ポリシーで使用する侵入防御ルールの定義

ファイアウォールポリシーがパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認するのに対して、侵入防御システム (IPS) ルールは、パケットのセッション層およびアプリケーション層 (DNS、HTTP、SSL、SMTPなど) のペイロードと、これら上位層のプロトコルに従ってパケットのシーケンスを確認します。ルールを設定してIPSを有効にすると、Deep Security AgentはIPSルールを使用してトラフィックを検索します。トラフィックがIPSルールの一致条件を満たしている場合、Agentはそのトラフィックを予想されるまたは確認済みの攻撃とみなし、設定された処理を実行します (定義されたバイトシーケンスまたは疑わしいバイトシーケンスの置換、パケットの完全な破棄、接続のリセットのいずれか)。

侵入防御ルールのアイコン:

• 通常の侵入防御ルール
• スケジュールに従って動作する侵入防御ルール
• 設定オプションがある侵入防御ルール
• 侵入防御ルールを使用前に設定する必要がある

[侵入防御ルール] 画面では、侵入防御ルールを作成および管理できます。ツールバーまたは右クリックのショートカットメニューで、次のことを実行できます。

• 新規侵入防御ルールを作成する ()
• XMLファイル ([新規] メニューの下) から侵入防御ルールをインポートする ()
• 既存の侵入防御ルールのプロパティを確認または変更する ()
• 既存の侵入防御ルールを複製 (および変更) する ()
• 侵入防御ルールを削除する ()
• 1つ以上の侵入防御ルールをXMLファイルまたはCSVファイルにエクスポートする () ([エクスポート] ボタンを使用して対象をすべてエクスポートするか、リストから選択して、選択または表示された対象のみをエクスポートする)
• [列の追加/削除] をクリックして列を追加または削除 () する。列の表示順序は、列を表示する位置にドラッグして変更できます。一覧表示されたアイテムは、列の内容でソートおよび検索できます。

[新規] () または [プロパティ] () をクリックして、[侵入防御ルールのプロパティ] 画面を表示します。

一般情報

• 名前: 侵入防御ルールの名前。
• 説明: 侵入防御ルールの説明。
• 最小Agent/Applianceバージョン: 侵入防御ルールを実装するのに最小限必要なDeep Security AgentまたはApplianceのバージョン。

詳細

• アプリケーションの種類: この侵入防御ルールがグループ化されるアプリケーションの種類。既存の種類を選択することも、新しい種類を作成することもできます。
  このパネルで既存の種類を編集することもできます。ここで既存のアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
• 優先度: 侵入防御ルールの優先度。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。
• 重要度:ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、侵入防御ルールのリストを表示するときに条件をソートする際に便利です。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します([管理]→[システム設定]→[ランク付け] を参照してください)。
• CVSSスコア:脆弱性情報データベースに基づいた、脆弱性の重要度の基準。
• 検出のみ: このチェックボックスは、新しいルールをテストするときに使用します。このチェックボックスをオンにすると、ルールは「検出のみ:」という言葉で始まるログエントリを作成しますが、トラフィックに干渉しません。後述する次のパネルの [ログの無効化] チェックボックスをオンにすると、[検出のみ] がオンかオフかにかかわらず、ルールの処理がログに記録されなくなります。
  一部の侵入防御ルールは、「検出のみ」モードでのみ動作するように設計されており、トラフィックをブロックするように設定することはできません。これらのルールは「検出のみ」に設定され、変更できません。

イベント

• イベントログの無効化: イベントログを無効にする場合はオンにします。
  • パケット破棄時にイベントを生成: 攻撃が検出されてパケットが破棄またはブロックされた場合に、ログに記録します。
  • 常にパケットデータを含める: ログエントリにパケットデータを含めます。フォレンジック分析や誤判定のトラブルシューティングに役立ちます。
  • デバッグモードを有効にする: ルールに一致したパケットの前後の複数のパケットをログに記録します。このオプションを有効にするとパフォーマンスが低下するため、サポート担当者から依頼があった場合にのみ有効にすることをお勧めします。

ID (トレンドマイクロのルールにのみ表示)

• 種類: [スマート] (1つ以上の既知または不明なゼロデイの脆弱性)、[攻撃コード] (通常、署名ベースの攻撃コード) または [脆弱性] (1つ以上の攻撃コードが存在する可能性のある特定の脆弱性) のいずれかになります。
• 発行日: ルールがリリースされた日付 (ダウンロードされた日付ではありません)。
• 前回のアップデート: ローカルで、またはセキュリティアップデートのダウンロード中に、ルールが変更された前回の日時。
• 識別子: ルールに一意の識別子タグ。

脆弱性 (トレンドマイクロのルールにのみ表示)

この特定の脆弱性に関する情報を表示します。適用可能な場合は、共通脆弱性評価システム (CVSS) が表示されます(この評価システムの詳細は、脆弱性情報データベースのCVSSページを参照してください)。

設定 (トレンドマイクロのルールにのみ表示)

• 設定オプション: ダウンロードされたルールに設定可能なオプションがある場合は、ここに表示されます。オプションの例としては、ヘッダ長、HTTPで許可された拡張子、Cookie長などがあります。必要なオプションを設定しないでルールを適用した場合、アラートがトリガされ、設定が必要なコンピュータのルールが示されます(これは、セキュリティアップデートによってダウンロードされ自動的に適用されたルールにも適用されます)。

ルールの表示 (カスタム侵入防御ルールのみ利用可能)

トレンドマイクロによって機密とマークされていない侵入防御ルールでは、[ルールの表示] ボタンを利用できます。

アラート

この侵入防御ルールがトリガされたときに、アラートをトリガする必要があるかどうかを選択します。このルールを特定の期間だけ有効にする場合は、リストからスケジュールを割り当てます。

スケジュール

予約された時間のみ侵入防御ルールを有効化するかどうかを選択します。

コンテキスト

コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。コンテキストは一般的に、コンピュータ (通常はモバイルノートパソコン) が社内または社外にあるかどうかで異なるファイアウォールや侵入防御ルールを適用するポリシーを作成するために使用します。

コンテキストは、ファイアウォールルールおよび侵入防御ルールと関連付けられるよう設計されています。ルールに関連付けられたコンテキストの定義条件に一致した場合、ルールは適用されます。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。コンテキストの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[コンテキスト] を参照してください。

推奨オプション

このオプションは、推奨設定の検索で作成されたルールの推奨から侵入防御ルールを除外するときに使用します。

割り当て対象

このタブには、この侵入防御ルールが割り当てられているコンピュータとポリシーのリストが表示されます。