侵入防御

侵入防御モジュールは、既知またはゼロデイの脆弱性に対する攻撃、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性からコンピュータを保護します。コードの修正が完了する前でも、脆弱性に対する攻撃にさらされないようにします。また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアクセスするアプリケーションに対する可視性および制御性を向上します。

侵入防御は、ネットワークトラフィック内の不正な命令を検出し、該当するパケットを破棄することで、攻撃を防御します。

次の機能で使用されます。

• 仮想パッチ: 侵入防御ルールで、特定のアプリケーションやOS自体のパッチが適用されていないという脆弱性を利用するトラフィックを破棄できます。これにより、アプリケーションに各種のパッチが適用されるのを待つ間もホストを保護できます。
• プロトコルの正常性確認: 不正な命令が含まれるトラフィックを検出し、ブロックします。
• アプリケーション制御: Skypeやファイル共有ユーティリティなど、特定のアプリケーションに関連するトラフィックをブロックできます。

基本的な設定

コンピュータで侵入防御機能を有効にするには、次の手順に従います。

1. ポリシーまたはコンピュータエディタで、[侵入防御]→[一般] に移動します。
2. [オン] を選択し、[保存] をクリックします。

インラインモードとタップモード

侵入防御モジュールは、Vulnerability ProtectionDeep Securityのネットワークエンジンを使用します。このエンジンは、次のいずれかのモードで動作します。

• インラインモード: 実際のパケットストリームがVulnerability ProtectionDeep Securityネットワークエンジンを直接流れます。したがって、すべてのルールは、プロトコルスタックの上位に伝わる前にネットワークトラフィックに適用されます。
• タップモード: 実際のパケットストリームが複製され、メインストリームを迂回して流れます。

タップモードでは、実際のストリームは変更されません。すべての処理は複製されたストリーム上で行われます。タップモードでは、Vulnerability ProtectionDeep Securityはイベントのレコードを提供する以外の保護は提供しません。

インラインモードとタップモードを切り替えるには、ポリシーまたはコンピュータエディタを開き、[設定]→[ネットワークエンジン]→[ネットワークエンジンモード] の順に選択してください。

防御と検出

Vulnerability ProtectionDeep Securityのネットワークエンジンがインラインモードの場合は、次の2つの追加オプションを使用できます。

• 防御: 侵入防御ルールがトラフィックに適用され、関連するログイベントが生成されます。
• 検出: 侵入防御ルールがトリガされ、イベントが生成されますが、トラフィックに影響はありません。侵入防御の新しい設定やルールは必ず検出モードでテストし、誤判定によってコンピュータ上のサービスが中断しないことを確認する必要があります。侵入防御イベントを一定期間監視して、誤判定がトリガされないことを確認できたら、防御モードに切り替えます。

個々の侵入防御ルールを、検出のみモードまたは防御モードで適用することもできます。新しい侵入防御ルールを適用するときは、検出のみモードで一定期間実行し、正常なトラフィックを妨害しないことを確認するようお勧めします。トレンドマイクロが用意している一部のルールは、初期設定で検出のみモードになっています。たとえば、メールクライアントの侵入防御ルールは、後続するメールのダウンロードがブロックされないように、一般に検出のみモードになっています。一部のルールは、条件が多数回、または一定期間中に一定回数発生した場合にのみトリガするので、個々の状況は防止されませんが、状況が再度発生した場合はアラートが発令されます。また、一部のルールは、誤判定が発生しやすくなっています。これらのルールは、初期設定で検出のみモードになっているので、誤判定がトリガされないことを確認できてから、防御モードに切り替えるかどうかを判断してください。

NSXセキュリティタグ

Deep Securityでは、不正プログラムによる脅威の検出時に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。

NSXセキュリティタグはVMware NSX環境に属しています。Deep Securityのイベントタグと混同しないようにしてください。Deep Securityでのイベントのタグ付けの詳細については、「イベントのタグ付け」を参照してください。

NSXセキュリティタグを適用するように、不正プログラム対策および侵入防御システム保護モジュールを設定できます。

NSXセキュリティタグを適用するように侵入防御モジュールを設定するには、コンピュータまたはポリシーエディタで、[侵入防御]→[詳細]→[NSXセキュリティのタグ付け] に移動します。

侵入防御イベントには、イベントを引き起こした侵入防御ルールの重要度によって決定される重要度があります。

侵入防御ルールの重要度は、[ルールのプロパティ]→[一般] タブで設定できます。

侵入防御ルールの重要度とNSXタグは次のように対応します。

侵入防御ルールの重要度	NSXセキュリティタグ
重大	IDS_IPS.threat=high
高	IDS_IPS.threat=high
中	IDS_IPS.threat=medium
低	IDS_IPS.threat=low

タグ付けの重要度は、仮想マシンにNSXセキュリティタグが適用される侵入防御ルールの最小重要度を指定することで設定できます。

[NSXセキュリティタグの適用を開始するルール重要度] 設定のオプションは次のとおりです。

• 初期設定 (タグを適用しない): NSXタグは適用されません。
• 重大: 重要度が「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
• 高: 重要度が「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
• 中: 重要度が「中」、「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。
• 低: 重要度が「低」「中」、「高」または「重大」である侵入防御ルールが実行されたときに、NSXタグが適用されます。

防御モードで動作しているルールと検出のみモードで動作しているルールでは、別々の設定が適用されます。

侵入防御ルールが防御モードと検出のみモードのどちらで動作しているかは、侵入防御モジュール設定 (ポリシーまたはコンピュータのエディタの [侵入防御]→[一般] タブ) だけでなく、個々のルール設定 ([ルールのプロパティ]→[一般]→[詳細]) で判断されます。