Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
回避技術対策の設定
回避技術対策の設定では、分析を回避しようとする異常なパケットに対するネットワークエンジンによる処理を管理します。回避技術対策の設定は、ポリシーまたは個々のコンピュータで設定されます。セキュリティモード設定は、侵入防御がパケットをどの程度厳密に分析するかを管理し、次のいずれかの値に設定できます。
- 標準: 誤検出が発生しないように侵入防御ルールの回避を防ぎます。これが初期設定値です。
- 厳格: 標準モードよりも厳密なチェックが行われますが、誤検出が発生する場合があります。厳密モードは侵入テストに役立ちますが、通常の状況下では有効にしないでください。
- カスタム: [カスタム] を選択すると、追加設定が可能になり、問題のあるパケットのDeep Securityでの処理方法を指定できます。この設定では、許可 (Deep Securityはパケットをシステムに送信します)、ログ記録のみ ([許可] と同じ処理をしますが、イベントをログに記録します)、拒否 (Deep Securityはパケットを破棄し、イベントをログに記録します)、または拒否 (ログに記録しない) ([拒否] と同じ処理を行いますが、イベントをログに記録しません) を選ぶことができます (TCP PAWSウィンドウでは上記のオプションは選べません)。
Deep Security 10.1以前のバージョンでモードを「カスタム」に変更した場合は、回避技術対策設定のすべての初期設定値が「拒否」に設定されていました。これにより、ブロックイベントが大幅に増加しました。Deep Security 10.2では、初期設定のカスタム値が次の表のように変更されています。
| 設定 | 説明 | 標準値 | 厳格値 | 初期設定のカスタム値 (10.2より前) | 初期設定のカスタム値 (10.2以降) |
|---|---|---|---|---|---|
| 無効なTCPタイムスタンプ | TCPタイムスタンプが古い場合の処理 | |
拒否 (ログに記録) | 拒否 (ログに記録) | |
| TCP PAWSウィンドウ | パケットにはタイムスタンプが付加されている場合があります。パケットのタイムスタンプが、それ以前に受信したタイムスタンプよりも古い場合、不審なタイムスタンプが使用されている可能性があります。タイムスタンプの差異についての許容度は、OSによって異なります。Windowsシステムの場合、0を選択してください (パケットのタイムスタンプが、それ以前のパケットと同じ、もしくは新しい場合、システムがパケットを受容します)。Linuxシステムの場合は、1を選択してください (パケットのタイムスタンプの古さが、それ以前のパケットより最大で1秒未満の場合、システムがパケットを受容します)。 | Linux Agentの場合は1、それ以外の場合は0 | Linux Agentの場合は1、それ以外の場合は0 | 0 | Linux Agentの場合は1、それ以外の場合は0 |
| TCPタイムスタンプ (PAWS: Protection Against Wrapped Sequence) の値がゼロ | TCPタイムスタンプがゼロの場合の処理 | Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可 | Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可 | 拒否 (ログに記録) | Linux AgentまたはNDIS5の場合は拒否、それ以外の場合は許可 |
| フラグメント化されたパケット | パケットがフラグメント化されている場合の処理 | 許可 | 許可 | 拒否 (ログに記録) | 許可 |
| TCPゼロフラグ | パケットにゼロフラグが設定されている場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| TCP輻輳フラグ | パケットに輻輳フラグが設定されている場合の処理 | 許可 | 許可 | 拒否 (ログに記録) | 許可 |
| TCP緊急フラグ | パケットに緊急フラグが設定されている場合の処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
| TCP SYN FINフラグ | パケットにSYNおよびFINフラグが設定されている場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| TCP SYN RSTフラグ | パケットにSYNおよびRSTフラグが設定されている場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| TCP RST FINフラグ | パケットにRSTおよびFINフラグが設定されている場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| TCP SYNパケット (データあり) | パケットにSYNフラグが設定されていて、かつデータが含まれる場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| TCP Split Handshake | SYNへの応答としてSYNACKではなくSYNを受信した場合の処理 | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) | 拒否 (ログに記録) |
| 識別できないTCPセッション上のRSTパケット | 識別できないTCPセッション上のRSTパケットに対する処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
| 識別できないTCPセッション上のFINパケット | 識別できないTCPセッション上のFINパケットに対する処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
| 識別できないTCPセッション上の送信パケット | 識別できないTCPセッション上の送信パケットに対する処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
| 回避再送 | 複製または重複したデータを含むパケットに対する処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
| TCPチェックサム | 無効なチェックサムを含むパケットに対する処理 | 許可 | 拒否 (ログに記録) | 拒否 (ログに記録) | 許可 |
