピュータにアラートが表示されます。
推奨スキャンを実行するには、Workload Securityライセンスが必要です。
次のいずれかの方法を使用して推奨スキャンを実行できます:

手順

  • 予約タスクを作成して、設定したスケジュールに従って推奨スキャンを実行します。予約タスクは、すべてのコンピュータ、個々のコンピュータ、定義されたコンピュータグループ、または特定のポリシーで保護されているすべてのコンピュータに割り当てることができます。
    注意
    注意
    スケジュールされたタスクと進行中のスキャンは、それぞれの設定でクラシック推奨スキャンを独立して実行できます。スケジュールされたタスクか進行中のスキャンのいずれかを使用してください。両方を使用しないでください。
  • 継続スキャンポリシーを構成することで、推奨設定を定期的に確認するためにコンピュータグループをスキャンできます。また、個々のコンピュータに対して継続スキャンを構成することもできます。このタイプのスキャンは、最後のスキャンが行われた時間を確認し、設定された間隔を待ってスキャンを実行します。これにより、推奨設定スキャンが環境内の異なる時間に実行されます。継続スキャンは、エージェントが短時間または断続的にオンラインになる環境で役立ちます。例えば、インスタンスが頻繁に構築および廃棄されるクラウド環境などです。
  • 単一の推奨設定スキャンを手動で実行して、1台以上のコンピュータをスキャンします。手動検索は、最近プラットフォームやアプリケーションに大きな変更を加えた場合に、新しい推奨設定を確認するために予約タスクを待たずに強制的にチェックするのに役立ちます。
  • Workload Securityコマンドラインインターフェイス (CLI) を使用して、クラシック推奨スキャンを開始します。コマンドラインユーティリティを参照してください。
  • Workload Securityアプリケーションプログラミングインターフェース (API) を使用してクラシック推奨スキャンを開始します。APIとSDK - 自動化のためのDevOpsツールを参照してください。
最新の推奨スキャンの結果は、侵入防御、変更監視、またはセキュリティログ監視保護モジュールの一般タブに表示されます。

推奨設定の検索をスケジュールする

ヒント
ヒント
大規模な展開の場合は、ポリシーを使用してクラシックな推奨スキャンを実行してください。

手順

  1. Workload Securityコンソールで、[管理][スケジュールされたタスク] の順に選択します。
  2. [新規][新規予約タスク]を選択して、新規予約タスクウィザードを表示します。
  3. [種類][推奨設定のためにコンピュータをスキャン]を選択します。
  4. スキャンの頻度を選択してから、[次へ]をクリックしてください。
  5. 選択に基づいてスキャン頻度を指定し、[次へ]をクリックしてください。
  6. スキャンするコンピュータを選択し、[次へ]をクリックしてください。
  7. 新しい予約タスクの名前を指定します。
  8. スキャンをすぐに実行するには、[完了時にタスクを実行]を選択します。
  9. [完了] をクリックします。
最新の推奨スキャンの結果は、侵入防御、変更監視、またはセキュリティログ監視保護モジュールの一般タブに表示されます。

継続的な推奨設定の検索を構成する

ヒント
ヒント
大規模な展開には、ポリシーを使用してクラシック推奨スキャンを実行します。

手順

  1. Workload Securityコンソールでエディタを開きます。
    • 個人用[コンピュータ]
    • [ポリシー]を使用しているすべてのコンピュータに対して。
  2. [Settings] をクリックします。
  3. [一般]タブの[推奨設定]の下にある[推奨スキャンを継続的に実行]を使用して、継続的なクラシック推奨スキャンを有効または無効にします。この設定は継承可能です。ポリシー、継承、およびオーバーライドを参照してください。
  4. [継続スキャン間隔]を使用してスキャンの頻度を指定します。この設定は継承可能です。ポリシー、継承、およびオーバーライドを参照してください。
最新の推奨スキャンの結果は、侵入防御、変更監視、またはセキュリティログ監視保護モジュールの一般タブに表示されます。

クラシック推奨設定の検索を手動で実行する

手順

  1. Workload Security コンソールで、[Computers]に移動します。
  2. 検索対象のコンピュータを選択します。
  3. [処理][推奨設定のスキャン] をクリックします。
最新の推奨スキャンの結果は、侵入防御、変更監視、またはセキュリティログ監視保護モジュールの一般タブに表示されます。

クラシック推奨設定の検索をキャンセルする

クラシック推奨設定の検索は開始前にキャンセルできます。

手順

  1. Workload Security コンソールで、[コンピュータ]に移動します。
  2. 検索をキャンセルするコンピュータを選択します。
  3. [処理][推奨スキャンのキャンセル] をクリックします。

クラシック推奨スキャンからルールまたはアプリケーションタイプを除外する

大規模な展開で強化推奨スキャンにアクセスできない場合、推奨設定を管理するためにポリシーを作成します。ポリシーは、各コンピュータで個別のルールを管理する必要がなく、単一のソースからルールを割り当てます。その結果、ポリシーは必要のないコンピュータにいくつかのルールを割り当てることがあります。
ポリシーで推奨スキャンを有効にする場合、WindowsコンピュータとLinuxコンピュータのスキャンには別々のポリシーを使用して、WindowsルールをLinuxコンピュータに割り当てたり、その逆を行ったりしないようにしてください。

手順

  1. Workload Securityコンソールでエディタを開きます:
    • 個人用[コンピュータ]
    • [ポリシー]を使用しているすべてのコンピュータに対して。
  2. 除外したいルールの種類を選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
  3. [一般]タブで、次のいずれかを選択します:
    • [ルールの割り当て/割り当て解除]
    • [アプリケーションタイプ]のアプリケーションタイプ
  4. 除外するルールまたはアプリケーションの種類をダブルクリックします。
  5. [オプション]タブをクリックします。
  6. 次のいずれかを実行します。
    • ルールについては、[推奨設定から除外][はい]または[継承 (はい)]に設定します (ポリシー、継承、およびオーバーライドを参照)。
    • アプリケーションタイプについては、[推奨設定から除外]を選択してください。

推奨設定を自動的に適用する

Workload Securityを構成して、次のルールを除いて推奨スキャンの結果を自動的に実装することができます。
  • 適用する前に設定が必要なルール。
  • 推奨設定の検索から除外されたルール。
  • ユーザが上書きした自動的に割り当てまたは割り当て解除されたルール。例えば、Workload Securityがルールを自動的に割り当て、その後にあなたがそれを割り当て解除した場合、次の推奨スキャンではそのルールは再割り当てされません。
  • ポリシー階層の上位のレベルで割り当てられたルールは、下位のレベルでは割り当てを解除できません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当てを解除する必要があります。
  • トレンドマイクロから発行されたものであるが、誤判定のリスクの可能性があるルール。これはルールの説明に記載されています。

手順

  1. Workload Securityコンソールでエディタを開きます。
    • 個人用[コンピュータ]
    • [ポリシー]を使用しているすべてのコンピュータに対して。
  2. 自動的に実装したいタイプを選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
    各保護モジュールごとに設定を独立して変更できます。
  3. [一般]タブの[推奨設定]の下で、次のいずれかを選択してください:

手動でルールを割り当てる

以下の例は、侵入防御の推奨スキャン結果を処理するポリシーの作成方法を示しています。

手順

  1. 推奨設定の検索が完了したら、検索したコンピュータに割り当てられているポリシーを開きます。
  2. [侵入防御][一般]に移動します。未解決の推奨設定は推奨設定セクションに表示されます。
  3. [割り当て/割り当て解除] をクリックしてルールの割り当て画面を開きます。
  4. 推奨される未割り当てのルールのリストを[アプリケーションタイプ別]に並べ替えます。
  5. [割り当ての推奨]を選択します。
    • 推奨ルールには長方形または完全なフラグrecommended_rule=742536c9-8d92-4aee-a011-b5f28bd21911.pngがあります。
    • 三角形または部分的なフラグpartially_recommended_rule=6a1638a0-9aff-4c62-af91-350a0a5548e2.pngは、アプリケーションタイプのルールの一部のみが推奨されていることを示します。
  6. ポリシーに単一のルールを割り当てるには、ルール名の横にあるボックスをオンにします。
    • warning=d06f9df2-e048-4662-b868-c7a35d66473c.pngのあるルールには、ルールを有効にする前に設定する必要がある設定があります。
      例えば、いくつかのセキュリティログ監視ルールではログファイルの場所が必要です。推奨が行われたコンピュータにアラートが表示されます。アラートのテキストには、ルールを設定するために必要な情報が含まれています。
    • dpi_rules_option=511d258c-f1ad-4da1-bd62-899ab5376ac0.pngのあるルールには設定できるオプションがあります。
  7. 複数のルールを一度に割り当てるには:
    1. 複数のルールを選択します。
      • 隣接するルールのグループを選択するには、Shiftキーを押し続けます。
      • 分離されたルールを選択するには、Controlキーを押し続けてください。
    2. 選択範囲を右クリックします。
  8. [ルールを割り当て]をクリックします。

一般的な脆弱性に関する追加ルール

推奨スキャンは、実装すべきルールのリストを確立するための良い出発点を提供しますが、一般的な脆弱性に対する追加のルールは、[防止](ブロック) モードで実装する前に慎重に構成およびテストする必要があるため、推奨スキャンでは特定されません。トレンドマイクロは、これらのルールを構成およびテストし、その後、ポリシーまたは個々のコンピュータで手動で有効にすることを推奨します。
以下の表には、設定が必要な最も一般的な追加ルールが含まれています。 Workload Securityで他のルールを見つけるには、タイプが[スマート]または[ポリシー]であるルールを検索します。
ルール名
アプリケーションの種類
1007598 - Identified Possible Ransomware File Rename Activity Over Network Share
DCERPCサービス
1007596 - Identified Possible Ransomware File Extension Rename Activity Over Network Share
DCERPCサービス
1006906 - Identified Usage Of PsExec Command Line Tool
DCERPCサービス
1007064 - Executable File Uploaded On System32 Folder Through SMB Share
DCERPCサービス
1003222 - Block Administrative Share
DCERPCサービス
1001126 - DNS Domain Blocker
DNSクライアント
1000608 - 一般的なSQLインジェクション防止
詳細については、SQLインジェクション防止ルールの設定を参照してください。
Webアプリケーション共通
1005613 - Generic SQL Injection Prevention - 2
Webアプリケーション共通
1000552 - Generic Cross Site Scripting (XSS) Prevention
Webアプリケーション共通
1006022 - Identified Suspicious Image With Embedded PHP Code
Webアプリケーション共通
1005402 - Identified Suspicious User Agent In HTTP Request
Webアプリケーション共通
1005934 - Identified Suspicious Command Injection Attack
Webアプリケーション共通
1006823 - Identified Suspicious Command Injection Attack - 1
Webアプリケーション共通
1005933 - Identified Directory Traversal Sequence In Uri Query Parameter
Webアプリケーション共通
1006067 - Identified Too Many HTTP Requests With Specific HTTP Method
Webサーバ共通
1005434 - Disallow Upload Of A PHP File
Webサーバ共通
1003025 - Web Server Restrict Executable File Uploads
Webサーバ共通
1007212 - Disallow Upload Of An Archive File
Webサーバ共通
1007213 - Disallow Upload Of A Class File
Webサーバ共通

クラシック推奨スキャンのトラブルシューティング

次のヒントは、クラシック推奨スキャンのトラブルシューティングに役立ちます。