侵入防御ルールの設定

次のタスクを実行して、侵入防御ルールを設定および使用します。

侵入防御モジュールの概要については、侵入防御を使用した攻撃のブロックをブロックするを参照してください。

侵入防御ルールのリストを表示する

[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。

[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが含まれます。侵入防御ルールの [詳細検索] では、TippingPointルールIDを検索できます。ポリシーおよびコンピュータエディタの割り当てられた侵入防御ルールのリストでもTippingPointルールIDを表示できます。

リストを確認するには、[ポリシー] をクリックして、[共通オブジェクト/ルール] の下の [侵入防御ルール] をクリックします。

侵入防御ルールに関する情報を表示する

侵入防御ルールのプロパティには、ルールおよび防御対象の攻撃コードに関する情報が含まれます。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。

一般情報

詳細

[新規] () または [プロパティ] () をクリックして、[侵入防御ルールプロパティ] 画面を表示します。

[設定] タブを確認します。トレンドマイクロが提供する侵入防御ルールは、Deep Security Managerを使用して直接編集することはできません。その代わり、侵入防御ルールに設定が必要な場合や設定が可能な場合は、[設定] タブの設定オプションを使用します。ユーザ自身で作成したカスタム侵入防御ルールは、[ルール] タブが表示され、直接編集可能です。

侵入防御ルールのリストを表示する

[ポリシー] 画面には侵入防御ルールのリストが表示されます。侵入防御ルールを検索し、ルールのプロパティを開いて編集できます。このリストでは、ルールはアプリケーションの種類で分類されており、ルールのプロパティは列にそれぞれ表示されます。

[TippingPoint] 列には、対応するTrend Micro TippingPointルールIDが含まれます。侵入防御ルールの [詳細検索] では、TippingPointルールIDを検索できます。ポリシーおよびコンピュータエディタの割り当てられた侵入防御ルールのリストでもTippingPointルールIDを表示できます。

リストを確認するには、[ポリシー] をクリックして、[共通オブジェクト/ルール] の下の [侵入防御ルール] をクリックします。

一般情報

  • アプリケーションの種類:この侵入防御ルールが分類されているアプリケーションの種類。
    このパネルでアプリケーションの種類を編集できます。ここでアプリケーションの種類を編集すると、そのアプリケーションの種類を使用するすべてのセキュリティコンポーネントに対して変更内容が適用されます。
  • 優先度: ルールの優先度。優先度の低いルールよりも優先度の高いルールが優先的に適用されます。
  • 重要度:ルールの重要度の設定は、ルールの実装および適用方法に影響しません。重要度レベルは、侵入防御ルールのリストを表示するときにソート条件として使用できます。それぞれの重要度レベルは重要度の値と関連付けられます。この値にコンピュータの資産評価を掛けたものが、イベントのランク付けを決定します ([管理]→[システム設定]→[ランク付け] を参照してください)。
  • CVSSスコア:脆弱性情報データベースに基づいた、脆弱性の重要度の基準。

ID (トレンドマイクロのルールのみ)

  • 種類: [スマート] (1つ以上の既知または不明なゼロデイの脆弱性)、[攻撃コード] (通常、署名ベースの攻撃コード) または [脆弱性] (1つ以上の攻撃コードが存在する可能性のある特定の脆弱性) のいずれかになります。
  • 発行日: ルールがリリースされた日付。ダウンロードされた日付ではありません。
  • 前回のアップデート: ローカルで、またはセキュリティアップデートのダウンロード中に、ルールが変更された前回の日時。
  • 識別子: ルールに一意のIDタグ。

関連付けられている脆弱性に関する情報を表示する (トレンドマイクロのルールのみ)

トレンドマイクロのルールには、ルールで防御する脆弱性に関する情報が含まれます。適用可能な場合は、共通脆弱性評価システム (CVSS) が表示されます(この評価システムの詳細は、脆弱性情報データベースのCVSSページを参照してください)。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [脆弱性] タブをクリックします。

ルールを割り当てる/ルールの割り当てを解除する

Agent検索時に侵入防御ルールを適用するには、該当するポリシーとコンピュータに割り当てます。脆弱性にパッチが適用されたため、ルールが必要でなくなった場合は、ルールを割り当て解除できます。

コンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で侵入防御ルールの割り当てを解除できない場合、そのルールがポリシーに割り当てられている可能性があります。ポリシーレベルで割り当てられたルールを削除するにはポリシーエディタClosedポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。を使用する必要があり、コンピュータレベルでは削除できません。

ポリシーに対する変更は、そのポリシーを使用するすべてのコンピュータに反映されます。たとえば、ポリシーからルールを割り当て解除すると、そのポリシーで保護しているすべてのコンピュータからルールが削除されます。継続してこのルールを他のコンピュータに適用するには、そのグループのコンピュータ用に新しいポリシーを作成します。(ポリシー、継承、およびオーバーライドを参照してください)。

ルールが割り当てられたポリシーとコンピュータを確認するには、ルールプロパティの [割り当て対象] タブをご覧ください。

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
  2. [侵入防御]→[一般] の順にクリックします。
    ポリシーに割り当てられているルールのリストは、[現在割り当てられている侵入防御ルール] リストに表示されます。
  3. [現在割り当てられている侵入防御ルール] で、[割り当て/割り当て解除] をクリックします。
  4. ルールを割り当てるには、ルールの横にあるチェックボックスをオンにします。
  5. ルールの割り当てを解除するには、ルールの横にあるチェックボックスをオフにします。
  6. [OK] をクリックします。

アップデートされた必須ルールを自動割り当てする

セキュリティアップデートには、セカンダリ侵入防御ルールの割り当てが必要な新規またはアップデートされたアプリケーションの種類および侵入防御ルールが含まれている場合があります。Deep Securityでは必要に応じて、これらのルールを自動割り当てできます。ポリシーまたはコンピュータプロパティで、次のように自動割り当てを有効化できます。

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
  2. [侵入防御]→[詳細] を順にクリックします。
  3. 自動割り当てを有効にするには、[ルールアップデート] 領域で [はい] を選択します。
  4. [OK] をクリックします。

ルールにイベントログを設定する

ルールのイベントをログに記録するかどうか、ログにパケットデータを含めるかどうかを設定します。

Deep Securityの侵入防御イベントで、パケットデータにX-Forwarded-Forヘッダが含まれている場合は、このヘッダを表示できます。このヘッダの情報は、Deep Security Agentをロードバランサまたはプロキシの背後に配置している場合に役立ちます。X-Forwarded-Forヘッダデータは、イベントの [プロパティ] 画面に表示されます。ヘッダデータを含めるには、ログにパケットデータを追加します。また、ルール1006540 [X-Forwarded-For HTTPヘッダのログを有効にする] も割り当てる必要があります。

ルールがイベントをトリガするたびにすべてのパケットデータを記録するのは現実的ではないので、Deep Securityでは、一定時間内でイベントが最初に発生したときのデータのみを記録します。初期設定時間は5分ですが、ポリシーの [ネットワークエンジンの詳細設定] の [1つのパケットデータのみをログに記録する期間] プロパティを使用して期間を変更できます。(「ネットワークエンジンの詳細オプション」を参照してください)。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [一般] タブで、[イベント] 領域に移動し、次のように必要なオプションを選択します。
    • ルールのログを無効化するには、[イベントログの無効化] を選択します。
    • パケットが破棄またはブロックされた場合にイベントのログを記録するには、[パケット破棄時にイベントを生成] を選択します。
    • ログエントリにパケットデータを含めるには、[常にパケットデータを含める] を選択します。
    • ルールで検出されたパケットの前後のパケットをログに記録するには、[デバッグモードを有効にする] を選択します。サポート担当者から指示があった場合のみデバッグモードを使用します。

また、ログにパケットデータを含めるには、ルールを割り当てるポリシーで次のように、ルールによるパケットデータの取得を許可する必要があります。

  1. [ポリシー] 画面で、ルールを割り当てたポリシーを開きます。
  2. [侵入防御]→[詳細] を順にクリックします。
  3. [イベントデータ] 領域で [はい] を選択します。

アラートを生成する

侵入防御ルールがイベントをトリガした場合にアラートを生成します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックして [アラート] 領域で [オン] を選択します。
  4. [OK] をクリックします。

設定オプションを設定する (トレンドマイクロのルールのみ)

トレンドマイクロの侵入防御ルールの一部には、ヘッダ長、HTTPに許可される拡張子、Cookie長など、1つ以上の設定オプションがあります。オプションには設定が必要なものもあります。必要なオプションを設定せずにルールを割り当てると、アラートが生成され、必要なオプションについての情報が表示されます。(これは、セキュリティアップデートによってダウンロードされ自動的に適用されたルールにも適用されます)。

設定オプションのある侵入防御ルールは、[侵入防御ルール] リストでルールのアイコンに小さなギアマークが付きます

独自のカスタム侵入防御ルールには、[ルール] タブがあり、ルールを編集できます。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [設定] タブをクリックします。
  4. プロパティを設定して [OK] をクリックします。

有効な時間を予約する

侵入防御ルールが有効な時間を予約します。予約された時間のみ有効になる侵入防御ルールは、[侵入防御ルール] 画面でルールのアイコンに小さな時計マークが付きます

Agentベースの保護では、スケジュールで保護対象のエンドポイントと同じタイムゾーンが使用されます。Agentレスによる保護では、Deep Security Virtual Applianceと同じタイムゾーンが使用されます。Agentレスによる保護はDeep Security as a Serviceでは使用できません。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [スケジュール] 領域で [新規] を選択するか、頻度を選択します。
  5. 必要に応じてスケジュールを編集します。
  6. [OK] をクリックします。

推奨設定から除外する

推奨設定検索のルール推奨設定から侵入防御ルールを除外します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [推奨設定オプション] 領域で [推奨設定から除外] を選択します。
  5. [OK] をクリックします。

ルールのコンテキストを設定する

ルールが適用されるコンテキストを設定します。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [オプション] タブをクリックします。
  4. [コンテキスト] 領域で [新規] を選択するか、コンテキストを選択します。
  5. 必要に応じてコンテキストを編集します。
  6. [OK] をクリックします。

ルールの動作モードをオーバーライドする

新しいルールをテストする場合は、侵入防御ルールの動作モードを [検出] に設定します。[検出] モードでは、ルールは「検出のみ:」という言葉で始まるログエントリを作成しますが、トラフィックに干渉しません。侵入防御ルールには [検出] モードでのみ動作するものがあります。これらのルールについては、動作モードを変更できません。

ルールのログを無効にすると、動作モードに関係なく、ルールのアクティビティはログに記録されません。

動作モードの詳細については、動作モードを使用してルールをテストするを参照してください。

次の手順で設定を実行すると、すべてのポリシーが影響を受けます。ポリシーごとに1つのルールを設定する場合の詳細については、ルールおよびアプリケーションの種類の設定をオーバーライドするを参照してください。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. ルールを選択して [プロパティ] をクリックします。
  3. [検出のみ] を選択します。

ルールおよびアプリケーションの種類の設定をオーバーライドする

コンピュータエディタとポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、侵入防御ルールを編集して、ポリシーまたはコンピュータのコンテキストのみで変更を適用できます。グローバルに変更が適用されるようにルールを編集して、ルールが割り当てられた他のポリシーおよびコンピュータで変更を有効にすることもできます。同様に、1つのポリシー/コンピュータ、またはグローバルにアプリケーションの種類を設定できます。

  1. [ポリシー] 画面に移動し、設定するポリシーを右クリックして [詳細] をクリックします。
  2. [侵入防御] をクリックします。
  3. ルールを編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • プロパティ: そのポリシーのみのルールを編集します。
    • プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) ルールを編集します。
  4. ルールのアプリケーションの種類を編集するには、ルールを右クリックして、次のコマンドのいずれかを選択します。
    • アプリケーションの種類プロパティ: そのポリシーのみのアプリケーションの種類を編集します。
    • アプリケーションの種類プロパティ (グローバル): グローバルに (すべてのポリシーとコンピュータに対して) アプリケーションの種類を編集します。
  5. [OK] をクリックします。

ルールを選択して [プロパティ] をクリックした場合は、編集中のポリシーのみでルールを編集します。

1つのポートを割り当てできるアプリケーションの種類は8個までです。9個以上割り当てると、そのルールは該当するポートで機能しません。

ルールをエクスポート/インポートする

1つ以上の侵入防御ルールをXMLまたはCSVファイルにエクスポートしたり、XMLファイルからルールをインポートできます。

  1. [ポリシー]→[侵入防御ルール] の順にクリックします。
  2. 1つ以上のルールをエクスポートするには、[エクスポート]→[選択したアイテムをCSV形式でエクスポート] または [エクスポート]→[選択したアイテムをXML形式でエクスポート] を順にクリックします。
  3. すべてのルールをエクスポートするには、[エクスポート]→[CSV形式でエクスポート] または [エクスポート]→[XML形式でエクスポート] を順にクリックします。
  4. ルールをインポートするには、[新規]→[ファイルからインポート] を順にクリックして、ウィザードの指示に従います。