侵入防御モジュールは、既知の脆弱性攻撃やゼロデイ脆弱性攻撃、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性からコンピュータを保護します。
アプリケーションまたはオペレーティングシステムの既知の脆弱性に対するパッチが利用できない場合、侵入防御ルールは、その脆弱性を悪用しようとするトラフィックを遮断できます。ネットワークにアクセスしている不正なソフトウェアを識別し、ネットワークにアクセスしているアプリケーションの可視性や制御を強化します。したがって、脆弱性を修正するパッチがリリース、テスト、および配信されるまで、コンピュータは保護されます。
Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティング (XSS) などの脆弱性があるWebアプリケーションも保護できます。このようにして、侵入防御をLightweight
Web Application Firewall (WAF) として使用することもできます。
IPSを有効にして設定するには、IPSのセットアップを参照してください。
 |
注意IPSがサポートされているオペレーティングシステムの一覧については、プラットフォーム別サポート機能を参照してください。
|
侵入防御ルール
侵入防御ルールは、ペイロードセッションとネットワークパケットのアプリケーションレイヤ (DNS、HTTP、SSL、SMTPなど) と比較する一連の条件、および上位レイヤプロトコルに応じたこれらのパケットの順序を定義します。
 |
ヒントファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。
|
エージェントがネットワークトラフィックを検索し、そのトラフィックがルールの一致条件を満たした場合、エージェントはそのトラフィックを可能性のある攻撃または確認済みの攻撃として処理し、ルールに応じて次のいずれかの処理を実行します。
- パケットの完全な破棄
- 接続のリセット
侵入防御ルールがポリシーとコンピュータに割り当てられます。したがって、使用するポリシーに基づいてコンピュータのグループにルールセットを適用し、必要に応じてポリシーを上書きできます。
(「ポリシー、継承、およびオーバーライド.)
ルールの機能に影響を与える方法については、IPSルールの設定を参照してください。
アプリケーションの種類
アプリケーションの種類は、関連付けられているアプリケーション別にルールを編成します。アプリケーションの種類には、通信に使用されるプロトコルやポート番号など、必要に応じてルールが参照できるプロパティ値も格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、アプリケーションの種類が「データベース
Microsoft SQL」には、Microsoft SQL Serverに関連付けられたルールが含まれます。このアプリケーションの種類を設定して、データベースへの接続に使用するポートを指定できます。
詳細については、アプリケーションの種類を参照してください。
ルールアップデート
トレンドマイクロは、アプリケーションの脆弱性が発見されると、IPSルールを作成します。コンポーネントの更新には、新しいまたは更新されたルールやアプリケーションタイプが含まれる場合があります。ルールがすでにポリシーに割り当てられており、更新に割り当てられたルールが依存するルールが含まれている場合、更新されたルールを自動的に割り当てることを選択できます。
|
ヒントトレンドマイクロの侵入防御ルールには、保護対象の脆弱性に関する情報が含まれています。
|
トレンドマイクロの侵入防御ルールは、Server & Workload Protectionコンソール。ただし、一部のルールは構成可能であり、一部のルールは構成が必要です。 (見る構成オプションの設定 (トレンドマイクロルールのみ) 。)
推奨設定の検索
推奨スキャンを使用して、ポリシーやコンピューターに割り当てるべきIPSルールを発見できます。
|
注意推奨設定の検索を実行するには、ワークロードのライセンスが必要です。
|
動作モードを使用してルールをテストする
侵入防御は、検出モードまたは防御モードのいずれかで動作します。
- [検出]: 侵入防御はルールを使用して一致するトラフィックを検出し、イベントを生成しますが、トラフィックはブロックしません。検出モードは、侵入防御ルールが正規のトラフィックを妨害していないことをテストする場合に便利です。
- [防御]: 侵入防御では、ルールを使用して一致するトラフィックを検出し、イベントを生成し、トラフィックをブロックして攻撃を防ぎます。
新しい侵入防御ルールを初めて適用するときは、検出モードを使用して、通常のトラフィックを誤ってブロックしていないことを確認します (誤検出)。誤検出が発生していないことが確認できたら、防御モードを使用してルールを適用し、攻撃をブロックできます。
(「検出モードで侵入防御を有効にするそして防御モードに切り替える.)
|
ヒント侵入防御を検出モードで使用するのと同様に、Server & Workload Protectionネットワーク エンジンはテスト目的でタップ モードで実行できます。タップ モードでは、侵入防御はルールに一致するトラフィックを検出してイベントを生成しますが、トラフィックはブロックしません。また、タップ
モードはファイアウォール モジュールと Web レピュテーション モジュールに影響します。検出モードを使用して、侵入防御ルールを個別にテストできます。タップ モードがファイアウォール
ルールのテストに使用されるのと同じ方法で、侵入防御でタップ モードを使用します。見るファイアウォールルールを導入する前にテストする。
|
ルールの動作モードをオーバーライドする
個々のルールに対して検出モードを選択することで、コンピュータまたはポリシーレベルで設定された防御モードの動作を選択的に無効にできます。これは、ポリシーまたはコンピュータに適用される新しい侵入防御ルールをテストする場合に役立ちます。たとえば、侵入防御が防御モードで動作するようにポリシーが設定されている場合、個々のルールを検出モードに設定することで、そのルールの防御モードの動作をバイパスできます。そのルールについてのみ、侵入防御はトラフィックをログに記録し、ポリシーの動作モードを上書きしない他のルールを適用します。
(「ルールの動作モードをオーバーライドする.)
|
注意コンピュータレベルまたはポリシーレベルの防御モードは、矛盾するルール設定によってオーバーライドできますが、検出モードはオーバーライドできません。コンピュータレベルまたはポリシーレベルで検出モードを選択すると、ルールの設定に関係なく、検出モードの動作が適用されます。
|
トレンドマイクロが発行する一部のルールでは、初期設定で検出モードが使用されます。たとえば、メールクライアントルールは通常、検出モードを使用します。これは、防御モードではすべてのメールのダウンロードがブロックされるためです。一部のルールでは、条件が大量に発生した場合、または一定期間内に特定の回数だけ発生した場合にのみアラートがトリガーされます。これらの種類のルールは、不審な動作を構成するトラフィックに適用されるのは、条件が繰り返し発生し、条件が1回でも正常と見なされる場合のみです。
 |
警告ルールの設定が必要な場合に正規のトラフィックをブロックしてネットワークサービスを中断しないようにするには、ルールの設定が完了するまでルールを検出モードのままにしておきます。設定とテストを行った後でのみ、ルールを防御モードに切り替えます。
|
侵入防御イベント
デフォルトでは、Server & Workload Protectionハートビートごとにエージェントからファイアウォールと侵入防御のイベント ログを収集します。によって収集されると、Server & Workload Protection 、イベント ログは構成可能な期間保存されます。デフォルト設定は 1 週間です。必要に応じて、個々のルールのイベント ログを構成できます。 (見るルールのイベントログを構成する。)
イベントタグ付けはイベントを整理するのに役立ちます。イベントに手動でタグを適用するか、自動的にタグを付けることができます。また、自動タグ付け機能を使用して、複数のイベントをグループ化してラベル付けすることもできます。イベントタグ付けの詳細については、イベントを識別してグループ化するためのタグの適用を参照してください。
安全な接続のサポート
侵入防御モジュールは、安全な接続を介したパケットの検査をサポートします。参照TLSトラフィックの検査。
コンテキスト
コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する強力な方法です。通常、コンテキストを使用して、コンピュータ (通常はモバイルラップトップ)
がオフィスにあるかどうかに応じて異なるファイアウォールルールと侵入防御ルールをコンピュータに適用するポリシーを作成します。
コンピュータの場所を特定するために、コンテキストはコンピュータのドメインコントローラへの接続の性質を調べます。詳細については、ポリシーのコンテキストを定義するを参照してください。
インタフェースのタグ付け
コンピュータに複数のネットワークインタフェースがある場合に、ファイアウォールルールまたは侵入防御ルールを特定のインタフェースに割り当てる必要がある場合は、インタフェースの種類を使用できます。初期設定では、ファイアウォールルールと侵入防御ルールはコンピュータ上のすべてのインタフェースに割り当てられます。たとえば、ワイヤレスネットワークインタフェースにのみ特別なルールを適用するには、インタフェースの種類を使用します。詳細については、複数のインタフェースのポリシーを設定する。