ビュー:
警告
警告
クラシック推奨スキャンを使用する場合、コアエンドポイントおよびワークロードルールの自動適用を有効にしないでください。
クラシック推奨スキャン中に、エージェントは以下をスキャンします:
  • インストール済みアプリケーション
  • Windowsレジストリ
  • 開いているポート
  • ディレクトリリスト
  • ファイルシステム
  • 実行中のプロセスとサービス
  • 環境変数
  • ユーザ

スキャンの制限

技術的および論理的な制限により、一部の種類のソフトウェアに対する推奨が不正確または欠落する可能性があります。
  • クラシック推奨スキャンには以下が含まれません:
    • Webアプリケーションの保護ルール。
    • ほとんどのスマートルールは、重大な脅威や特定の脆弱性に対処しない限り適用されません。スマートルールは、1つ以上の (ゼロデイ) 脆弱性に対処します。Server & Workload Protectionのルールリストでは、[種類]列に[スマート]と表示されているスマートルールを識別します。
    • Windowsシステムでは、OpenSSLはアプリケーションが内部で使用するルールを決定します。スキャナーは、OpenSSLを明示的にインストールした場合にのみ、OpenSSLに関する推奨事項を提供できます。
  • スキャナーは、以下の技術に対して不要なルールを推奨する場合があります:
    • Red Hat JBoss
    • Eclipse Jetty
    • Apache Struts
    • Oracle WebLogic
    • WebSphere
    • Oracle Application Testing Suite
    • Oracle Golden Gate
    • Nginx
    • Chrome用Adobe Flash Playerプラグイン - 推奨事項はChromeのバージョンに基づいています。
    • コンテンツ管理システム (CMS) およびすべてのCMSプラグイン - PHPを使用するウェブサーバの場合、スキャンはCMSに関連するすべてのIPSルールを推奨します。
  • Linuxシステムでは:
    • WebブラウザがJava関連の脆弱性に対する唯一の適用可能なベクターである場合、スキャナーはそのようなルールを推奨しません。
  • UnixまたはLinuxシステムでは:
    • クラシック推奨検索エンジンは、OSのデフォルトパッケージマネージャを介してインストールされていないソフトウェアを検出するのに問題があるかもしれません。標準のパッケージマネージャを使用してインストールされたアプリケーションにはこの問題はありません。
    • 推奨事項には、デスクトップアプリケーションの脆弱性やローカルの脆弱性に関するルールは含まれていません。例えば、ブラウザやメディアプレーヤーです。
関連情報

クラシックな推奨スキャンを実行

推奨スキャンを定期的に実行してください (最適な方法は毎週です)。環境の変更はルールの推奨に影響を与える可能性があるためです。理想的には、トレンドマイクロが毎週火曜日に新しいIPSルールをリリースした直後に推奨スキャンをスケジュールしてください。従来の推奨スキャン中は、中央処理装置 (CPU) サイクル、メモリ、およびネットワークを含むシステムリソースの使用が増加するため、ピーク時以外にスキャンをスケジュールしてください。推奨スキャンを実行した後、推奨事項があるすべてのコンピュータにアラートが表示されます。
注意
注意
推奨スキャンを実行するにはEndpoint & Workload Securityライセンスが必要です。
次のいずれかの方法で推奨スキャンを実行できます:

手順

  • スケジュールされたタスクを作成して、設定したスケジュールに従って推奨スキャンを実行します。スケジュールされたタスクをすべてのコンピュータ、個々のコンピュータ、定義されたコンピュータグループ、または特定のポリシーで保護されているすべてのコンピュータに割り当てることができます。
    注意
    注意
    スケジュールされたタスクと進行中のスキャンは、それぞれの設定でクラシック推奨スキャンを独立して実行できます。スケジュールされたタスクか進行中のスキャンのいずれかを使用してください。両方を使用しないでください。
  • 継続的なスキャンポリシーを構成することで、コンピュータグループを定期的にスキャンして推奨事項を確認できます。また、個々のコンピュータに対して継続的なスキャンを構成することも可能です。このタイプのスキャンは、最後にスキャンが行われた時間を確認し、設定された間隔を待ってスキャンを実行します。これにより、推奨スキャンが環境内で異なる時間に実行されることになります。エージェントが短時間または断続的にオンラインになる環境では、継続的なスキャンが役立ちます。例えば、インスタンスが頻繁に構築および廃止されるクラウド環境です。
  • 1つ以上のコンピュータで単一の推奨検索を手動で実行します。手動検索は、最近プラットフォームやアプリケーションに大きな変更を加えた場合に、新しい推奨事項の確認をスケジュールされたタスクを待たずに強制的に行いたいときに役立ちます。
  • Server & Workload Protectionコマンドラインインターフェイス (CLI) を使用して、クラシック推奨スキャンを開始します。コマンドラインユーティリティを参照してください。
  • Server & Workload Protectionアプリケーションプログラミングインターフェース (API) を使用して、クラシック推奨スキャンを開始します。Server & Workload Protection REST APIの使用方法を参照してください。
最新の推奨スキャンの結果は、IPS、変更監視、またはログ検査保護モジュールの一般タブに表示されます。

推奨設定の検索をスケジュール

ヒント
ヒント
大規模な展開の場合は、ポリシーを使用してクラシックな推奨スキャンを実行してください。

手順

  1. Server & Workload Protectionコンソールで、[Administration ][ Scheduled Tasks]に移動します。
  2. [新規][New Scheduled Task]を選択して、新しいスケジュールタスクウィザードを表示します。
  3. [種類][コンピュータの推奨設定を検索]を選択します。
  4. スキャンの実行頻度を選択し、[次へ]をクリックしてください。
  5. 選択に基づいてスキャン頻度を指定し、[次へ]をクリックしてください。
  6. スキャンするコンピュータを選択し、[次へ]をクリックしてください。
  7. 新しいスケジュールされたタスクに名前を付けてください。
  8. スキャンをすぐに実行するには、[Run Task on Finish]を選択します。
  9. [完了] をクリックします。
最新の推奨スキャンの結果は、IPS、変更監視、またはログ検査保護モジュールの一般タブに表示されます。

継続的な推奨設定のスキャンを構成する

ヒント
ヒント
大規模な展開には、ポリシーを使用してクラシック推奨スキャンを実行します。

手順

  1. Server & Workload Protectionコンソールでエディタを開きます。
    • 個人用[コンピュータ]
    • [ポリシー]を使用しているすべてのコンピューターに対して。
  2. [Settings] をクリックします。
  3. [一般] タブの [推奨] の下で、[推奨設定の継続的な検索を実行] を使用して、進行中のクラシック推奨スキャンを有効または無効にします。この設定は継承可能です。ポリシー、継承、およびオーバーライド を参照してください。
  4. [継続検索の間隔]を使用してスキャンの頻度を指定します。この設定は継承可能です。ポリシー、継承、およびオーバーライドを参照してください。
最新の推奨スキャンの結果は、IPS、変更監視、またはログ検査保護モジュールの一般タブに表示されます。

手動でクラシック推奨スキャンを実行

手順

  1. Server & Workload Protectionコンソールで、[コンピュータ]に移動します。
  2. スキャンするコンピュータを選択してください。
  3. [Actions ][ Scan for Recommendations]をクリックします。
最新の推奨スキャンの結果は、IPS、変更監視、またはログ検査保護モジュールの一般タブに表示されます。

クラシック推奨設定の検索のキャンセル

クラシック推奨スキャンは開始前にキャンセルできます。

手順

  1. Server & Workload Protectionコンソールで、[コンピュータ]に移動します。
  2. スキャンをキャンセルするコンピュータを選択してください。
  3. [Actions ][ Cancel Recommendation Scan]をクリックします。

ルールまたはアプリケーションタイプをクラシック推奨スキャンから除外する

大規模な展開で強化された推奨スキャンにアクセスできない場合、ポリシーを作成して推奨事項を管理します。ポリシーは、各コンピュータで個別のルールを管理する必要がない単一のソースからルールを割り当てます。その結果、ポリシーは一部のルールを必要としないコンピュータに割り当てることがあります。
ポリシーで推奨スキャンを有効にする場合、WindowsコンピュータとLinuxコンピュータのスキャンには別々のポリシーを使用して、WindowsルールをLinuxコンピュータに割り当てたり、その逆を行ったりしないようにしてください。

手順

  1. Server & Workload Protectionコンソールでエディタを開きます。
    • 個人用[コンピュータ]
    • すべてのコンピューターが[ポリシー]を使用しています。
  2. 除外するルールの種類を選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
  3. [一般]タブで、次のいずれかを選択します:
    • [割り当て/割り当て解除]のルール
    • [アプリケーションの種類]のアプリケーションタイプ
  4. 除外したいルールまたはアプリケーションタイプをダブルクリックしてください。
  5. [オプション]タブをクリックします。
  6. 次のいずれかを実行します。
    • ルールの場合、[推奨設定から除外][はい]または[Inherited (Yes)]に設定します (ポリシー、継承、およびオーバーライドを参照)。
    • アプリケーションタイプの場合は、[推奨設定から除外]を選択してください。

推奨事項を自動的に適用

Server & Workload Protectionを構成して、次のルールを除いて推奨スキャンの結果を自動的に実行することができます:
  • 適用前に構成が必要なルール。
  • 推奨スキャンから除外されたルール。
  • 自動的に割り当てまたは割り当て解除されたルールで、ユーザが上書きしたもの。例えば、Server & Workload Protectionが自動的にルールを割り当て、その後にあなたがそれを割り当て解除した場合、次の推奨スキャンではそのルールは再割り当てされません。
  • ポリシー階層の上位レベルで割り当てられたルールは、下位レベルで割り当て解除することはできません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当て解除する必要があります。
  • トレンドマイクロが発行したルールですが、誤検知を引き起こすリスクがある可能性があります。これはルールの説明で対処されています。

手順

  1. Server & Workload Protection コンソールでエディタを開きます:
    • 個人用[コンピュータ]
    • [ポリシー]を使用しているすべてのコンピュータに対して。
  2. 自動的に実装したいタイプを選択してください:
    • [侵入防御]
    • [変更監視]
    • [セキュリティログ監視]
    各保護モジュールごとに設定を独立して変更できます。
  3. [一般]タブの[推奨]の下で、次のいずれかを選択します:

ルールを手動で割り当てる

以下の例は、IPSの推奨スキャン結果を処理するためのポリシーの作成方法を示しています。

手順

  1. 推奨スキャンが完了したら、スキャンされたコンピュータに割り当てられたポリシーを開きます。
  2. [Intrusion Prevention ][ General]に移動します。未解決の推奨事項は推奨事項セクションに表示されます。
  3. [割り当て/割り当て解除]をクリックしてルール割り当てウィンドウを開きます。
  4. 推奨されている未割り当てのルールのリストを並べ替えます[アプリケーションの種類別]
  5. [割り当てを推奨]を選択します。
    • 推奨ルールには長方形または完全なフラグrecommended_rule=114f086b-5872-4ecd-a0a2-0548ca8efd22.pngがあります。
    • フラグpartially_recommended_rule=2d2059eb-bb2d-4d29-80f8-5f818f9dba86.pngは、アプリケーションタイプのルールの一部のみが推奨されていることを示します。
  6. 単一のルールをポリシーに割り当てるには、ルール名の横のボックスを選択します。
    • warning=dfb7f735-8b48-42ab-b0eb-604833e44f85.png のあるルールには、ルールを有効にする前に設定する必要がある設定があります。
      例えば、一部のインスペクションルールではログファイルの場所が必要です。推奨が行われたコンピュータにアラートが表示されます。アラートのテキストには、ルールを設定するために必要な情報が含まれています。
    • dpi_rules_option=84381749-8bce-4bd3-82d6-ae9e9804e843.pngのあるルールには設定できる構成オプションがあります。
  7. 複数のルールを一度に割り当てるには:
    1. 複数のルールを選択してください。
      • 隣接するルールのグループを選択するには、Shiftキーを押し続けます。
      • 分離されたルールを選択するには、Controlキーを押し続けてください。
    2. 選択を右クリックします。
  8. [ルールの割り当て]をクリックします。

一般的な脆弱性に関する追加ルール

推奨スキャンは、実装すべきルールのリストを作成するための良い出発点を提供しますが、一般的な脆弱性に対する追加のルールの一部は、[prevent](ブロック) モードで実装される前に慎重に構成およびテストする必要があるため、推奨スキャンでは識別されません。トレンドマイクロは、これらのルールを構成およびテストした後、ポリシーまたは個々のコンピューターで手動で有効にすることを推奨します。
以下の表には、設定すべき最も一般的な追加ルールが含まれています。Server & Workload Protection[スマート]または[ポリシー]タイプのルールを検索することで、他のルールを見つけることができます。
ルール名
アプリケーションの種類
1007598 - ネットワーク共有上でのランサムウェアの可能性があるファイル名変更アクティビティを検出
DCERPCサービス
1007596 - ネットワーク共有上でランサムウェアの可能性があるファイル拡張子のリネーム活動を検出
DCERPCサービス
1006906 - PsExecコマンドラインツールの使用を検出
DCERPCサービス
1007064 - 実行可能ファイルがSMB共有を介してSystem32フォルダにアップロードされました
DCERPCサービス
1003222 - 管理共有をブロック
DCERPCサービス
1001126 - DNSドメインブロッカー
DNSクライアント
1000608 - 一般的なSQLインジェクション防止
詳細については、SQLインジェクション防止ルールの設定を参照してください。
Webアプリケーション共通
1005613 - 一般的なSQLインジェクション防止 - 2
Webアプリケーション共通
1000552 - 一般的なクロスサイトスクリプティング (XSS) 防止
Webアプリケーション共通
1006022 - 埋め込まれたPHPコードを含む疑わしい画像を検出
Webアプリケーション共通
1005402 - HTTP要求で疑わしいユーザエージェントを特定
Webアプリケーション共通
1005934 - 不審なコマンドインジェクション攻撃を検出
Webアプリケーション共通
1006823 - 不審なコマンドインジェクション攻撃を検出 - 1
Webアプリケーション共通
1005933 - Uriクエリパラメータでディレクトリトラバーサルシーケンスを検出
Webアプリケーション共通
1006067 - 特定のHTTPメソッドを使用したHTTPリクエストが多すぎると判定されました
Webサーバ共通
1005434 - PHPファイルのアップロードを禁止
Webサーバ共通
1003025 - Webサーバ実行可能ファイルのアップロードを制限
Webサーバ共通
1007212 - アーカイブファイルのアップロードを禁止
Webサーバ共通
1007213 - クラスファイルのアップロードを禁止
Webサーバ共通

クラシック推奨スキャンのトラブルシューティング

次のヒントは、クラシック推奨スキャンのトラブルシューティングに役立ちます。