本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
侵入防御の設定
侵入防御モジュールは、既知またはゼロデイの脆弱性に対する攻撃、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性からコンピュータを保護します。コードの修正が完了する前でも、脆弱性に対する攻撃にさらされないようにします。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。
コンピュータエディタとポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [侵入防御] セクションには、タブで区切られた次のセクションがあります。
一般
侵入防御
侵入防御のオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするように、このポリシーまたはコンピュータを設定できます。
侵入防御の動作を「防御」または「検出」に設定します。
新規に侵入防御ルールのセットを適用する場合は、侵入防御の動作を「検出」に設定することをお勧めします。検出モードでは、侵入防御エンジンはすべてのトラフィックに同一の侵入防御ルールを適用しますが、パケットを破棄する代わりに、イベントのみをログに記録してトラフィックを通過させます。この動作により、新規の侵入防御ルールは正規のトラフィックを妨げることはありません。
インラインモードとタップモードを切り替えるには、コンピュータエディタまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開き、[設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。
現在割り当てられている侵入防御ルール
このポリシーまたはコンピュータで有効になっている侵入防御ルールを表示します。侵入防御ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。これにより、使用可能なすべての侵入防御ルールを示す画面が表示されます。ここでルールを選択したり、選択を解除したりできます。
コンピュータエディタまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。画面では、侵入防御ルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。
ルールをローカルに編集するには、ルールを選択して [プロパティ] をクリックするか、ルールを右クリックして [プロパティ] をクリックします。
ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] をクリックします。
推奨設定
Deep Securityでは、定期的に推奨設定の検索を実行できます。これは、コンピュータを検索してさまざまなセキュリティルールの適用を推奨するものです。チェックボックスをオンにすると、コンピュータに推奨ルールが自動で割り当てられ、不要なルールは自動的に外されます。
定期的な推奨設定の検索を予約するには、Deep Security Managerで [管理]→[予約タスク] の順に選択し、新しい予約タスクを作成します。
詳細
イベントデータ
各ルールの最初の検出に関するデータの取り込みを侵入防御ルールに許可する (期間内): Deep Securityで、侵入防御ルールをトリガしたパケットデータを保存するかどうかを決定します。この設定は、コンピュータエディタまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[詳細]→[ネットワークエンジンの詳細設定] にある詳細なコンピュータおよびポリシーエディタの設定と連動して機能します。
- すべてのパケットデータをログに記録する: 特定のファイアウォールルールまたは侵入防御ルールと関連しないイベントのパケットデータを記録します。つまり、「再送の破棄」や「不正なACK」などのイベントのパケットデータを記録します。
イベントの集約によってまとめられたイベントのパケットデータは保存できません
- 期間内で1つのパケットデータのみをログに記録する: このオプションを有効にして [すべてのパケットデータをログに記録する] を有効にしない場合、ほとんどのログにはヘッダデータのみが含まれます。パケット全体は、[1つのパケットデータのみをログに記録する期間] の指定に従って定期的に記録されます。
- 1つのパケットデータのみをログに記録する期間: [1つのパケットデータのみをログに記録する期間] を有効にした場合、この設定にログにパケット全体のデータを含める頻度を指定できます。
- パケットデータがキャプチャされたときに格納する最大データサイズ: ログに追加されるヘッダデータまたはパケットデータの最大サイズ。
ルールアップデート
アップデートされたアプリケーションの種類および侵入防御ルールの依存関係に応じて、新しい侵入防御ルールを自動的に割り当て: セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な、新規またはアップデートされたアプリケーションの種類や侵入防御ルールが含まれることがあります。この設定により、セキュリティアップデートの際、ポリシーまたはコンピュータに割り当てられたアプリケーションの種類や侵入防御ルールと依存関係にある侵入防御ルールが必要な場合は、Deep Securityによって新しいルールが自動的に割り当てられます。
SSL設定 (コンピュータエディタのみ)
Deep Security Managerでは、SSLトラフィックの侵入防御分析がサポートされます。ユーザは、[SSL設定] 画面を使用して、1つ以上のインタフェース上で指定された認証とポートが対になっているSSL設定を作成できます。証明書はP12またはPEM形式でインポートでき、Windowsのコンピュータでは直接Windows CryptoAPIを使用するオプションが用意されています。資格情報ファイルには、サーバの秘密鍵が含まれている必要があります。
新規にSSL設定を作成するには、[新規] をクリックしてSSL設定ウィザードの手順に従います。
設定するコンピュータがDeep Security Managerをホストするコンピュータにインストールされている場合、Deep Security Managerに格納されている資格情報をウィザードで使用できます。
既存の設定をダブルクリックして、[プロパティ] 画面を表示します。
割り当て
- 一般情報: SSL設定の名前と説明、およびコンピュータでそのSSL設定が有効かどうかを示します。
- インタフェースの割り当て: この設定が適用されているインタフェースです。
- IPの割り当て: この設定を適用するIPです。
- ポート選択: この設定を適用するポートです。
資格情報
[資格情報] タブには現在の資格情報が表示され、変更するための [新しい資格情報の割り当て] ボタンがあります。
SSLフィルタの設定については、SSLトラフィックの検査を参照してください。
NSXセキュリティのタグ付け
Deep Securityでは、不正プログラムによる脅威の検出時に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。
侵入防御イベントには、イベントを引き起こした侵入防御ルールの重要度によって決定される重要度があります。
侵入防御ルールの重要度とNSXタグは次のように対応します。
IPSルールの重要度 | NSXセキュリティタグ |
---|---|
重大 | IDS_IPS.threat=high |
高 | IDS_IPS.threat=high |
中 | IDS_IPS.threat=medium |
低 | IDS_IPS.threat=low |
タグ付けの重要度は、仮想マシンにNSXセキュリティタグが適用される侵入防御ルールの最小重要度を指定することで設定できます。
[NSXセキュリティタグの適用を開始するルール重要度] 設定のオプションは次のとおりです。
- 初期設定 (タグを適用しない): NSXタグは適用されません。
- 重大: 重要度が「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
- 高: 重要度が「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
- 中: 重要度が「中」、「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
- 低: 重要度が「低」「中」、「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
防御モードで動作しているルールと検出のみモードで動作しているルールでは、別々の設定が適用されます。
イベント
セキュリティログ監視イベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。