ポリシーで使用する侵入防御ルールの定義

ファイアウォールポリシーがパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認するのに対して、侵入防御システム (IPS) ルールは、パケットのセッション層およびアプリケーション層 (DNS、HTTP、SSL、SMTPなど) のペイロードと、これら上位層のプロトコルに従ってパケットのシーケンスを確認します。ルールを設定してIPSを有効にすると、Deep Security AgentはIPSルールを使用してトラフィックを検索します。トラフィックがIPSルールの一致条件を満たしている場合、Agentはそのトラフィックを予想されるまたは確認済みの攻撃とみなし、設定された処理を実行します (定義されたバイトシーケンスまたは疑わしいバイトシーケンスの置換、パケットの完全な破棄、接続のリセットのいずれか)。

IPSの設定によって、CPUとRAMの使用率は変化します。Deep Security AgentでのIPSのパフォーマンスを最適化するには、IPSのパフォーマンスのヒントを参照してください。

侵入防御ルールのアイコン:

  • 通常の侵入防御ルール
  • スケジュールに従って動作する侵入防御ルール
  • 設定オプションがある侵入防御ルール
  • 侵入防御ルールを使用前に設定する必要がある

[侵入防御ルール] 画面では、侵入防御ルールを作成および管理できます。ツールバーまたは右クリックのショートカットメニューで、次のことを実行できます。

  • 新規侵入防御ルールを作成する ()
  • XMLファイル ([新規] メニューの下) から侵入防御ルールをインポートする ()
  • 既存の侵入防御ルールのプロパティを確認または変更する ()
  • 既存の侵入防御ルールを複製 (および変更) する ()
  • 侵入防御ルールを削除する ()
  • 1つ以上の侵入防御ルールをXMLファイルまたはCSVファイルにエクスポートする () ([エクスポート] ボタンを使用して対象をすべてエクスポートするか、リストから選択して、選択または表示された対象のみをエクスポートする)
  • [列の追加/削除] をクリックして列を追加または削除 () する。列の表示順序は、列を表示する位置にドラッグして変更できます。一覧表示されたアイテムは、列の内容でソートおよび検索できます。

[新規] () または [プロパティ] () をクリックして、[侵入防御ルールのプロパティ] 画面を表示します。

[設定] タブを確認します。トレンドマイクロが提供する侵入防御ルールは、Deep Security Managerを使用して直接編集することはできません。その代わり、侵入防御ルールに設定が必要な場合や設定が可能な場合は、[設定] タブの設定オプションを使用します。ユーザ自身で作成したカスタム侵入防御ルールは、[ルール] タブが表示され、直接編集可能です。

一般情報

  • 名前: 侵入防御ルールの名前。
  • 説明: 侵入防御ルールの説明。
  • 最小Agent/Applianceバージョン: 侵入防御ルールを実装するのに最小限必要なDeep Security AgentまたはApplianceのバージョン。

詳細

  • アプリケーションの種類: この侵入防御ルールがグループ化されるアプリケーションの種類。既存の種類を選択することも、新しい種類を作成することもできます。
    このパネルで既存の種類を編集することもできます。ここで既存のアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
  • 優先度: 侵入防御ルールの優先度。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。
  • 重要度:ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、侵入防御ルールのリストを表示するときに条件をソートする際に便利です。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。
  • CVSSスコア:脆弱性情報データベースに基づいた、脆弱性の重要度の基準。
  • 検出のみ: このチェックボックスは、新しいルールをテストするときに使用します。このチェックボックスをオンにすると、ルールは「検出のみ:」という言葉で始まるログエントリを作成しますが、トラフィックに干渉しません。後述する次のパネルの [ログの無効化] チェックボックスをオンにすると、[検出のみ] がオンかオフかにかかわらず、ルールの処理がログに記録されなくなります。
    一部の侵入防御ルールは、「検出のみ」モードでのみ動作するように設計されており、トラフィックをブロックするように設定することはできません。これらのルールは「検出のみ」に設定され、変更できません。

イベント

  • イベントログの無効化: イベントログを無効にする場合はオンにします。
    • パケット破棄時にイベントを生成: 攻撃が検出されてパケットが破棄またはブロックされた場合に、ログに記録します。
    • 常にパケットデータを含める: ログエントリにパケットデータを含めます。フォレンジック分析や誤判定のトラブルシューティングに役立ちます。
    • デバッグモードを有効にする: ルールに一致したパケットの前後の複数のパケットをログに記録します。このオプションを有効にするとパフォーマンスが低下するため、サポート担当者から依頼があった場合にのみ有効にすることをお勧めします。
パケットデータにX-Forwarded-Forヘッダが含まれている場合、Deep Securityの侵入防御イベントでこのヘッダを表示できます。このヘッダの情報は、Deep Security Agentをロードバランサまたはプロキシの背後に配置している場合に役立ちます。X-Forwarded-Forヘッダが含まれている場合、イベントの [プロパティ] 画面に表示されます。この機能を有効にするには、[常にパケットデータを含める] オプションを選択する必要があります。また、ルール1006540 [X-Forwarded-For HTTPヘッダのログを有効にする] も有効にする必要があります。

ID (トレンドマイクロのルールにのみ表示)

  • 種類: [スマート] (1つ以上の既知または不明なゼロデイの脆弱性)、[攻撃コード] (通常、署名ベースの攻撃コード) または [脆弱性] (1つ以上の攻撃コードが存在する可能性のある特定の脆弱性) のいずれかになります。
  • 発行日: ルールがリリースされた日付 (ダウンロードされた日付ではありません)。
  • 前回のアップデート: ローカルで、またはセキュリティアップデートのダウンロード中に、ルールが変更された前回の日時。
  • 識別子: ルールに一意の識別子タグ。

脆弱性 (トレンドマイクロのルールにのみ表示)

この特定の脆弱性に関する情報を表示します。適用可能な場合は、共通脆弱性評価システム (CVSS) が表示されます(この評価システムの詳細は、脆弱性情報データベースのCVSSページを参照してください)。

設定 (トレンドマイクロのルールにのみ表示)

  • 設定オプション: ダウンロードされたルールに設定可能なオプションがある場合は、ここに表示されます。オプションの例としては、ヘッダ長、HTTPで許可された拡張子、Cookie長などがあります。必要なオプションを設定しないでルールを適用した場合、アラートがトリガされ、設定が必要なコンピュータのルールが示されます(これは、セキュリティアップデートによってダウンロードされ自動的に適用されたルールにも適用されます)。
設定オプションのある侵入防御ルールは [侵入防御ルール] 画面に表示され、アイコンには小さな歯車が付きます

ルールの表示 (カスタム侵入防御ルールのみ利用可能)

トレンドマイクロによって機密とマークされていない侵入防御ルールでは、[ルールの表示] ボタンを利用できます。

アラート

この侵入防御ルールがトリガされたときに、アラートをトリガする必要があるかどうかを選択します。このルールを特定の期間だけ有効にする場合は、リストからスケジュールを割り当てます。

スケジュール

予約された時間のみ侵入防御ルールを有効化するかどうかを選択します。

予約された侵入防御ルールは、[侵入防御ルール] 画面に時計マークが付いたアイコンで表示されま。
Agentベースの保護では、スケジュールで保護対象のエンドポイントと同じタイムゾーンが使用されます。Agentレスによる保護では、Deep Security Virtual Applianceと同じタイムゾーンが使用されます。

コンテキスト

コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。コンテキストは一般的に、コンピュータ (通常はモバイルノートパソコン) が社内または社外にあるかどうかで異なるファイアウォールや侵入防御ルールを適用するポリシーを作成するために使用します。

コンテキストは、ファイアウォールルールおよび侵入防御ルールと関連付けられるよう設計されています。ルールに関連付けられたコンテキストの定義条件に一致した場合、ルールは適用されます。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。コンテキストの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[コンテキスト] を参照してください。

推奨オプション

このオプションは、推奨設定の検索で作成されたルールの推奨から侵入防御ルールを除外するときに使用します。

割り当て対象

このタブには、この侵入防御ルールが割り当てられているコンピュータとポリシーのリストが表示されます。