侵入防御モジュールを有効にし、検出モードを使用してネットワークトラフィックの脆弱性を監視します。侵入防御ルールの割り当てが完了したら、防御モードに切り替えます。
 |
注意CPU使用率とRAM使用率は、IPSの設定によって異なります。エージェントのIPSパフォーマンスを最適化するには、を参照してください。侵入防御のパフォーマンスに関するヒント。
|
侵入防御モジュールの概要については、次を参照してください。侵入防御を使用してエクスプロイトの試みをブロックする。
検出モードで侵入防御を有効にする 
侵入防御を有効にし、監視に検出モードを使用します。適切なポリシーを使用して侵入防御を設定し、対象のコンピュータに影響を与えます。個々のコンピュータを設定することもできます。
手順
- に移動 。
- [構成]には、 [オン] または [継承 (オン)]のいずれかを選択します。
- [侵入防御の動作]で、 [検出]を選択します。
注意
コンテナの侵入防御を有効にする方法については、侵入防御設定の適用を参照してください。 - [保存]をクリックします。
次に進む前に
 |
ヒント動作設定が利用できない場合は、 [ネットワークエンジンモード] が [タップ]に設定されている可能性があります。 (「 配信前にファイアウォールルールをテストする.)
|
より詳細に制御するために、侵入防御ルールを割り当てるときに、グローバル動作モードを上書きし、特定のルールを設定して防御または検出を行うことができます。 (「ルールの動作モードをオーバーライドする.)
コアエンドポイントとワークロードルールの自動適用を有効にする
侵入防御のテスト
以降の手順を続行する前に、侵入防御モジュールが正常に動作することをテストする必要があります。
手順
- Agentベースの配信がある場合は、コンピュータのAgentが実行中であることを確認します。
- Webレピュテーションモジュールを無効にします。 Server & Workload Protection コンソールで [コンピュータ]をクリックし、侵入防御をテストするコンピュータをダブルクリックします。コンピュータのダイアログボックスで、 [Webレピュテーション]をクリックし、 [オフ]を選択します。 Webレピュテーションが無効になり、侵入防御機能が妨げられることはありません。
- 不正なトラフィックがブロックされていることを確認します。引き続きコンピュータのダイアログボックスで [侵入防御]をクリックし、 [一般] タブで [防御]を選択します。 (網掛け表示されている場合は、 [構成] ドロップダウンリストを [継承 (オン)]に設定します)。
- EICARテストポリシーを割り当てます。引き続きコンピュータのダイアログボックスで、 [侵入防御]をクリックします。 [割り当て/割り当て解除]をクリックします。検索
1005924。 [1005924 - HTTP経由のEICARテストファイルのダウンロードを制限する] ポリシーが表示されます。チェックボックスをオンにして、 [OK]をクリックします。これで、ポリシーがコンピュータに割り当てられました。 - EICARファイルのダウンロードを試行します (侵入防御が正常に実行されている場合はダウンロードできません)。 Windowsの場合は、次のリンクに移動します。http://files.trendmicro.com/products/eicar-file/eicar.com 。 Linuxの場合は、次のコマンドを入力します。
curl -O http://files.trendmicro.com/products/eicar-file/eicar.com - コンピュータの侵入防御イベントを確認します。引き続きコンピュータのダイアログボックスで、 。前回のハートビート以降に発生したイベントを表示するには、 [イベントの取得] をクリックします。 [理由] が [1005924 - HTTP経由のEICARテストファイルのダウンロードを制限する]のイベントが表示されます。このイベントの存在は、侵入防御が機能していることを示します。
- 変更を元に戻すと、システムが以前の状態に戻ります。 Webレピュテーションモジュールを有効にし (無効にしている場合)、 [防御] または [検出] オプションをリセットして、コンピュータからEICARポリシーを削除します。
次に進む前に
推奨ルールを適用する
パフォーマンスを最大化するには、ポリシーとコンピュータで必要な侵入防御ルールのみを割り当てます。推奨設定の検索を使用すると、適切なルールのリストを取得できます。
|
注意推奨設定の検索は特定のコンピュータに対して実行されますが、この推奨設定はコンピュータが使用するポリシーに割り当てることができます。
|
詳細については、推奨設定の検索の管理と実行。
手順
- 検索するコンピュータのプロパティを開きます。の説明に従って推奨設定の検索を実行します。 推奨設定の検索を手動で実行する。
注意
設定できますServer & Workload Protectionに推奨事項を自動的に実装する必要に応じて結果をスキャンします。 - ルールを割り当てるポリシーを開き、の説明に従ってルールの割り当てを完了します。 推奨設定の検索結果を管理する。
ヒント
割り当てられた侵入防御ルールを自動的かつ定期的に微調整するには、推奨設定の検索をスケジュールします。参照 Server & Workload Protection がタスクを実行するようにスケジュールする。
次に進む前に
システムを監視する
侵入防御ルールを適用したら、システムパフォーマンスと侵入防御イベントログを監視します。
システムパフォーマンスを監視する
CPU、RAM、およびネットワークの使用率を監視して、システムのパフォーマンスが許容範囲内であることを確認します。そうでない場合は、一部の設定と配置を変更して、パフォーマンスを向上させることができます。
(「侵入防御のパフォーマンスに関するヒント.)
侵入防御イベントを確認する
侵入防御イベントを監視して、ルールが正規のネットワークトラフィックと一致していないことを確認します。ルールによって誤検出が発生している場合は、ルールの割り当てを解除できます。
(「ルールの割り当てと割り当て解除.)
侵入防御イベントを表示するには、 。
パケットまたはシステムのエラーに対して「Fail-Open」を有効にする
侵入防御モジュールには、侵入防御ルールを適用する前にパケットをブロックする可能性があるネットワークエンジンが含まれています。これにより、サービスやアプリケーションのダウンタイムやパフォーマンスの問題が発生する可能性があります。この動作を変更して、システムまたは内部のパケット障害が発生したときにパケットを通過させることができます。詳細については、
「フェイルオープン」動作を有効にする。
防御モードに切り替える
侵入防御で誤検出が検出されないことを確認したら、ルールが適用され、関連するイベントがログに記録されるように、侵入防御を防御モードで使用するようにポリシーを設定します。
手順
- に移動 。
- [侵入防御の動作]で、 [防御]を選択します。
- [保存]をクリックします。
次に進む前に
個々のルールについてのベストプラクティスを実装する
HTTPプロトコルデコードルール
HTTPプロトコルデコードルールは、「Webサーバ共通」アプリケーションタイプで最も重要なルールです。このルールは、他のルールによって検査される前にHTTPトラフィックをデコードします。このルールでは、デコード処理のさまざまなコンポーネントを制御することもできます。
このルールを必要とするWebアプリケーション共通ルールまたはWebサーバ共通ルールを使用する場合は、このルールが必要です。 Server & Workload Protection は、他のルールで必要な場合に、このルールを自動的に割り当てます。 Webアプリケーションはそれぞれ異なるため、このルールを使用するポリシーを一定期間検出モードで実行してから防御モードに切り替えて、設定の変更が必要かどうかを判断する必要があります。
無効な文字のリストは、しばしば変更が必要です。
このルールとその調整方法の詳細については、次のナレッジベース記事を参照してください。
クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール
最も一般的なアプリケーションレイヤ攻撃は、SQLインジェクションとクロスサイトスクリプティング (XSS) の2つです。クロスサイトスクリプティングおよびSQLインジェクションルールは、初期設定で大部分の攻撃を遮断しますが、誤検出の原因となる特定のリソースのドロップスコアを調整する必要がある場合があります。
どちらのルールも、Webサーバのカスタム設定が必要なスマートフィルタです。 Webアプリケーション脆弱性検索ツールからの出力がある場合は、保護を適用するときにその情報を活用する必要があります。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、SQLインジェクションルールがそのパラメータを監視するように設定されていることを確認します。
NSXセキュリティタグを適用する