ビュー:
Server & Workload Protection は、コンピュータ上で推奨スキャンを実行して、適用または削除すべきIPS、変更監視、およびログインスペクションルールを特定するのに役立ちます。推奨スキャンは、実装すべきルールのリストを作成するための良い出発点を提供しますが、いくつかの重要なルールは手動で実装する必要があります。一般的な脆弱性に対する追加ルールの実装を参照してください。
注意
注意
推奨スキャンを使用する場合、Auto apply core Endpoint & Workload rulesを有効にしないでください。
個々のコンピュータまたはポリシーレベルで推奨スキャンを構成および実装できます。大規模な展開の場合、トレンドマイクロは推奨事項を管理するためのポリシーの作成を推奨します。ポリシーは、各コンピュータで個別のルールを管理する必要があるのではなく、単一のソースからルールの割り当てを行います。その結果、ポリシーは必要のないコンピュータにいくつかのルールを割り当てる場合があります。
ポリシーで推奨設定の検索を有効にする場合は、WindowsルールがLinuxコンピュータに割り当てられないように、またはその逆が行われないように、WindowsコンピュータとLinuxコンピュータの検出用に別のポリシーを使用してください。

検索内容

推奨スキャン中に、エージェントは次の項目をスキャンします:
  • インストール済みアプリケーション
  • Windowsレジストリ
  • オープンポート
  • ディレクトリリスト
  • ファイルシステム
  • 実行中のプロセスとサービス
  • 環境変数
  • ユーザ

検索の制限

技術的および論理的な制限により、いくつかの種類のソフトウェアに対して不正確または欠落した推奨が発生する可能性があります。
  • 推奨スキャンには以下が含まれません:
    • Webアプリケーション保護ルール。
    • ほとんどのスマートルールは、重大な脅威や特定の脆弱性に対処しない限り適用されません。スマートルールは、1つ以上の(ゼロデイ)脆弱性に対処します。Server & Workload Protection のルールリストは、[種類] 列の [Smart] でスマートルールを識別します。
    • Windowsシステムでは、アプリケーションが内部で使用するOpenSSLルールが適用されます。スキャナーは、OpenSSLを明示的にインストールした場合にのみ、OpenSSLに関する推奨事項を提供できます。
  • 以下の技術に対してスキャナーが不要なルールを推奨する場合があります:
    • Red Hat JBoss
    • Eclipse Jetty
    • Apache Struts
    • Oracle WebLogic
    • WebSphere
    • Oracle Application Testing Suite
    • Oracle Golden Gate
    • Nginx
    • Chrome 用 Adobe Flash Player プラグイン - 推奨事項は Chrome のバージョンに基づいています。
    • コンテンツ管理システム(CMS)およびすべてのCMSプラグイン - PHPを使用するWebサーバーの場合、スキャンはCMSに関連するすべてのIPSルールを推奨します。
  • Linuxシステムでは:
    • Webブラウザのみが該当ベクタである場合は、Java関連の脆弱性のルールはスキャナーによって推奨されません。
  • Unix または Linux システムでは:
    • 推奨設定の検索エンジンが、OSの初期設定のパッケージマネージャを使用してインストールされていないソフトウェアを検出できない可能性があります。標準のパッケージマネージャを使用してインストールされたアプリケーションにはこの問題はありません。
    • 推奨設定には、デスクトップアプリケーションの脆弱性またはローカルの脆弱性に関するルールは含まれません。たとえば、ブラウザやメディアプレーヤなどです。

推奨設定の検索を実行する

環境の変更がルールの推奨に影響を与える可能性があるため、定期的に推奨スキャンを実行してください(最良の方法は毎週です)。理想的には、トレンドマイクロが毎週火曜日に新しいIPSルールをリリースした直後に推奨スキャンをスケジュールしてください。推奨スキャン中は、CPUサイクル、メモリ、ネットワーク帯域幅を含むシステムリソースの使用が増加するため、ピーク時以外にスキャンをスケジュールしてください。
注意
注意
推奨設定の検索を実行するには、ワークロードのライセンスが必要です。
推奨スキャンは、次のいずれかの方法で実行できます
  • [予約タスク:] 設定したスケジュールに従って推奨設定の検索を実行する予約タスクを作成します。予約タスクは、すべてのコンピュータ、1台のコンピュータ、定義済みのコンピュータグループ、または特定のポリシーで保護されているすべてのコンピュータに割り当てることができます。参照推奨設定の検索を定期的に実行する予約タスクを作成する
  • [Ongoing scans:] ポリシーを構成して、ポリシーで保護されているすべてのコンピューターが定期的に推奨事項のスキャンを受けるようにします。また、個々のコンピューターに対して継続的なスキャンを構成することもできます。このタイプのスキャンは、最後のスキャンが行われた時間を確認し、設定された間隔を待ってスキャンを行います。これにより、環境内で推奨事項のスキャンが異なる時間に行われることになります。継続的なスキャンは、エージェントが短時間または断続的にオンラインになる環境で役立ちます。たとえば、インスタンスを頻繁に構築および廃棄するクラウド環境です。継続的なスキャンの構成を参照してください
  • [Manual scans:] 1台以上のコンピューターで単一の推奨検索を実行します。手動検索は、最近プラットフォームやアプリケーションに大きな変更を加えた場合に、新しい推奨事項を確認するためにスケジュールされたタスクを待たずに強制的にチェックするのに役立ちます。推奨検索を手動で実行するを参照してください。
  • [コマンドライン:] の推奨スキャンを Server & Workload Protection コマンドラインインターフェイスを使用して開始します。コマンドラインユーティリティ を参照してください。
  • [API:] 推奨スキャンを Server & Workload Protection アプリケーションプログラミングインターフェイス (API) を使用して開始します。Server & Workload Protection REST API の使用方法を参照してください。
注意
注意
スケジュールされたタスクと進行中のスキャンは、それぞれの設定で推奨スキャンを独立して実行できます。スケジュールされたタスクまたは進行中のスキャンのいずれかを使用してください。両方を使用しないでください。
推奨設定の検索を実行すると、推奨設定のあるすべてのコンピュータでアラートが表示されます。

推奨設定の検索を定期的に実行する予約タスクを作成する

ヒント
ヒント
大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行してください。
  1. Server & Workload Protection コンソールで、[Administration ][ Scheduled Tasks] に移動します。
  2. [新規][New Scheduled Task] を選択して、新しいスケジュールされたタスクウィザードを表示します。
  3. [種類][Scan Computers for Recommendations] を選択します。
  4. スキャンの頻度を選択します。
  5. [次へ] をクリックします。
  6. 選択に基づいてスキャン頻度を指定してください。
  7. [次へ] をクリックします。
  8. スキャンするコンピュータを選択します。
  9. [次へ] をクリックします。
  10. 新しいスケジュールされたタスクに名前を付けてください。
  11. [Run Task on Finish]を選択します。
  12. [完了] をクリックします。

継続検索を設定する

ヒント
ヒント
大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行してください。
  1. Server & Workload Protection コンソールで、対応するエディタを開きます:
    • 個人用[Computer]
    • [ポリシー]を使用しているすべてのコンピューターに対して。
  2. [Settings] をクリックします。
  3. [一般] タブの [推奨] の下で、[Perform ongoing Recommendation Scans] を使用して、進行中の推奨スキャンを有効または無効にします。この設定は継承可能です。ポリシー、継承、およびオーバーライド を参照してください。
  4. [Ongoing Scan Interval] を使用してスキャンの頻度を指定します。この設定は継承可能です。ポリシー、継承、およびオーバーライド を参照してください。

推奨設定の検索を手動で実行する

  1. Server & Workload Protection コンソールで、[Computers] に移動します。
  2. スキャンするコンピュータを選択
  3. クリック[処理] [推奨設定の検索]

推奨設定の検索をキャンセルする

推奨設定の検索は開始前にキャンセルできます。
  1. Server & Workload Protection コンソールで、[Computers] に移動します。
  2. 検索をキャンセルするコンピュータを選択します。
  3. クリック[処理] [推奨設定の検索のキャンセル]

ルールまたはアプリケーションの種類を推奨設定の検索から除外する

ヒント
ヒント
大規模な環境の場合は、ポリシーを通じて、推奨設定の検索を含むすべての処理を実行することを推奨します。
  1. Server & Workload Protection コンソールで、対応するエディタを開きます:
    • 個人用[Computer]
    • [ポリシー]を使用しているすべてのコンピューターに対して。
  2. 除外したいルールの種類を選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
  3. [一般] タブで、次のいずれかを選択します:
    • [Assign/Unassign] のルール
    • [Application Types] のアプリケーションタイプ
  4. 除外するルールまたはアプリケーションの種類をダブルクリックします。
  5. [オプション] タブをクリックします。
  6. 次のいずれかを実行します。
    • ルールの場合、[Exclude from Recommendations][はい] または [Inherited (Yes)] に設定します。
    • アプリケーションタイプには、[Exclude from Recommendations]を選択します。

推奨設定を自動的に適用する

Server & Workload Protectionを設定して、推奨設定の検索結果を自動的に実行できます。
ヒント
ヒント
大規模な環境の場合は、ポリシーを通じて、推奨設定の実装を含むすべての処理を実行することを推奨します。
  1. Server & Workload Protection コンソールで、対応するエディタを開きます:
    • 個人用[Computer]
    • [ポリシー]を使用しているすべてのコンピューターに対して。
  2. 自動的に実装したいタイプを選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
    設定は保護モジュールごとに独立して変更できます。
  3. [一般] タブの [推奨] の下で、[はい] または [Inherited (Yes)] を選択します。
以下の推奨事項は自動的に実装できません:
  • 適用する前に設定が必要なルール。
  • 推奨設定の検索から除外されたルール。
  • ユーザーが上書きした自動的に割り当てられた、または割り当て解除されたルール。例えば、Server & Workload Protectionが自動的にルールを割り当て、その後にあなたがそれを割り当て解除した場合、次の推奨スキャンではそのルールは再割り当てされません。
  • ポリシー階層の上位レベルで割り当てられているルールを下位レベルで割り当て解除することはできません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当て解除する必要があります。
  • トレンドマイクロから発行されたものであるが、誤判定のリスクの可能性があるルール。これはルールの説明で対処されています。

検索結果を確認してルールを手動で割り当てる

最新の推奨設定の検索の結果は、ポリシーまたはコンピュータ編集画面の保護モジュール(IPS、変更監視、およびログ検査)の一般タブに表示されます。
次の例は、ポリシーを使用して侵入防御の推奨設定の検索結果を扱う方法を示しています
  1. 推奨設定の検索が完了したら、検索したコンピュータに割り当てられているポリシーを開きます。
  2. [Intrusion Prevention ][ General] に移動します。未解決の推奨事項の数 (該当する場合) は、推奨事項セクションに表示されます。
  3. [Assign/Unassign] をクリックしてルールの割り当て画面を開きます。
  4. 割り当てられていない推奨ルールのリストを表示する:
    1. ルールを並べ替える [By Application Type]
    2. [Recommended for Assignment] を選択します。
      • 推奨ルールには、長方形または完全なフラグrecommended_rule=114f086b-5872-4ecd-a0a2-0548ca8efd22.pngがあります。
      • 三角形、または部分的なフラグ partially_recommended_rule=2d2059eb-bb2d-4d29-80f8-5f818f9dba86.png は、アプリケーションタイプの一部のルールのみが推奨されていることを示します。
  5. ポリシーに単一のルールを割り当てるには、ルール名の横にあるチェックボックスをオンにします。
    • dpi_rules_option=84381749-8bce-4bd3-82d6-ae9e9804e843.png のあるルールには設定オプションがあります。
    • warning=dfb7f735-8b48-42ab-b0eb-604833e44f85.png のあるルールには、ルールを有効にする前に設定する必要がある設定があります。
  6. 一度に複数のルールを割り当てるには:
    1. ルールを選択する際に Shift または Control を押し続けます。
    2. 選択範囲を右クリックします。
    3. [Assign Rule(s)] をクリックします。

推奨ルールを設定する

一部のルールは適用する前に設定が必要です。例えば、一部のログインスペクションルールはログファイルの場所を指定する必要があります。この場合、推奨が行われたコンピュータにアラートが表示されます。アラートのテキストには、ルールを設定するために必要な情報が含まれています。ポリシーまたはコンピュータエディタでは、warning=dfb7f735-8b48-42ab-b0eb-604833e44f85.pngが付いているルールは有効化する前に設定が必要です。dpi_rules_option=84381749-8bce-4bd3-82d6-ae9e9804e843.pngが付いているルールは任意の設定です。

一般的な脆弱性の追加ルールを実装する

推奨設定の検索は、実装する必要があるルールリストを作成するための適切な開始ポイントとなりますが、一般的な脆弱性には推奨設定の検索では特定されない追加のルールがいくつかあります。これらのルールは[prevent] (ブロック) モードで実装される前に慎重に設定しテストする必要があるためです。トレンドマイクロでは、これらのルールを設定およびテストしてから、ポリシーまたは個々のコンピュータで手動で有効にすることをお勧めします。
以下の表には、設定すべき最も一般的な追加ルールが含まれています。他のルールは、Server & Workload Protection[Smart]または[ポリシー]のタイプのルールを検索することで見つけることができます。
ルール名
アプリケーションの種類
1007598 - Identified Possible Ransomware File Rename Activity Over Network Share
DCERPCサービス
1007596 - Identified Possible Ransomware File Extension Rename Activity Over Network Share
DCERPCサービス
1006906 - Identified Usage Of PsExec Command Line Tool
DCERPCサービス
1007064 - Executable File Uploaded On System32 Folder Through SMB Share
DCERPCサービス
1003222 - Block Administrative Share
DCERPCサービス
1001126 - DNS Domain Blocker
DNSクライアント
1000608 - 一般的なSQLインジェクション対策
参照SQLインジェクション防御ルールの設定詳細については、
Webアプリケーション共通
1005613 - Generic SQL Injection Prevention - 2
Webアプリケーション共通
1000552 - Generic Cross Site Scripting (XSS) Prevention
Webアプリケーション共通
1006022 - Identified Suspicious Image With Embedded PHP Code
Webアプリケーション共通
1005402 - Identified Suspicious User Agent In HTTP Request
Webアプリケーション共通
1005934 - Identified Suspicious Command Injection Attack
Webアプリケーション共通
1006823 - Identified Suspicious Command Injection Attack - 1
Webアプリケーション共通
1005933 - Identified Directory Traversal Sequence In Uri Query Parameter
Webアプリケーション共通
1006067 - Identified Too Many HTTP Requests With Specific HTTP Method
Webサーバ共通
1005434 - Disallow Upload Of A PHP File
Webサーバ共通
1003025 - Web Server Restrict Executable File Uploads
Webサーバ共通
1007212 - Disallow Upload Of An Archive File
Webサーバ共通
1007213 - Disallow Upload Of A Class File
Webサーバ共通

トラブルシューティング: 推奨設定の検索の失敗

サーバーでRecommendation Scan Failureを受け取った場合、エージェントから診断パッケージを作成し、サポートに連絡してください。

コミュニケーション

通常、通信の問題の場合、エラーメッセージの本文にプロトコルエラーが表示されます。この問題を解決するには、エージェント-initiated通信を使用していることを確認してください。エージェント-initiatedアクティベーションと通信を使用してエージェントをアクティベートおよび保護するを参照してください。

サーバリソース

サーバー上のCPUおよびメモリリソースを監視します。スキャン中にメモリまたはCPUが枯渇した場合は、リソースを増やしてください。