本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

侵入防御を使用した攻撃のブロックをブロックする

侵入防御 モジュールは、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性に対する脆弱性攻撃からコンピュータを保護します。

アプリケーションまたはOSの既知の脆弱性に対してパッチが利用できない場合、 侵入防御 ルールは、この脆弱性を悪用しようとしているトラフィックをインターセプトできます。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。このため、脆弱性を修正するパッチがリリースされ、テストされて配信されるまでコンピュータが保護されます。

Skypeなどのファイル共有およびメッセージングソフトウェアだけでなく、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を持つWebアプリケーション(XSS).)も利用できます。このように、 侵入防御 は、軽量Webアプリケーションファイアウォール(WAF).)としても使用できます。

侵入防御を有効にして設定するには、 侵入防御の設定を参照してください。

侵入防御 ルール

侵入防御 ルールは、ネットワークパケットのペイロードセッションおよびアプリケーション層(DNS、HTTP、SSL、およびSMTP), など)と比較される一連の条件と、それらの上位層プロトコルに基づくパケットの順序を定義します。 。

ファイアウォールルールはパケットのネットワーク層とトランスポート層 (IP、TCP、UDPなど) を確認します。

Deep Security Agentがネットワークトラフィックを検索してトラフィックがルールの一致条件を満たすと、Agentはそのトラフィックを予想される攻撃または確認済みの攻撃とみなし、ルールに応じて次のいずれかの処理を実行します。

  • 定義されたバイトシーケンスまたは疑わしいバイトシーケンスの置換
  • パケットの完全な破棄
  • 接続のリセット

侵入防御 ルールはポリシーとコンピュータに割り当てられます。このため、使用するポリシーに基づいてコンピュータのグループにルールセットを適用し、必要に応じてポリシーをオーバーライドできます(ポリシー、継承、およびオーバーライドを参照してください)。

ルールの機能に影響を与える方法については、 侵入防御ルールの設定

アプリケーションの種類

アプリケーションの種類では、関連付けられているアプリケーションごとにルールを整理します。また、通信に使用されるプロトコルやポート番号などのように必要に応じてルールが参照できるプロパティ値を格納できます。一部のアプリケーションの種類には、設定可能なプロパティがあります。たとえば、Database Microsoft SQLのアプリケーションの種類には、Microsoft SQL Serverに関連付けられているルールが含まれます。このアプリケーションの種類を設定すると、データベースへの接続に使用するポートを指定できます。

詳細については、アプリケーションの種類を参照してください。

ルールアップデート

Trend Micro は、アプリケーションの脆弱性に対する 侵入防御 ルールを作成します。セキュリティアップデートには、新しいルールまたはアップデートされたルール、およびアプリケーションの種類を含めることができます。ルールがすでにポリシーに割り当てられていて、割り当てられたルールが依存するルールがアップデートに含まれる場合は、アップデートされたルールを自動的に割り当てるように選択できます。

侵入防御 ルールには、保護対象とする脆弱性に関する情報が含まれています。

侵入防御 ルールはDeep Security Managerで直接編集できません。ただし、一部のルールは設定可能であり、設定が必要なルールもあります (設定オプションを設定する (トレンドマイクロのルールのみ)参照してください)。

推奨設定の検索

推奨検索を使用して、ポリシーとコンピュータに割り当てる 侵入防御 ルールを検出できます。(推奨設定の検索の管理と実行を参照してください)。

動作モードを使用してルールをテストする

侵入防御 は、[検出]または[防御]モードで動作します。

  • の検出: 侵入防御 では、一致するトラフィックを検出してイベントを生成するためにルールを使用しますが、トラフィックはブロックしません。検出モードは、 侵入防御 ルールが正規のトラフィックに干渉しないことをテストする場合に便利です。
  • Prevent: 侵入防御 では、ルールを使用して一致するトラフィックを検出し、イベントを生成し、トラフィックをブロックして攻撃を防止します。

新しい 侵入防御 ルールを最初に適用する場合は、Detectモードを使用して、誤って通常のトラフィックをブロックしないことを確認します(誤検出).誤判定が発生しないことを確認できた時点で、防御モードを使用して、ルールを適用して攻撃をブロックできます ( 検出モードで侵入防御を有効にする および 予防モードに切り替える .)

Detectモードで 侵入防御 を使用するのと同様に、 Deep Security ネットワークエンジンはテスト目的でタップモードで実行できます。タップモードでは、 侵入防御 はルールマッチングトラフィックを検出してイベントを生成しますが、トラフィックはブロックしません。また、タップモードは、 ファイアウォール および Webレピュテーション モジュールにも影響します。検出モードを使用すると、 侵入防御 ルールを個別にテストできます。
タップモードを ファイアウォール ルールのテストに使用するのと同じ方法で、 侵入防御 でタップモードを使用します。ファイアウォールルールを配信前にテストするを参照してください。

ルールの動作モードをオーバーライドする

個々のルールで[検出]モードを選択することで、コンピュータまたはポリシーレベルで[防止モード]の動作を選択して優先させることができます。ポリシーまたはコンピュータに適用される新しい 侵入防御 ルールをテストする場合に便利です。たとえば、防御モードで 侵入防御 が機能するようにポリシーが設定されている場合、ルールを[検出]モードに設定することで、個々のルールの防御モードの動作を回避できます。そのルールの場合にのみ、 侵入防御 はトラフィックをログに記録し、ポリシーの動作モードをオーバーライドしない他のルールを適用します。(ルールの動作モードをオーバーライドするを参照してください)。

コンピュータまたはポリシーレベルでの防御モードは、矛盾するルール設定で上書きできますが、[検出]モードにはできません。コンピュータまたはポリシーレベルで[検出]モードを選択すると、ルール設定に関係なく検出モードの動作が適用されます。

トレンドマイクロが用意している一部のルールは、初期設定で検出モードを使用します。たとえば、メールクライアントルールでは、一般的に[検出]モードが使用されます。これは、予防モードでは、すべてのメールのダウンロードがブロックされるためです。一部のルールは、条件が多数回、または一定期間中に一定回数発生した場合にのみアラートをトリガします。これらのルールは、条件が再度発生した場合にのみ、不審な挙動を示すトラフィックに適用され、その条件が1回発生しただけでは異常とはみなされません。

設定が必要なルールは、正規のトラフィックをブロックしたりネットワークサービスを中断することがないようにするには、設定が完了するまで検出モードのままにします。ルールを防御モードに切り替えるのは、設定とテストの完了後にします。

侵入防御 イベント

初期設定では、 Deep Security Managerは、 Deep SecurityエージェントおよびアプライアンスClosedDeep Security AgentとDeep Security Virtual Applianceは、ユーザが定義したDeep Securityポリシーを適用するためのコンポーネントです。 Agentはコンピュータに直接インストールされ、 ApplianceはAgentレスの保護を提供するためにVMware vSphere環境で使用されます。どちらもDeep Security as a Serviceでは使用できません。 から ファイアウォール および 侵入防御 イベントログをすべてのハートビートで収集します。イベントログは、Deep Security Managerによって収集された後、設定された一定の期間保持されます。初期設定値は1週間です (ログとイベントの保存に関するベストプラクティスを参照してください)。 必要に応じて、個々のルールにイベントログを設定できます (ルールにイベントログを設定するを参照してください)。

イベントにタグを付けると、イベントをソートしやすくなります。イベントには、手動でタグを付けることも、自動でタグを付けることもできます。また、自動タグ付け機能を使用し、複数のイベントをグループ化してラベルを付けることもできます。イベントのタグ付けの詳細については、イベントを識別およびグループ化するためのタグの適用を参照してください。

安全な接続のサポート

侵入防御 モジュールでは、セキュリティで保護された接続でパケットを検査できます。SSLまたはTLSトラフィックの検査を参照してください。

コンテキスト

コンテキストは、コンピュータのネットワーク環境に応じてさまざまなセキュリティポリシーを実装する有効な方法です。一般的には、コンテキストが使用されるポリシーを作成して、さまざまな ファイアウォール ルールと 侵入防御 ルールをコンピュータ(通常はモバイルラップトップ)に適用します。このルールは、そのコンピュータが社内にあるか離れているかによって異なります。

コンピュータの場所を決定するには、コンピュータがどのようにドメインコントローラと接続されているかコンテキストで検証します。詳細については、ポリシーで使用するコンテキストの定義を参照してください。

インタフェースのタグ付け

ファイアウォール または 侵入防御 ルールを特定のインタフェースに割り当てる必要がある場合にインタフェースの種類を使用できます。複数のネットワークインタフェースがあるコンピュータの場合初期設定では、ファイアウォールルールと侵入防御ルールはコンピュータ上のすべてのインタフェースに割り当てられます。たとえば、ワイヤレスネットワークインタフェースにのみ特別なルールを適用する場合、インタフェースの種類を使用します。詳細については、複数のインタフェースに対してポリシーを設定するを参照してください。