侵入防御ルールを設定して操作するには、以下のセクションのタスクを実行します。
侵入防止モジュールの概要については、IPSを使用して脆弱性悪用の試行をブロックするを参照してください。
侵入防御ルールリスト 
[ポリシー] 画面には、侵入防御ルールのリストが表示されます。侵入防御ルールを検索したり、ルールのプロパティを開いて編集したりできます。このリストでは、ルールがアプリケーションの種類別にグループ化され、一部のルールのプロパティが異なる列に表示されます。
 |
ヒントTippingPoint列には、同等のトレンドマイクロTippingPointルールIDが含まれています。侵入防止の高度な検索では、TippingPointルールIDで検索できます。また、ポリシーおよびコンピュータエディタの割り当てられた侵入防止ルールのリストでTippingPointルールIDを確認することもできます。
|
リストを表示するには、 [Policies]をクリックし、 [共通オブジェクト/ルール] の下にある [IPSルール]をクリックします。
侵入防御ライセンスの種類
ルール可用性列は、ルールに利用可能なライセンスタイプに関する情報を提供します。[Endpoint & Workload]は、このルールがエンドポイントおよびワークロードライセンスの両方で割り当て可能であることを示します。[Workload]ルールの可用性は、ライセンスタイプがワークロードの場合にのみルールを割り当てることができることを意味します。
ライセンスの種類は、割り当てられたすべてのルールに [エンドポイントとワークロード] ルールの可用性がある場合は [エンドポイント] になり、割り当てられたルールの少なくとも1つにワークロードルールの可用性がある場合は [Workload] になります。
侵入防御ルールに関する情報を表示する
侵入防御ルールのプロパティには、ルールおよび防御対象の攻撃コードに関する情報が含まれます。
手順
- クリック 。
- ルールを選択し、 [プロパティ]をクリックします。
一般情報
- [名前]: 侵入防御ルールの名前。
- [説明]: 侵入防御ルールの説明。
- [最小Agent/Applianceバージョン]: この侵入防御ルールをサポートするために必要なエージェントの最小バージョン。
詳細
[新規] (
) または [プロパティ] (
) [IPSルールのプロパティ] ウィンドウが表示されます。
) または [プロパティ] ( ) [IPSルールのプロパティ] ウィンドウが表示されます。 |
注意トレンドマイクロの侵入防御ルールは、 Server & Workload Protectionでは直接編集できません。代わりに、侵入防御ルールの設定が必要な (または許可されている) 場合、それらの設定オプションは [構成] タブで使用できます。自分で作成したカスタム侵入防御ルールは編集可能になります。この場合、 [ルール] タブが表示されます。
|
-
[アプリケーションの種類]: この侵入防御ルールがグループ化されるアプリケーションの種類。
ヒント
このパネルからアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティ要素に変更が適用されます。 -
[優先度]: ルールの優先度レベル。優先度の高いルールは、優先度の低いルールよりも先に適用されます。
-
[重大度]: ルールの重要度を設定しても、ルールの実装方法や適用方法には影響しません。侵入防御ルールのリストを表示するときは、重要度を並べ替える条件として使用できます。さらに重要なことに、各重大度には重大度の値が関連付けられています。この値にコンピュータのアセット価値を掛けて、イベントのランキングを決定します。 (「 .)
-
[CVSSスコア]: 脆弱性の重大度の指標。 National Vulnerability Database 。
ID (トレンドマイクロのルールのみ)
- [種類]: スマート (1つ以上の既知および未知の (ゼロデイ) 脆弱性)、エクスプロイト (特定のエクスプロイト、通常はシグネチャベース)、またはVulnerability (1つ以上のエクスプロイトが存在する可能性のある特定の脆弱性) のいずれかです。
- [発行元]: ルールがリリースされた日付。これは、ルールがいつダウンロードされたかを示すものではありません。
- [最終更新]: ルールが最後にローカルで変更されたか、コンポーネント更新のダウンロード中に変更された時間。
- [識別子]: ルールの一意の識別タグ。
関連付けられている脆弱性に関する情報を表示する (トレンドマイクロのルールのみ)
トレンドマイクロが提供するルールには、ルールが保護する脆弱性に関する情報を含めることができます。該当する場合、Common Vulnerability Scoring
System (CVSS) が表示されます。 (このスコアリングシステムの詳細については、 National Vulnerability Database .)
手順
- クリック 。
- ルールを選択し、 [プロパティ]をクリックします。
- [脆弱性] タブをクリックします。
ルールを割り当てる/ルールの割り当てを解除する
エージェントのスキャン中にIPSルールを適用するには、それらを適切なポリシーおよびコンピューターに割り当てます。脆弱性が修正されてルールが不要になった場合は、ルールの割り当てを解除します。
コンピュータエディタからIPSルールの割り当てを解除できない場合、ルールがポリシーで現在割り当てられている可能性があります。ポリシーレベルで割り当てられたルールは、ポリシーエディタを使用して削除する必要があり、コンピュータレベルでは削除できません。
ポリシーを変更すると、そのポリシーを使用しているすべてのコンピュータに影響します。たとえば、ポリシーからルールの割り当てを解除すると、そのポリシーで保護されているすべてのコンピュータからルールが削除されます。引き続き他のコンピュータにルールを適用するには、そのコンピュータのグループに対して新しいポリシーを作成します。
(「ポリシー、継承、およびオーバーライド.)
|
ヒントルールが割り当てられたポリシーとコンピュータを確認するには、ルールプロパティの [割り当て対象] タブをご覧ください。
|
手順
- [ポリシー]ページでポリシーを右クリックし、[詳細]を選択します。
- をクリックします。ポリシーに割り当てられたルールは[現在割り当てられている侵入防御ルール]リストに表示されます。
- [割り当て/割り当て解除]をクリックします。
- ルールを割り当てるには、ルールの横のボックスを選択します。既知の脆弱性問題から保護するための、コアエンドポイントおよびワークロードルールと呼ばれるIPSルールのサブセットがあります。これらのルールはすべてのライセンスタイプで利用可能で、グループとして簡単に割り当てることができます。
- [Rule Selection]を選択します。
- [Select all Core Endpoint & Workload Rules]をクリックします。
- ルールの割り当てを解除するには、ルールの横のボックスをクリアします。エンドポイントおよびワークロードルールの割り当てを解除するには:
- [Rule Selection]を選択します。
- [Deselect all Core Endpoint & Workload Rules]をクリックします。
- [OK] をクリックします。
エンドポイントとワークロードのコアルールを自動的に割り当てる
Server & Workload Protectionは、ルールの更新が発生したときに、このポリシーにコアエンドポイントおよびワークロードルールを割り当てます。ただし、手動で割り当て解除されたコアエンドポイントおよびワークロードルールは割り当て解除されたままです。
[Endpoint license]がある場合はこの機能を有効にしますが、[Workload license]の場合はこの機能を無効にして、代わりに推奨スキャンを使用してください。
手順
- [ポリシー]ページでポリシーを右クリックし、[詳細]を選択します。
- を選択します。ポリシーに割り当てられたルールは[現在割り当てられている侵入防御ルール]リストに表示されます。
- [はい]を[Implement core Endpoint & Workload rules automatically]に選択します。
- [保存] をクリックします。
アップデートされた必須ルールを自動割り当てする
セキュリティアップデートには、新しいまたは更新されたアプリケーションタイプやIPSルールが含まれることがあり、二次IPSルールの割り当てが必要です。Server & Workload Protectionはこれらの必要なルールを自動的に割り当てることができます。ポリシーまたはコンピュータのプロパティでこれらの自動割り当てを有効にしてください。
手順
- ポリシーページでポリシーを右クリックし、[詳細]を選択します。
- を選択します。
- [ルールアップデート]領域で、[はい]を選択します。
- [OK] をクリックします。
ルールにイベントログを設定する
ルールのログイベントを構成し、ログにパケットデータを含めるかどうかを指定します。
Server & Workload Protectionは、パケットデータに含まれている場合、IPSイベントでX-Forwarded-Forヘッダーを表示できます。この情報は、エージェントがロードバランサーやプロキシの背後にある場合に役立ちます。X-Forwarded-Forヘッダーデータはイベントのプロパティウィンドウに表示されます。ヘッダーデータを含めるには、ログにパケットデータを含め、ルール1006540、X-Forwarded-For
HTTPヘッダーロギングを有効にするを割り当てます。
ルールがイベントをトリガーするたびにすべてのパケットデータを記録するのは非現実的であるため、Server & Workload Protectionは指定された時間内にイベントが初めて発生したときのみデータを記録します。デフォルトの時間は5分ですが、ポリシーの高度なネットワークエンジンの設定の[1つのパケットデータのみをログに記録する期間]を使用してこれを変更できます。
以下の手順の構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- クリック 。
- ルールを選択して[プロパティ]をクリックしてください。
- [イベント]の[一般]タブで、次のオプションから選択してください:
-
ルールのログ記録を無効にするには、[イベントログの無効化]を選択します。
-
パケットがドロップまたはブロックされたときにイベントを記録するには、[Generate Event on Packet Drop]を選択します。
-
ログエントリにパケットデータを含めるには、[常にパケットデータを含める]を選択します。
-
検出されたパケットの前後に複数のパケットをログに記録するには、[デバッグモードを有効にする]を選択します。デバッグモードは、サポートプロバイダの指示がある場合にのみ使用してください。
-
- ログにパケットデータを含めるには、ルールがパケットデータをキャプチャすることを許可します:
- ポリシーページで、ポリシーを開きます。
- を選択します。
- [イベントデータ]の下で、[はい]を選択します。
アラートを生成する
侵入防御ルールがイベントをトリガした場合にアラートを生成します。
以下の手順の構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- を選択します。
- ルールを選択します。
- [プロパティ]をクリックします。
- [オプション] タブをクリックします。
- [警告]については、[オン]を選択してください
- [OK] をクリックします。
設定オプションを設定する (トレンドマイクロのルールのみ)
トレンドマイクロが提供するいくつかのIPSルールには、ヘッダーの長さ、HTTPの許可される拡張子、またはクッキーの長さなどの設定オプションがあります。いくつかのオプションは設定が必要です。必要なオプションを設定せずにルールを割り当てると、必要なオプションについての警告が表示されます。これは、セキュリティアップデートからのルールにも適用されます。
IPSルールリストは、アイコン (
) の上に小さなギアを表示することで、設定オプションがあるルールを示します。
) の上に小さなギアを表示することで、設定オプションがあるルールを示します。カスタムIPSルールには、ルールを編集するための[ルール]タブが含まれています。
以下の手順の構成はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- を選択します。
- ルールを選択して[プロパティ]をクリックしてください。
- [設定]タブをクリックします。
- プロパティを構成します。
- [OK] をクリックします。
有効な時間を予約する
侵入防止ルールが有効になる時間をスケジュールします。スケジュールされた時間にのみ有効な侵入防止ルールは、アイコンに小さな時計が表示されているIPSルールページに表示されます
(
)。
)。エージェントベースの保護では、スケジュールはエンドポイントOSと同じタイムゾーンを使用します。
次の手順で行う設定は、すべてのポリシーに影響します。1つのポリシーに対してルールを設定するには、ルールとアプリケーションタイプの設定を上書きするを参照してください。
手順
- を選択します。
- ルールを選択して[プロパティ]をクリックしてください。
- [オプション] タブをクリックします。
- [予約]の下で、次のいずれかを選択してください:
- [新規]
- 周波数
- スケジュールを編集する。
- [OK] をクリックします。
推奨設定から除外する
推奨スキャンのルール推奨からIPSルールを除外します。
次の手順はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- を選択します。
- ルールを選択して[プロパティ]をクリックしてください。
- [オプション] タブをクリックします。
- [Recommendations Options]の下で、[推奨設定から除外]を選択します。
- [OK] をクリックします。
ルールのコンテキストを設定する
ルールが適用されるコンテキストを設定します。
次の手順はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- クリック 。
- ルールを選択し、 [プロパティ]をクリックします。
- [オプション] タブをクリックします。
- [コンテキスト] 領域で、 [新規] を選択するか、コンテキストを選択します。
- 必要に応じてコンテキストを編集します。
- [OK]をクリックします。
ルールの動作モードをオーバーライドする
新しいルールをテストする際には、IPSルールの動作モードを検出に設定してください。検出モードでは、ルールは検出のみ:という前置きのあるログエントリを作成し、トラフィックには干渉しません。一部のIPSルールは検出モードでのみ動作します。これらのルールの動作モードを変更することはできません。ルールのログ記録を無効にすると、動作モードに関係なくシステムはルールの活動をログに記録しません。動作モードの詳細については、ルールをテストするための動作モードの使用を参照してください。
次の手順はすべてのポリシーに影響します。1つのポリシーに対してルールを構成するには、ルールとアプリケーションタイプの構成を上書きするを参照してください。
手順
- を選択します。
- ルールを選択して[プロパティ]をクリックしてください。
- [検出のみ]を選択します。
ルールおよびアプリケーションの種類の設定をオーバーライドする
コンピュータまたはポリシーエディタから、IPSルールを編集して、そのポリシーまたはコンピュータにのみ変更を適用することができます。また、ルールを編集して、他のポリシーやそのルールが割り当てられているコンピュータに影響を与えるようにグローバルに変更を適用することもできます。同様に、アプリケーションタイプをグローバルに適用するか、単一のポリシーまたはコンピュータに適用するように構成することができます。
手順
- [ポリシー]ページでポリシーを右クリックし、[詳細]を選択します。
- [侵入防御]をクリックします。
- ルールを編集するには、ルールを右クリックして次のオプションのいずれかを選択します:
-
[プロパティ]でポリシーのルールのみを編集
-
[Properties (Global)]ですべてのポリシーとコンピューターのルールを編集
ヒント
ルールを選択して[プロパティ]をクリックすると、そのポリシーのルールのみを編集しています。 -
- ルールのアプリケーションタイプを編集するには、ルールを右クリックし、次のオプションのいずれかを選択します:
-
[アプリケーションの種類プロパティ]を使用して、ポリシーのアプリケーションタイプのみを編集します
-
[Application Type Properties (Global)]を使用して、すべてのポリシーおよびコンピューターのアプリケーションタイプを編集します
注意
1つのポートに最大8つのアプリケーションタイプを割り当てることができます。8つを超えると、そのポートでルールが機能しなくなります。 -
- [OK] をクリックします。
エクスポートルール
IPSルールをXMLまたはCSVファイルにエクスポートできます。
手順
- を選択します。
- 特定のルールをエクスポートするには、ルールを選択してください。何も選択しない場合、エクスポートにはすべてのルールが含まれます。
- 次のいずれかを実行します。
- CSVファイルの場合は、を選択します。
- XMLファイルの場合は、を選択します。
インポートルール
XMLファイルからIPSルールをインポートできます。
手順
- を選択し、ウィザードの指示に従ってください。