侵入防御の設定

侵入防御モジュールは、既知またはゼロデイの脆弱性に対する攻撃、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性からコンピュータを保護します。コードの修正が完了する前でも、脆弱性に対する攻撃にさらされないようにします。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。

IPSの設定によって、CPUとRAMの使用率は変化します。Deep Security AgentでのIPSのパフォーマンスを最適化するには、IPSのパフォーマンスのヒントを参照してください。

コンピュータエディタとポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [侵入防御] セクションには、タブで区切られた次のセクションがあります。

一般

侵入防御

侵入防御のオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするように、このポリシーまたはコンピュータを設定できます。

侵入防御の動作を「防御」または「検出」に設定します。

新規に侵入防御ルールのセットを適用する場合は、侵入防御の動作を「検出」に設定することをお勧めします。検出モードでは、侵入防御エンジンはすべてのトラフィックに同一の侵入防御ルールを適用しますが、パケットを破棄する代わりに、イベントのみをログに記録してトラフィックを通過させます。この動作により、新規の侵入防御ルールは正規のトラフィックを妨げることはありません。

この設定は、ネットワークエンジンがインラインで動作しているときのみ、つまり実際のトラフィックがDeep Securityネットワークエンジン内を流れているときのみ適用できます。インラインモード以外ではタップモードがあります。これは、実際のトラフィックをクローン化し、ネットワークエンジンではクローン化されたトラフィックのみを分析するモードです。タップモードではネットワークエンジンが実際のトラフィックストリームを制御しないので、防御モードは設定できません。

インラインモードとタップモードを切り替えるには、コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開き、[設定]→[詳細]→[ネットワークエンジンモード] の順に選択します。

現在割り当てられている侵入防御ルール

このポリシーまたはコンピュータで有効になっている侵入防御ルールを表示します。侵入防御ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。これにより、使用可能なすべての侵入防御ルールを示す画面が表示されます。ここでルールを選択したり、選択を解除したりできます。

コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。画面では、侵入防御ルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルに編集するには、ルールを選択して [プロパティ] をクリックするか、ルールを右クリックして [プロパティ] をクリックします。

ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] をクリックします。

推奨設定

Deep Securityでは、定期的に推奨設定の検索を実行できます。これは、コンピュータを検索してさまざまなセキュリティルールの適用を推奨するものです。チェックボックスをオンにすると、コンピュータに推奨ルールが自動で割り当てられ、不要なルールは自動的に外されます。

このオプションを選択する場合は、新しい侵入防御ルールの自動割り当てをDeep Securityルールアップデートに許可する必要もあります。[管理]→[システム設定]→[アップデート] に進み、[ルールアップデート] エリアの [新しいルールアップデートをポリシーに自動適用] を選択します。

定期的な推奨設定の検索を予約するには、Deep Security Managerで [管理]→[予約タスク] の順に選択し、新しい予約タスクを作成します。

詳細

イベントデータ

各ルールの最初の検出に関するデータの取り込みを侵入防御ルールに許可する (期間内): Deep Securityで、侵入防御ルールをトリガしたパケットデータを保存するかどうかを決定します。この設定は、コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[詳細]→[ネットワークエンジンの詳細設定] にある詳細なコンピュータおよびポリシーエディタの設定と連動して機能します。

  • すべてのパケットデータをログに記録する: 特定のファイアウォールルールまたは侵入防御ルールと関連しないイベントのパケットデータを記録します。つまり、「再送の破棄」や「不正なACK」などのイベントのパケットデータを記録します。
    イベントの集約によってまとめられたイベントのパケットデータは保存できません
  • 期間内で1つのパケットデータのみをログに記録する: このオプションを有効にして [すべてのパケットデータをログに記録する] を有効にしない場合、ほとんどのログにはヘッダデータのみが含まれます。パケット全体は、[1つのパケットデータのみをログに記録する期間] の指定に従って定期的に記録されます。
  • 1つのパケットデータのみをログに記録する期間: [1つのパケットデータのみをログに記録する期間] を有効にした場合、この設定にログにパケット全体のデータを含める頻度を指定できます。
  • パケットデータがキャプチャされたときに格納する最大データサイズ: ログに追加されるヘッダデータまたはパケットデータの最大サイズ。

ルールアップデート

アップデートされたアプリケーションの種類および侵入防御ルールの依存関係に応じて、新しい侵入防御ルールを自動的に割り当て: セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な、新規またはアップデートされたアプリケーションの種類や侵入防御ルールが含まれることがあります。この設定により、セキュリティアップデートの際、ポリシーまたはコンピュータに割り当てられたアプリケーションの種類や侵入防御ルールと依存関係にある侵入防御ルールが必要な場合は、Deep Securityによって新しいルールが自動的に割り当てられます。

SSL設定 (コンピュータエディタのみ)

Deep Security Managerでは、SSLトラフィックの侵入防御分析がサポートされます。ユーザは、[SSL設定] 画面を使用して、1つ以上のインタフェース上で指定された認証とポートが対になっているSSL設定を作成できます。証明書はP12またはPEM形式でインポートでき、Windowsのコンピュータでは直接Windows CryptoAPIを使用するオプションが用意されています。資格情報ファイルには、サーバの秘密鍵が含まれている必要があります。

新規にSSL設定を作成するには、[新規] をクリックしてSSL設定ウィザードの手順に従います。

設定するコンピュータがDeep Security Managerをホストするコンピュータにインストールされている場合、Deep Security Managerに格納されている資格情報をウィザードで使用できます。

既存の設定をダブルクリックして、[プロパティ] 画面を表示します。

割り当て

  • 一般情報: SSL設定の名前と説明、およびコンピュータでそのSSL設定が有効かどうかを示します。
  • インタフェースの割り当て: この設定が適用されているインタフェースです。
  • IPの割り当て: この設定を適用するIPです。
  • ポート選択: この設定を適用するポートです。

資格情報

[資格情報] タブには現在の資格情報が表示され、変更するための [新しい資格情報の割り当て] ボタンがあります。

SSLトラフィックのフィルタは、Deep Security Agentでのみサポートされます。Deep Security Virtual Applianceではサポートされません。Agentは、SSL圧縮が実装されているSSL接続のフィルタをサポートしません。

SSLフィルタの設定については、SSLトラフィックの検査を参照してください。

NSXセキュリティのタグ付け

Deep Securityでは、不正プログラムによる脅威の検出時に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。

NSXセキュリティタグはVMware vSphere NSX環境の一部です。Deep Securityのイベントタグと混同しないようにしてください。Deep Securityでのイベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

侵入防御イベントには、イベントを引き起こした侵入防御ルールの重要度によって決定される重要度があります。

侵入防御ルールの重要度は、[ルールのプロパティ]→[一般] タブで設定できます。

侵入防御ルールの重要度とNSXタグは次のように対応します。

IPSルールの重要度 NSXセキュリティタグ
重大 IDS_IPS.threat=high
IDS_IPS.threat=high
IDS_IPS.threat=medium
IDS_IPS.threat=low

タグ付けの重要度は、仮想マシンにNSXセキュリティタグが適用される侵入防御ルールの最小重要度を指定することで設定できます。

[NSXセキュリティタグの適用を開始するルール重要度] 設定のオプションは次のとおりです。

  • 初期設定 (タグを適用しない): NSXタグは適用されません。
  • 重大: 重要度が「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
  • 高: 重要度が「」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
  • 中: 重要度が「」、「」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
  • 低: 重要度が「」「」、「」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。

防御モードで動作しているルールと検出のみモードで動作しているルールでは、別々の設定が適用されます。

IPSルールが防御モードと検出のみモードのどちらで動作しているかは、侵入防御モジュール設定 (コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [侵入防御]→[一般] タブ) だけでなく、個々のルール設定 ([ルールのプロパティ]→[一般]→[詳細]) で判断されます。

イベント

セキュリティログ監視イベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。