侵入防御モジュールは、既知の脆弱性攻撃やゼロデイ脆弱性攻撃、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性からコンピュータを保護します。
アプリケーションまたはオペレーティングシステムの既知の脆弱性に対するパッチが利用できない場合、侵入防御ルールは、その脆弱性を悪用しようとするトラフィックを遮断できます。ネットワークにアクセスしている不正なソフトウェアを識別し、ネットワークにアクセスしているアプリケーションの可視性や制御を強化します。したがって、脆弱性を修正するパッチがリリース、テスト、および配信されるまで、コンピュータは保護されます。
Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティング (XSS) などの脆弱性があるWebアプリケーションも保護できます。このようにして、侵入防御をLightweight
Web Application Firewall (WAF) として使用することもできます。
IPSを有効にして設定するには、IPSのセットアップを参照してください。
 |
注意IPSがサポートされているオペレーティングシステムの一覧については、プラットフォーム別サポート機能を参照してください。
|
侵入防御ルール
侵入防御ルールは、ペイロードセッションとネットワークパケットのアプリケーションレイヤ (DNS、HTTP、SSL、SMTPなど) と比較する一連の条件、および上位レイヤプロトコルに応じたこれらのパケットの順序を定義します。
 |
ヒントファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。
|
エージェントがネットワークトラフィックを検索し、そのトラフィックがルールの一致条件を満たした場合、エージェントはそのトラフィックを可能性のある攻撃または確認済みの攻撃として処理し、ルールに応じて次のいずれかの処理を実行します。
- パケットの完全な破棄
- 接続のリセット
侵入防御ルールがポリシーとコンピュータに割り当てられます。したがって、使用するポリシーに基づいてコンピュータのグループにルールセットを適用し、必要に応じてポリシーを上書きできます。
(「ポリシー、継承、およびオーバーライドを参照してください。)
ルールの機能に影響を与える方法については、IPSルールの設定を参照してください。
アプリケーションの種類
アプリケーションの種類は、関連付けられているアプリケーション別にルールを編成します。アプリケーションの種類には、通信に使用されるプロトコルやポート番号など、必要に応じてルールが参照できるプロパティ値も格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、アプリケーションの種類が「データベース
Microsoft SQL」には、Microsoft SQL Serverに関連付けられたルールが含まれます。このアプリケーションの種類を設定して、データベースへの接続に使用するポートを指定できます。
詳細については、アプリケーションの種類を参照してください。
ルールアップデート
TrendAI™ は、侵入防御ルールを作成し、アプリケーションの脆弱性を検出します。コンポーネントのアップデートには、新しいルールまたはアップデートされたルール、およびアプリケーションの種類を含めることができます。ルールがすでにポリシーに割り当てられていて、割り当てられたルールが依存するルールがアップデートに含まれる場合は、アップデートされたルールを自動的に割り当てるように選択できます。
|
ヒント侵入防御ルールには、TrendAI™が保護対象とする脆弱性に関する情報が含まれています。
|
TrendAI™のIPSルールはServer & Workload Protectionコンソールから直接編集することはできません。ただし、一部のルールは設定可能であり、一部のルールは設定が必要です。(設定オプションの設定 (TrendAI™ルールのみ)を参照してください。)
推奨設定の検索
推奨スキャンを使用して、ポリシーやコンピューターに割り当てるべきIPSルールを発見できます。
|
注意推奨設定の検索を実行するには、ワークロードのライセンスが必要です。
|
動作モードを使用してルールをテストする
侵入防御は、検出モードまたは防御モードのいずれかで動作します。
- [検出]: 侵入防御はルールを使用して一致するトラフィックを検出し、イベントを生成しますが、トラフィックはブロックしません。検出モードは、侵入防御ルールが正規のトラフィックを妨害していないことをテストする場合に便利です。
- [防御]: 侵入防御では、ルールを使用して一致するトラフィックを検出し、イベントを生成し、トラフィックをブロックして攻撃を防ぎます。
新しい侵入防御ルールを初めて適用するときは、検出モードを使用して、通常のトラフィックを誤ってブロックしていないことを確認します (誤検出)。誤検出が発生していないことが確認できたら、防御モードを使用してルールを適用し、攻撃をブロックできます。
(「検出モードで侵入防御を有効にするそして防御モードに切り替える.)
|
ヒント侵入防御を検出モードで使用するのと同様に、Server & Workload Protectionネットワーク エンジンはテスト目的でタップ モードで実行できます。タップ モードでは、侵入防御はルールに一致するトラフィックを検出してイベントを生成しますが、トラフィックはブロックしません。また、タップ
モードはファイアウォール モジュールと Web レピュテーション モジュールに影響します。検出モードを使用して、侵入防御ルールを個別にテストできます。タップ モードがファイアウォール
ルールのテストに使用されるのと同じ方法で、侵入防御でタップ モードを使用します。見るファイアウォールルールを導入する前にテストする。
|
ルールの動作モードをオーバーライドする
個々のルールに対して検出モードを選択することで、コンピュータまたはポリシーレベルで設定された防御モードの動作を選択的に無効にできます。これは、ポリシーまたはコンピュータに適用される新しい侵入防御ルールをテストする場合に役立ちます。たとえば、侵入防御が防御モードで動作するようにポリシーが設定されている場合、個々のルールを検出モードに設定することで、そのルールの防御モードの動作をバイパスできます。そのルールについてのみ、侵入防御はトラフィックをログに記録し、ポリシーの動作モードを上書きしない他のルールを適用します。
(「ルールの動作モードをオーバーライドする.)
|
注意コンピュータレベルまたはポリシーレベルの防御モードは、矛盾するルール設定によってオーバーライドできますが、検出モードはオーバーライドできません。コンピュータレベルまたはポリシーレベルで検出モードを選択すると、ルールの設定に関係なく、検出モードの動作が適用されます。
|
TrendAI™によって発行された一部のルールは、デフォルトで検出モードを使用します。例えば、メールクライアントのルールは通常、予防モードではすべてのメールのダウンロードをブロックするため、検出モードを使用します。ある条件が多数回発生した場合や、特定の期間内に一定回数発生した場合にのみアラートをトリガーするルールもあります。このタイプのルールは、条件が再発した場合にのみ不審な挙動を構成するトラフィックに適用され、条件の単一の発生は正常と見なされます。
 |
警告ルールの設定が必要な場合に正規のトラフィックをブロックしてネットワークサービスを中断しないようにするには、ルールの設定が完了するまでルールを検出モードのままにしておきます。設定とテストを行った後でのみ、ルールを防御モードに切り替えます。
|
侵入防御イベント
デフォルトでは、Server & Workload Protectionハートビートごとにエージェントからファイアウォールと侵入防御のイベント ログを収集します。によって収集されると、Server & Workload Protection 、イベント ログは構成可能な期間保存されます。デフォルト設定は 1 週間です。必要に応じて、個々のルールのイベント ログを構成できます。 (見るルールのイベントログを構成する。)
イベントタグ付けはイベントを整理するのに役立ちます。イベントに手動でタグを適用するか、自動的にタグを付けることができます。また、自動タグ付け機能を使用して、複数のイベントをグループ化してラベル付けすることもできます。イベントタグ付けの詳細については、イベントを識別してグループ化するためのタグの適用を参照してください。
安全な接続のサポート
侵入防御モジュールは、安全な接続を介したパケットの検査をサポートします。参照TLSトラフィックの検査。
コンテキスト
コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する強力な方法です。通常、コンテキストを使用して、コンピュータ (通常はモバイルラップトップ)
がオフィスにあるかどうかに応じて異なるファイアウォールルールと侵入防御ルールをコンピュータに適用するポリシーを作成します。
コンピュータの場所を特定するために、コンテキストはコンピュータのドメインコントローラへの接続の性質を調べます。詳細については、ポリシーのコンテキストを定義するを参照してください。
インタフェースのタグ付け
コンピュータに複数のネットワークインタフェースがある場合に、ファイアウォールルールまたは侵入防御ルールを特定のインタフェースに割り当てる必要がある場合は、インタフェースの種類を使用できます。初期設定では、ファイアウォールルールと侵入防御ルールはコンピュータ上のすべてのインタフェースに割り当てられます。たとえば、ワイヤレスネットワークインタフェースにのみ特別なルールを適用するには、インタフェースの種類を使用します。詳細については、複数のインタフェースのポリシーを設定する。