ビュー:
IPSを有効にして、検出モードを使用してネットワークトラフィックのエクスプロイトをモニタします。IPSルールの割り当てに満足したら、予防モードに切り替えます。
注意
注意
侵入防止システム (IPS) の構成は、中央処理装置 (CPU) やランダムアクセスメモリ (RAM) などのシステムリソースに影響を与えます。エージェント上のIPSのパフォーマンスを最適化するには、侵入防止のパフォーマンスのヒントを参照してください。
IPSの概要については、IPSを使用して脆弱性悪用の試行をブロックするを参照してください。

検出モードで侵入防御を有効にする 親トピック

侵入防御を有効にし、監視に検出モードを使用します。適切なポリシーを使用して侵入防御を設定し、対象のコンピュータに影響を与えます。個々のコンピュータを設定することもできます。
より細かい制御を行うためにIPSルールを割り当てる際、グローバル動作モードを上書きして、特定のルールを防止または検出するように設定できます。ルールの動作モードを上書きするを参照してください。

手順

  1. [コンピュータまたはポリシーエディタ][侵入防御][一般]に移動します。
  2. [設定]について、次のいずれかを選択してください:
  3. [検出]を選択して[侵入防御の動作]を行います。
    コンテナの侵入防御を有効にする方法については、侵入防御設定の適用を参照してください。
    動作設定が利用できない場合は、 [ネットワークエンジンモード][タップ]に設定されている可能性があります。 (「 配信前にファイアウォールルールをテストする.)
  4. [保存] をクリックします。

コアエンドポイントとワークロードルールの自動適用を有効にする 親トピック

Server & Workload Protectionは、ルールの更新が発生するたびに、このコンピュータにコアエンドポイントおよびワークロードルールを割り当てます。ただし、手動で割り当て解除されたルールは割り当て解除されたままです。
トレンドマイクロは、[Endpoint license]がある場合にこの機能を有効にすることをお勧めしますが、この機能を無効にして、[Workload license]を使用して推奨スキャンを使用することをお勧めします。

手順

  1. [Implement core Endpoint & Workload rules automatically][はい]を選択してください。
  2. [保存] をクリックします。

侵入防御のテスト 親トピック

続行する前にIPSが正常に動作していることを確認してください。

手順

  1. エージェントベースの展開を行っている場合、エージェントが実行されているコンピュータがあることを確認してください。
  2. Webレピュテーションをオフにして、IPSへの干渉を防ぎます。
    1. Server & Workload Protectionコンソールで、[コンピュータ]をクリックします。
    2. テストする予定のコンピュータをダブルクリックしてIPSを実行します。
    3. Click Web Reputation.
    4. [オフ]を選択
  3. 悪質なトラフィックをブロックする:
    1. [侵入防御]をクリックしてコンピュータを選択してください。
    2. 一般タブで、[防御]を選択します。
      [防御]が利用できない場合、[設定][継承 (オン)]に設定してください。
  4. ヨーロッパコンピュータウイルス対策研究所 (EICAR) テストポリシーを割り当てる:
    1. [侵入防御]をクリックしてコンピュータを選択してください。
    2. [割り当て/割り当て解除]をクリックします。
    3. 1005924を検索してください。
    4. [1005924 - Restrict Download of EICAR Test File Over HTTP]を選択してください。
    5. [OK] をクリックします。
  5. EICARファイルをダウンロードしてみてください。IPSがこのファイルのダウンロードを阻止するはずです。
  6. このコンピュータの侵入防御イベントを確認してください:
    1. コンピュータのために[Intrusion Prevention ][ Intrusion Prevention Events]を選択してください。
    2. [イベントの取得]をクリックして、最後のハートビート以降に発生したイベントを確認してください。
    3. [理由]として[1005924 - Restrict Download of EICAR Test File Over HTTP]のイベントを探してください。このイベントが存在することは、IPSが機能していることを示します。
  7. 変更を元に戻してシステムを以前の状態に戻します:
    1. Webレピュテーションをオンにする。
    2. [防御]または[検出]オプションをリセットしてください。
    3. EICARポリシーをコンピュータから削除

推奨ルールを適用する 親トピック

パフォーマンスを最大化するために、ポリシーとコンピュータが必要とするIPSルールのみを割り当ててください。推奨スキャンを使用して、適切なルールのリストを取得します。推奨スキャンは特定のコンピュータに対して実行されますが、そのコンピュータが使用するポリシーに推奨事項を割り当てることができます。また、Server & Workload Protectionを構成して推奨事項を自動的に実装するスキャン結果を設定することもできます。

手順

  1. コンピュータのプロパティを開く。
  2. 推奨事項の[一般]タブで、[推奨設定の検索]をクリックします。
  3. ルールを割り当てたいポリシーを開き、ルールの割り当てを完了します (ルールを手動で割り当てるを参照)。

次に進む前に

IPSルールを適用した後、システムパフォーマンスとIPSイベントログをモニタしてください。システムパフォーマンスが許容範囲内であることを確認するために、CPU、RAM、およびネットワーク使用量をモニタしてください。そうでない場合は、パフォーマンスを向上させるためにいくつかの設定や展開の側面を変更することができます。(IPSのパフォーマンス向上のヒントを参照してください。)

侵入防御イベントを確認する 親トピック

侵入防御イベントを監視して、ルールが正規のネットワークトラフィックと一致していないことを確認します。ルールによって誤検出が発生している場合は、ルールの割り当てを解除できます。 (「ルールの割り当てと割り当て解除.)

手順

  • 侵入防御イベントを表示するには、[イベントとレポート] [侵入防御イベント]

パケットまたはシステム障害に対して[fail open]を有効にする 親トピック

IPSには、IPSルールが適用される前にパケットをブロックする可能性のあるネットワークエンジンが含まれています。これにより、パフォーマンスの問題が発生する可能性があります。システムや内部パケットの障害が発生した場合にパケットを許可するようにこの動作を変更できます。詳細については、[fail open]動作を有効にするを参照してください。

防御モードに切り替える 親トピック

Intrusion Preventionが誤検知をしていないことを確認したら、ポリシーを設定してIntrusion Preventionを防止モードで使用し、ルールを適用して関連するイベントを記録してください。

手順

  1. [コンピュータまたはポリシーエディタ][侵入防御][一般]に移動します。
  2. [防御][侵入防御の動作]に選択してください。
  3. [保存]をクリックします。

HTTPプロトコルデコードルール 親トピック

HTTPプロトコルデコードルールは、Webサーバ共通アプリケーションタイプにおいて最も重要なルールです。このルールは、他のルールが検査する前にHTTPトラフィックをデコードします。また、このルールにより、デコードプロセスのさまざまなコンポーネントを制御することができます。
このルールは、Webアプリケーション共通またはWebサーバ共通のルールを使用する際に必要です。Server & Workload Protectionは、他のルールによって必要とされる場合に自動的にこのルールを割り当てます。各Webアプリケーションは異なるため、このルールを使用するポリシーは、[防御]モードに切り替える前に、[検出]モードで一定期間実行して、設定変更が必要かどうかを判断する必要があります。違法文字のリストに変更が必要な場合がよくあります。ルールの調整方法の詳細については、ナレッジベースを参照してください。

クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール 親トピック

最も一般的なアプリケーションレイヤ攻撃は、SQLインジェクションとクロスサイトスクリプティング (XSS) の2つです。クロスサイトスクリプティングおよびSQLインジェクションルールは、初期設定で大部分の攻撃を遮断しますが、誤検出の原因となる特定のリソースのドロップスコアを調整する必要がある場合があります。
どちらのルールも、Webサーバのカスタム設定が必要なスマートフィルタです。 Webアプリケーション脆弱性検索ツールからの出力がある場合は、保護を適用するときにその情報を活用する必要があります。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、SQLインジェクションルールがそのパラメータを監視するように設定されていることを確認します。
詳細については、https://success.trendmicro.com/en-us/solution/ka-0003649をご覧ください