ビュー:

IPSモジュールの設定を構成および管理します。

重要
重要
  • Standard Endpoint Protectionおよびサーバ&Workload Protection機能のセキュリティ設定をEndpoint Security Policiesで管理することは「プレリリース」機能であり、正式リリースとは見なされません。機能を使用する前にプレリリースに関する免責事項を確認してください。
  • Intrusion Preventionの一部の機能は[エンドポイントセキュリティPro]の一部です。エンドポイントセキュリティProはエンドポイントごとに300Creditsが必要です。
    • 推奨検索: Server & Workload Protectionを使用してエンドポイントに機能を適用するには、Endpoint Security Proが必要です。
    • 高度なIPSルール: [詳細]ルールセットに属する任意のルールの[ステータス][常に]に設定するには、エンドポイントセキュリティProが必要です。これには、Standard Endpoint ProtectionおよびServer & Workload Protectionを備えたエンドポイントが含まれます。
  • サーバ&Workload Protectionによって管理されているエンドポイントは、[Server & Workload Protection][コンピュータ]で個別のIPSオーバーライドが設定されている場合があります。オーバーライド設定によっては、これらのエンドポイントのCredit Usageに[エンドポイントセキュリティPro]機能が含まれることがあります。
    IPSのオーバーライドをすぐに削除するには、エンドポイントセキュリティポリシーのオーバーライドを参照してください。
  • トレンドマイクロは定期的に新しいIPSルールをリリースします。新しいルールは、エージェントが新しいルールセットを自動的に更新する前にコンソールに表示されることがあります。ポリシー設定を変更することで、エージェントにルールの更新を手動で強制することができます。
  • IPSはIPアドレスの除外を設定するためにIPリストを使用します。IPSを設定する前にポリシーリソースでIPリストを設定してください。
  • セキュリティモジュール間を移動するか[ポリシー設定]を離れると、保存されていない変更が破棄されます。作業内容を失わないようにするため、コンソール内の別の場所に移動する前に必ず[保存]をクリックしてください。
IPSは、既知およびゼロデイの脆弱性攻撃からコンピュータを保護し、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、その他のWebアプリケーションの脆弱性に対しても防御します。推奨設定を使用して、エンドポイントエージェントがセキュリティ環境に基づいて動的にルールを適用できるようにすることができます。

手順

  1. エンドポイントをIPSで保護するには、[有効]を選択してください。
    注意
    注意
    侵入防止を有効にすると、IPSルールが非表示になる場合があります。IPSルールを表示するには、[ルールのステータスと構成]の下の[Display rule settings]をクリックしてください。
  2. エンドポイントでイベントをブロックする前に侵入検知ルールがどのようにトリガーされるかを評価したい場合は、[Intrusion prevention mode override]の下で[Detect only mode]を選択してください。
    注意
    注意
    検出されたイベントを評価した後、個々のIPSルールの[モード]設定を手動で変更して、運用上のニーズに適切に適合させることができます。
  3. [Recommendation settings]を構成します。
    推奨設定は、エージェントがエンドポイントを監視する際に適用するIPSルールを制御します。
    • 推奨検索を使用して、各エンドポイントに動的にルールを適用します: エージェントが推奨検索を実行し、各エンドポイントに推奨ルールを動的に適用できるようにします。推奨検索はセキュリティ環境と各エンドポイントのコンテキストを分析し、エージェントがどのIPSルールを[ダイナミック]ステータスでトリガーし、アクションを実行するかを判断できるようにします。
    • Apply Intrusion Prevention Core ruleset: [コア]および[Essential]ルールセットの一部であるIPSルールをトリガーし、アクションを実行します。エージェントは[ルールのステータスと構成]テーブルで[決して]ステータスに設定されていないコアまたはエッセンシャルルールに対してトリガーし、アクションを実行できます。
    • Apply Intrusion Prevention rules you have configured to "Always" status: [ルールのステータスと構成]テーブルでルールの[ステータス][常に適用]に変更した場合にのみ、IPSルールに対してトリガーを実行し、アクションを実行します。
    重要
    重要
    • Recommendation検索はServer & Workload Protectionを持つエージェントのみサポートします。Standard Endpoint Protectionを持つエージェントは[コア]ルールセットのみ適用されます。
    • Recommendation Scanは[エンドポイントセキュリティPro]機能です。エンドポイントセキュリティProは、サポートされているエンドポイントごとに300Creditsが必要です。Standard Endpoint ProtectionエンドポイントはRecommendation Scanを有効にするための計算に含まれません。
  4. [ルールのステータスと構成]を管理します。
    IPSルールの詳細を表示し、ルールのステータスを管理します。
    1. ルールリストが非表示の場合は、[Display rule settings]をクリックしてルールリストを表示してください。
    2. 設定したいルールを見つけてください。
      検索とフィルターを使用して、管理したいルールを見つけてください。表示するテーブル列を管理するには、[列をカスタマイズ] アイコン (columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg) をクリックします。
      ルールの詳細を表示するには、ルール名をクリックしてください。モニタされているアプリケーションの詳細を表示するには、アプリケーションタイプをクリックしてください。
    3. ルールのステータスを設定します。
      • 動的: エージェントは、推奨設定に応じてセキュリティイベントに対してアクションをトリガーするためにIPSルールを適用する場合があります。デフォルト設定はダイナミックです。ルールを[常に]または[決して]に設定したい場合は、ルールのステータスを手動で変更する必要があります。
      • 常に: エージェントは、推奨設定に関係なくIPSルールをトリガーし、アクションを実行します。常に適用されるステータスで最大350のルールを設定できます。
      • 決して: エージェントは、推奨設定に関係なくIPSルールをトリガーしてアクションを実行しません。
      すべての[詳細]ルールのステータスを[ダイナミック]に設定するには、[Set all Advanced rules to Dynamic]をクリックしてください。
      重要
      重要
      • Advancedルールセットは[エンドポイントセキュリティPro]機能です。[エンドポイントセキュリティPro]を設定するには、Advancedルールのステータスを[常に]にする必要があります。エンドポイントセキュリティProは、Standard Endpoint ProtectionとServer & Workload Protectionの両方に対応するエンドポイントごとに300Creditsが必要です。
      • [エンドポイントセキュリティPro][ダイナミック]または[なし]のいずれかの高度なルールセットに必要ありません。
      • [Set all Advanced rules to Dynamic]は、[常に]または[なし]のステータスを持つすべての高度なルールを[ダイナミック]のデフォルトにリセットします。
        [Set all Advanced rules to Dynamic]は、他の[エンドポイントセキュリティPro]機能が有効でない場合、Credit Usageを減少させる可能性があります。
  5. 信頼できるIPアドレスをIPSの検索と監視から除外するには、[IP address exclusions]のIPリストを選択してください。
    ポリシーリソースでIPリストを作成および設定できます。詳細については、IPリストを参照してください。