侵入防御の設定

侵入防御モジュールを有効にし、検出モードを使用してネットワークトラフィックに対する攻撃コードを監視します。侵入防御ルールの割り当て方法に問題がない場合は、保護モードに切り替えます。

  1. 検出モードで侵入防御を有効にする
  2. 侵入防御をテストする
  3. 推奨ルールを適用する
  4. システムを監視する
  5. パケットまたはシステムのエラーに対して「Fail-Open」を有効にする
  6. 防御モードに切り替える
  7. 個々のルールについてのベストプラクティスを実装する
IPSの設定によって、CPUとRAMの使用率は変化します。Deep Security AgentでのIPSのパフォーマンスを最適化するには、侵入防御のパフォーマンスに関するヒントを参照してください。

侵入防御モジュールの概要については、侵入防御を使用した攻撃コードのブロックを参照してください。

検出モードで侵入防御を有効にする

侵入防御を有効にし、検出モードを使用して監視します。対象のコンピュータに影響する適切なポリシーを使用して侵入防御を設定します。個々のコンピュータを設定することもできます。

  1. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[侵入防御]→[一般] に進みます。
  2. [設定] で、[オン] または [継承 (オン)] を選択します。
  3. [侵入防御の動作] では、[検出] を選択します。
  4. [保存] をクリックします。
動作を設定できない場合は、[ネットワークエンジンモード][タップ] に設定されている可能性があります (ファイアウォールルールを配信前にテストするを参照してください)。

より詳細に制御するには、侵入防御ルールを割り当てる際に、グローバルな動作モードをオーバーライドして、防御または検出のいずれかを実施する特定のルールを設定します (ルールの動作モードをオーバーライドするを参照してください)。

侵入防御をテストする

次の手順に進む前に、侵入防御モジュールが正常に機能していることをテストする必要があります。

  1. Agentベースの配信がある場合は、コンピュータのAgentが実行中であることを確認します。Agentレスの配信の場合は、Deep Security Virtual Applianceが正常に実行していることを確認します。
  2. Webレピュテーションモジュールをオフにします。Deep Security Managerで [コンピュータ] をクリックし、侵入防御をテストするコンピュータをダブルクリックします。コンピュータのダイアログボックスで [Webレピュテーション] をクリックし、[オフ] を選択します。これでWebレピュテーションが無効になり、侵入防御機能に干渉しなくなります。
  3. 不正なトラフィックがブロックされることを確認します。引き続き、コンピュータのダイアログボックスで [侵入防御] をクリックし、[一般] タブで [防御] を選択します (影付き表示されている場合は、[設定] ドロップダウンリストを [継承 (オン)] に設定します)。
  4. EICARテストポリシーを割り当てます。引き続き、コンピュータのダイアログボックスで [侵入防御] をクリックします。[割り当て/割り当て解除] をクリックします。1005924を検索します。[1005924 - Restrict Download of EICAR Test File Over HTTP] ポリシーが表示されます。チェックボックスをオンにして、[OK] をクリックします。これで、ポリシーがコンピュータに割り当てられました。
  5. EICARファイルをダウンロードします (侵入防御が正常に実行されている場合はできません)。Windowsの場合はhttp://www.eicar.org/download/eicar.com.txtにアクセスします。Linuxの場合は次のコマンドを入力します。curl -O http://www.eicar.org/download/eicar.com
  6. コンピュータの侵入防御イベントを確認します。引き続き、コンピュータのダイアログボックスで [侵入防御]→[侵入防御イベント] をクリックします。[イベントの取得] をクリックすると、前回のハートビート以降に発生したイベントが表示されます。[理由][1005924 - Restrict Download of EICAR Test File Over HTTP] となっているイベントが表示されます。このイベントが表示される場合、侵入防御が機能していることになります。
  7. 変更を元に戻し、システムを以前の状態に戻します。Webレピュテーションモジュールをオンにし (オフにした場合)、[防御] または [検出] オプションをリセットして、コンピュータからEICARポリシーを削除します。

推奨ルールを適用する

パフォーマンスを最大化するには、ポリシーおよびコンピュータに割り当てる侵入防御ルールの数を最小限にします。そのため、必要なルールだけを割り当てる必要があります。適切なルールのリストを取得するには、推奨設定の検索を使用します。

推奨設定の検索は特定のコンピュータに対して実行されますが、この推奨設定はコンピュータが使用するポリシーに割り当てることができます。

詳細については、推奨設定の検索の管理と実行を参照してください。

  1. 検索するコンピュータのプロパティを開きます。推奨設定の検索を手動で実行するの説明に従って推奨設定の検索を実行します。
    推奨されるルールは自動的に割り当てないでください。
  2. ルールを割り当てるポリシーを開き、検索結果を確認して手動でルールを割り当てるの説明に従ってルールの割り当てを実行します。

割り当てられた侵入防御ルールを自動で定期的に調整するには、推奨設定の検索を予約できます。Deep Security予約タスクの設定を参照してください。

システムを監視する

侵入防御ルールを適用したら、システムパフォーマンスと侵入防御イベントログを監視します。

システムパフォーマンスを監視する

CPU、RAM、およびネットワークの使用量を監視して、システムのパフォーマンスが許容範囲に収まっていることを確認します。パフォーマンスが許容範囲を超えて低下している場合は、パフォーマンスを改善するために一部の設定や環境を変更します (侵入防御のパフォーマンスに関するヒントを参照してください)。

侵入防御イベントを確認する

侵入防御イベントを監視して、ルールが正規のネットワークトラフィックと一致しないことを確認します。ルールで誤判定が発生している場合は、ルールの割り当てを解除できます (ルールを割り当てる/ルールの割り当てを解除するを参照してください)。

侵入防御イベントを確認するには、[イベントとレポート][侵入防御イベント] をクリックします。

パケットまたはシステムのエラーに対して「Fail-Open」を有効にする

侵入防御モジュールには、侵入防御ルールを適用する前にパケットをブロックする可能性があるネットワークエンジンが含まれます。これにより、サービスおよびアプリケーションでダウンタイムやパフォーマンスの問題が発生することがあります。この動作を変更し、システムまたは内部パケットエラーの発生時にパケットの通過を許可できます。詳細については、「Fail-Open」の動作を有効にするを参照してください。

防御モードに切り替える

侵入防御で誤判定の問題がない場合は、侵入防御を防御モードで使用するようにポリシーを設定し、ルールを適用して関連イベントがログに記録されるようにします。

  1. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[侵入防御]→[一般] に進みます。
  2. [侵入防御の動作] では、[防御] を選択します。
  3. [保存] をクリックします。

個々のルールについてのベストプラクティスを実装する

HTTPプロトコルデコードルール

HTTPプロトコルデコードルールは、アプリケーションの種類「Web Server Common」の中で最も重要なルールです。このルールは、他のルールによってHTTPトラフィックが検査される前にHTTPトラフィックをデコードします。また、このルールを使用して、デコードプロセスの各種のコンポーネントを制御することもできます。

このルールは、このルールを必要とするいずれかの「Web Application Common」ルールまたは「Web Server Common」ルールを使用する場合には必須です。他のルールでこのルールが必要とされる場合、Deep Security Managerはこのルールを自動的に割り当てます。Webアプリケーションは1つ1つ異なるため、設定変更が必要かどうかを判断するために、このルールを使用するポリシーは一定期間検出モードで実行してから保護モードに切り替える必要があります。

無効な文字のリストは、しばしば変更が必要です。

このルールとその調整方法の詳細については、次の製品Q&Aを参照してください。

クロスサイトスクリプティングルールと汎用的なSQLインジェクションルール

アプリケーション層への攻撃として最も代表的なものに、SQLインジェクションとクロスサイトスクリプティング (XSS) があります。クロスサイトスクリプティングルールとSQLインジェクションルールは初期設定で攻撃の大半を阻止しますが、特定のリソースが誤判定を引き起こす場合はその破棄のしきい値の調整が必要になることがあります。

この2つのルールは、どちらもWebサーバに合わせてカスタム設定が必要なスマートフィルタです。Webアプリケーション脆弱性Scannerからの情報がある場合は、保護を適用する際に利用することをお勧めします。たとえば、login.aspページのユーザ名フィールドがSQLインジェクションに対して脆弱な場合は、破棄のしきい値を低くしてそのパラメータを監視するようにSQLインジェクションルールを設定してください。

詳細については、https://success.trendmicro.com/jp/solution/1097099を参照してください。