ビュー:
侵入防御ルールを設定して操作するには、以下のセクションのタスクを実行します。
侵入防御モジュールの概要については、を参照してください。侵入防御を使用してエクスプロイトの試みをブロックする

侵入防御ルールリスト 親トピック

[ポリシー] 画面には、侵入防御ルールのリストが表示されます。侵入防御ルールを検索したり、ルールのプロパティを開いて編集したりできます。このリストでは、ルールがアプリケーションの種類別にグループ化され、一部のルールのプロパティが異なる列に表示されます。
ヒント
ヒント
[TippingPoint] 列には、対応するトレンドマイクロ TippingPointルールIDが表示されます。侵入防御の詳細検索では、TippingPointルールIDで検索できます。ポリシーエディタとコンピュータエディタの割り当て済み侵入防御ルールのリストにも、TippingPointルールIDが表示されます。
リストを表示するには、 [Policies]をクリックし、 [共通オブジェクト/ルール] の下にある [IPSルール]をクリックします。

侵入防御ライセンスの種類 親トピック

[ルールの可用性] 列には、ルールで使用可能なライセンスの種類に関する情報が表示されます。 [エンドポイントとワークロード] は、このルールを「エンドポイント」ライセンスと「ワークロード」ライセンスの両方で割り当てることができることを示します。 [Workload] ルールの可用性は、ライセンスの種類が「ワークロード」の場合にのみルールを割り当てることができることを意味します。
ライセンスの種類は、割り当てられたすべてのルールに [エンドポイントとワークロード] ルールの可用性がある場合は [エンドポイント] になり、割り当てられたルールの少なくとも1つにワークロードルールの可用性がある場合は [Workload] になります。

侵入防御ルールに関する情報を表示する 親トピック

侵入防御ルールのプロパティには、ルールおよび防御対象の攻撃コードに関する情報が含まれます。

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。

一般情報 親トピック

  • [名前]: 侵入防御ルールの名前。
  • [説明]: 侵入防御ルールの説明。
  • [最小Agent/Applianceバージョン]: この侵入防御ルールをサポートするために必要なエージェントの最小バージョン。

詳細 親トピック

[新規] (new.png ) または [プロパティ] (details.png ) [IPSルールのプロパティ] ウィンドウが表示されます。
注意
注意
トレンドマイクロの侵入防御ルールは、 Server & Workload Protectionでは直接編集できません。代わりに、侵入防御ルールの設定が必要な (または許可されている) 場合、それらの設定オプションは [構成] タブで使用できます。自分で作成したカスタム侵入防御ルールは編集可能になります。この場合、 [ルール] タブが表示されます。
  • [アプリケーションの種類]: この侵入防御ルールがグループ化されるアプリケーションの種類。
    ヒント
    ヒント
    このパネルからアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティ要素に変更が適用されます。
  • [優先度]: ルールの優先度レベル。優先度の高いルールは、優先度の低いルールよりも先に適用されます。
  • [重大度]: ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。侵入防御ルールのリストを表示するときは、重要度を並べ替える条件として使用できます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 (「[管理] [システム設定] [順位] .)
  • [CVSSスコア]: 脆弱性の重大度の指標。 National Vulnerability Database

ID (トレンドマイクロのルールのみ) 親トピック

  • [種類]: スマート (1つ以上の既知および未知の (ゼロデイ) 脆弱性)、エクスプロイト (特定のエクスプロイト、通常はシグネチャベース)、またはVulnerability (1つ以上のエクスプロイトが存在する可能性のある特定の脆弱性) のいずれかです。
  • [発行元]: ルールがリリースされた日付。これは、ルールがいつダウンロードされたかを示すものではありません。
  • [最終更新]: ローカルまたはセキュリティアップデートのダウンロード中にルールが最後に変更された時刻。
  • [識別子]: ルールの一意の識別タグ。

関連付けられている脆弱性に関する情報を表示する (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報を含めることができます。該当する場合、Common Vulnerability Scoring System (CVSS) が表示されます。 (このスコアリングシステムの詳細については、 National Vulnerability Database .)

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [脆弱性] タブをクリックします。

ルールを割り当てる/ルールの割り当てを解除する 親トピック

エージェントの検索時に侵入防御ルールを適用するには、適切なポリシーとコンピュータにルールを割り当てます。脆弱性にパッチが適用されてルールが不要になった場合は、ルールの割り当てを解除できます。
コンピュータエディタで侵入防御ルールの割り当てを解除できない場合は、ルールが現在ポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは、ポリシーエディタを使用して削除する必要があり、コンピュータレベルでは削除できません。
ポリシーを変更すると、そのポリシーを使用しているすべてのコンピュータに影響します。たとえば、ポリシーからルールの割り当てを解除すると、そのポリシーで保護されているすべてのコンピュータからルールが削除されます。引き続き他のコンピュータにルールを適用するには、そのコンピュータのグループに対して新しいポリシーを作成します。 (「ポリシー、継承、およびオーバーライド.)
ヒント
ヒント
ルールが割り当てられたポリシーとコンピュータを確認するには、ルールプロパティの [割り当て対象] タブをご覧ください。

手順

  1. [Policies] 画面に移動し、設定するポリシーを右クリックして [詳細]をクリックします。
  2. クリック[侵入防御] [一般] 。ポリシーに割り当てられているルールのリストが [現在割り当てられている侵入防御ルール] リストに表示されます。
  3. [現在割り当てられている侵入防御ルール]で、 [割り当て/割り当て解除]をクリックします。
  4. ルールを割り当てるには、ルールの横にあるチェックボックスをオンにします。
    さらに、コアエンドポイントルールとワークロードルールと呼ばれる、既知の脆弱性問題に対する保護を確実にする侵入防御ルールのサブセットがあります。次のルールはすべてのライセンスタイプで使用でき、簡単に割り当てたり割り当て解除したりできます。
    ルールを割り当てるには、 [ルールの選択]を選択し、ツールバーの [すべてのコアエンドポイントとワークロードルールを選択] ボタンをクリックします。
  5. ルールの割り当てを解除するには、ルールの横にあるチェックボックスをオフにします。
    さらに、コアエンドポイントルールとワークロードルールと呼ばれる、既知の脆弱性問題に対する保護を確実にする侵入防御ルールのサブセットがあります。次のルールはすべてのライセンスタイプで使用でき、簡単に割り当てたり割り当て解除したりできます。
    ルールの割り当てを解除するには、 [ルールの選択]を選択し、ツールバーの [すべてのコアエンドポイントおよびワークロードルールの選択を解除します] ボタンをクリックします。
  6. [OK]をクリックします。

エンドポイントとワークロードのコアルールを自動的に割り当てる 親トピック

Server & Workload Protection は、すべてのコアエンドポイントルールとワークロードルールをこのポリシーに割り当てます。ルールアップデート発生します。手動で割り当てを解除したコアエンドポイントとワークロードルールは、ルールアップデート

手順

  1. [Policies] 画面で、設定するポリシーを右クリックし、 [詳細]をクリックします。
  2. クリック[侵入防御] [一般] 。ポリシーに割り当てられているルールのリストが、[割り当てられた侵入防御ルール] リストに表示されます。
  3. [エンドポイントとワークロードのコアルールを自動的に実装] を「はい」に切り替えます。
  4. [保存]をクリックします。

次に進む前に

注意
注意
[エンドポイントライセンス]を使用してこの機能をオンにし、この機能をオフにしてから使用することをお勧めします。推奨設定の検索 [ワークロードライセンス]と。

アップデートされた必須ルールを自動割り当てする 親トピック

セキュリティアップデートには、新規またはアップデートされたアプリケーションの種類と、セカンダリ侵入防御ルールの割り当てを必要とする侵入防御ルールが含まれる場合があります。 Server & Workload Protection では、必要に応じてこれらのルールを自動的に割り当てることができます。これらの自動割り当ては、ポリシーまたはコンピュータのプロパティで有効にします。

手順

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細]をクリックします。
  2. クリック[侵入防御] [詳細]
  3. 自動割り当てを有効にするには、 [ルールアップデート] 領域で [はい]を選択します。
  4. [OK]をクリックします。

ルールにイベントログを設定する 親トピック

ルールのイベントをログに記録するかどうか、ログにパケットデータを含めるかどうかを設定します。
注意
注意
Server & Workload Protection では、侵入防御イベントのX-Forwarded-Forヘッダがパケットデータで利用可能な場合に、それらを表示できます。この情報は、エージェントがロードバランサまたはプロキシの背後にある場合に役立ちます。 X-Forwarded-Forヘッダデータがイベントの[プロパティ]ウィンドウに表示されます。ヘッダデータを含めるには、ログにパケットデータを含めます。さらに、ルール1006540「X-Forwarded-For HTTPヘッダログを有効にする」を割り当てる必要があります。
ルールがイベントをトリガーするたびにすべてのパケット データを記録するのは現実的ではないため、Server & Workload Protection指定された期間内に初めてイベントが発生したときのみデータを記録します。デフォルト時間は 5 分ですが、ポリシーのアドバンスト ネットワーク エンジン設定の [期間内に 1 つのパケットのみをログに記録する期間] プロパティを使用して期間を変更できます。 (見る高度なネットワーク エンジン オプション。)
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [一般] タブで、 [イベント] 領域に移動し、必要なオプションを選択します。
    • ルールのログを無効にするには、 [イベントログの無効化]を選択します。
    • パケットがドロップまたはブロックされたときにイベントをログに記録するには、 [パケットドロップ時にイベントを生成]を選択します。
    • パケットデータをログエントリに含めるには、 [常にパケットデータを含める]を選択します。
    • ルールによって検出されたパケットの前後にある複数のパケットをログに記録するには、 [デバッグモードを有効にする]を選択します。デバッグモードは、サポートプロバイダから指示された場合にのみ使用します。
  4. また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。
    1. [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
    2. クリック[侵入防御] [詳細]
    3. [イベントデータ] 領域で、 [はい]を選択します。

アラートを生成する 親トピック

侵入防御ルールがイベントをトリガした場合にアラートを生成します。
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [オプション] タブをクリックし、 [アラート] 領域で [オン]を選択します。
  4. [OK]をクリックします。

設定オプションを設定する (トレンドマイクロのルールのみ) 親トピック

トレンドマイクロが提供する一部の侵入防御ルールには、ヘッダの長さ、HTTPで許可される拡張子、Cookieの長さなど、1つ以上の設定オプションがあります。一部のオプションでは、設定が必要です。必須オプションを設定せずにルールを割り当てると、必須オプションについて通知するアラートが生成されます。 (これは、セキュリティアップデートによってダウンロードされ、自動的に適用されるルールにも適用されます)。
設定オプションのある侵入防御ルールは、アイコンの上に小さな歯車が表示された状態で侵入防御ルールリストに表示されます。
dpi-rules-option.png
.
注意
注意
自分で作成したカスタム侵入防御ルールには、ルールを編集できる [ルール] タブが含まれます。
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [構成] タブをクリックします。
  4. プロパティを設定し、 [OK]をクリックします。

有効な時間を予約する 親トピック

侵入防御ルールを有効にする時間をスケジュールします。予約された時間にのみ有効な侵入防御ルールは、[侵入防御ルール] 画面に表示され、アイコンの上に小さな時計が表示されます。
dpi-rules-schedule.png
.
注意
注意
エージェントベースの保護では、エンドポイントのオペレーティングシステムと同じタイムゾーンがスケジュールに使用されます。次の手順で実行する設定は、すべてのポリシーに影響します。
1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [オプション] タブをクリックします。
  4. [予約] 領域で、 [新規] を選択するか、周波数を選択します。
  5. 必要に応じてスケジュールを編集します。
  6. [OK] をクリックします。

推奨設定から除外する 親トピック

推奨設定検索のルール推奨設定から侵入防御ルールを除外します。
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [オプション] タブをクリックします。
  4. [推奨設定オプション] 領域で、 [推奨設定から除外]を選択します。
  5. [OK]をクリックします。

ルールのコンテキストを設定する 親トピック

ルールが適用されるコンテキストを設定します。
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [IPSルール]
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [オプション] タブをクリックします。
  4. [コンテキスト] 領域で、 [新規] を選択するか、コンテキストを選択します。
  5. 必要に応じてコンテキストを編集します。
  6. [OK]をクリックします。

ルールの動作モードをオーバーライドする 親トピック

新しいルールのテスト時に、侵入防御ルールの動作モードを [検出] に設定します。検出モードでは、ルールによって「検出のみ:」という単語が先頭に付いたログエントリが作成され、トラフィックが妨げられることはありません。一部の侵入防御ルールは、検出モードでのみ動作するように設計されています。これらのルールでは、動作モードを変更できません。
注意
注意
ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。
動作モードの詳細については、を参照してください。 動作モードを使用してルールをテストする
次の手順で実行する設定は、すべてのポリシーに影響します。 1つのポリシーにルールを設定する方法については、を参照してください。オーバーライドルールとアプリケーションの種類の設定

手順

  1. クリック[Policies] [侵入防御]ルール。
  2. ルールを選択し、 [プロパティ]をクリックします。
  3. [検出のみ]を選択します。

ルールおよびアプリケーションの種類の設定をオーバーライドする 親トピック

コンピュータエディタまたはポリシーエディタから侵入防御ルールを編集して、ポリシーまたはコンピュータのコンテキストにのみ変更を適用できます。また、ルールを編集して、ルールが割り当てられている他のポリシーやコンピュータに変更が反映されるように変更をグローバルに適用することもできます。同様に、アプリケーションの種類を単一のポリシーまたはコンピュータに対して設定することも、グローバルに設定することもできます。

手順

  1. [Policies] 画面に移動し、設定するポリシーを右クリックして [詳細]をクリックします。
  2. [侵入防御]をクリックします。
  3. ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • [プロパティ]: ポリシーのルールのみを編集します。
    • [プロパティ (グローバル)]: すべてのポリシーとコンピュータに対してルールをグローバルに編集します。
  4. ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • [アプリケーションの種類プロパティ]: ポリシーのアプリケーションの種類のみを編集します。
    • [アプリケーションの種類のプロパティ (グローバル)]: すべてのポリシーとコンピュータについて、アプリケーションの種類をグローバルに編集します。
  5. [OK]をクリックします。

次に進む前に

ヒント
ヒント
ルールを選択して [プロパティ] をクリックした場合は、編集中のポリシーのみでルールを編集します。
注意
注意
1つのポートを8つ以上のアプリケーションタイプに割り当てることはできません。有効な場合、ルールはそのポートでは機能しません。

ルールをエクスポート/インポートする 親トピック

1つ以上の侵入防御ルールをXMLまたはCSVファイルにエクスポートしたり、XMLファイルからルールをインポートできます。

手順

  1. クリック[Policies] [IPSルール]
  2. 1つ以上のルールをエクスポートするには、ルールを選択して[エクスポート] [選択したアイテムをCSV形式でエクスポート]または[エクスポート] [選択項目をXMLにエクスポート]
  3. すべてのルールをエクスポートするには、[エクスポート] [CSVにエクスポート]または[エクスポート] [XML形式で出力]
  4. ルールをインポートするには、[新規] [ファイルからインポート]をクリックし、ウィザードの指示に従います。