Untitled

Transcription

1 McAfee Host Intrusion Prevention 8.0 インストールガイド

2 著作権 Copyright 2010 McAfee, Inc. All Rights Reserved. このマニュアルのいかなる部分も McAfee Inc. またはその代理店または関連会社の書面による許可なしに 形態 方法を問わず 複写 送信 転載 検索システムへの保存 および多言語に翻訳することを禁じます 商標 AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD は米国法人 McAfee, Inc. または米国またはその他の国の関係会社における登録商標 または商標です McAfee ブランドの製品は赤を基調としています その他全ての登録商標及び商標はそれぞれの所有者に帰属します ライセンス情報 ライセンス条項 お客様へ : お客様がお買い求めになられたライセンスに従い 該当する契約書 ( 許諾されたソフトウェアの使用につき一般条項を定めるものです 以下 本契約 といいます ) をよくお読みください お買い求めになられたライセンスの種類がわからない場合は 販売およびライセンス関連部署にご連絡いただくか 製品パッケージに付随する注文書 または別途送付された注文書 ( パンフレット 製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル ) をご確認ください 本契約の規定に同意されない場合は 製品をインストールしないでください この場合 弊社またはご購入元に速やかにご返信いただければ 所定の条件を満たすことによりご購入額全額をお返しいたします 2

3 目次 McAfee Host Intrusion Prevention のインストール...5 コンポーネント...6 インストールの概要...7 このリリースの新機能...9 短期間で実装するためのベストプラクティス 戦略の立案 パイロット環境の準備 インストールと設定 最初の調整作業 適応モードでの実行 ( オプション ) 調整の修正 保守作業と展開...25 epolicy Orchestrator へのインストール...27 拡張ファイルのインストール...28 拡張ファイルの削除...29 ポリシーの移行...30 以前のバージョンからのポリシーの移行...31 XML ファイルによるポリシーの移行...32 Windows クライアントのインストール...33 Windows クライアントの詳細...33 リモートからの Windows クライアントのインストール...35 ローカルでの Windows クライアントのインストール...36 ポリシーと IPS コンテンツの適用...36 Windows クライアントの削除...37 Windows でのトラブルシューティングの方法...37 Windows クライアントの停止...38 Windows クライアントの再起動...39 Solaris クライアントのインストール...40 Solaris クライアントの詳細...40 リモートからの Solaris クライアントのインストール...42 ローカルでの Solaris クライアントのインストール

4 目次 ポリシーと IPS コンテンツの適用...43 Solaris クライアントの削除...43 Solaris でのトラブルシューティングの方法...43 Solaris クライアントの停止...44 Solaris クライアントの再起動...44 Linux クライアントのインストール...45 Linux クライアントの詳細...45 リモートからの Linux クライアントのインストール...47 ローカルでの Linux クライアントのインストール...48 ポリシーと IPS コンテンツの適用...49 Linux クライアントの削除...49 Linux でのトラブルシューティングの方法...49 Linux クライアントの停止...50 Linux クライアントの再起動

5 McAfee Host Intrusion Prevention のインストール このガイドでは 管理対象環境に Host Intrusion Prevention 8.0 をインストールして開始するために必要な情報を提供します この製品の拡張ファイルはバージョン の epolicy Orchestrator サーバにインストールされます クライアントは Windows ワークステーションとサーバ Solaris サーバ Linux サーバにインストールされます 製品の機能 Host Intrusion Prevention は Windows システム上で安定したエンドポイントファイアウォールを実現します また Windows と Windows 以外のワークステーション ノート PC Web サーバやデータベースサーバなどの重要なサーバに管理性と拡張性に優れた侵入防止ソリューションを提供します このソリューションは 不要または有害なネットワークトラフィックをブロックし 実績豊富な特許取得済みの技術を利用してゼロデイ攻撃と既知の攻撃を未然に防ぎます Host Intrusion Prevention 8.0 では ファイアウォールのみのバージョンと ファイアウォールと IPS の両方を含むフルバージョンが利用できます 管理の容易性と拡張性 Host Intrusion Prevention を管理する epolicy Orchestrator は ウイルス対策などの重要なセキュリティソリューションのポリシーを配信し 実施しています このマネージドアプローチにより アプリケーション間の通信量が減少します グローバルに事業展開する多言語環境の企業でも 1 つのソリューションで最大 100,000 のクライアントシステムに配備できます セキュリティ Host Intrusion Prevention では 動作ルール シグニチャ ステートフルなシステムファイアウォールによって攻撃を阻止します 新しい脅威に対して緊急パッチを適用する頻度も少なくなります デフォルトの設定でも迅速で大規模な配備が可能です 事前に定義されたポリシーだけでなく カスタムポリシーを適用して 保護レベルを強化できます epo データベースにはシグニチャなどのセキュリティコンテンツデータが格納されています このデータは Host Intrusion Prevention ポリシーで使用されます 更新は コンテンツ更新パッケージによって処理されます このパッケージにはバージョン情報と更新スクリプトが含まれています チェックイン時に パッケージのバージョンがデータベース内の最新コンテンツと比較されます パッケージの方が新しい場合 コンテンツデータが抽出され保存されます この新しいコンテンツは 次回のエージェント / サーバ間通信時にクライアントに送信されます 注意 : Host Intrusion Prevention のコンテンツ更新は 手動あるいはプルタスクによって自動的に epo リポジトリにチェックインされ 更新タスクによってクライアントに配信されます Host Intrusion Prevention クライアントは epo サーバとの通信によってのみ更新を取得します 5

6 McAfee Host Intrusion Prevention のインストールコンポーネント 保護の仕組み epolicy Orchestrator は epo エージェント経由で Host Intrusion Prevention クライアントにポリシー情報を定期的に送信します Host Intrusion Prevention クライアントはポリシーを施行し イベント情報を収集して McAfee Agent 経由で epolicy Orchestrator に送信します 図 1: Host Intrusion Prevention による保護目次コンポーネントインストールの概要このリリースの新機能 コンポーネント Host Intrusion Prevention を使用するには いくつかのコンポーネントがインストールされ 機能している必要があります Host Intrusion Prevention コンポーネント : 6

7 McAfee Host Intrusion Prevention のインストールインストールの概要 epolicy Orchestrator サーバとリポジトリ - この管理ツールでは ソフトウェアのインストールやポリシーの配備 動作の監視 レポートの作成を行います また コンテンツとクライアントの更新を保存し 配布します McAfee Agent - 管理対象システムにインストールされ Host Intrusion Prevention クライアントと epolicy Orchestrator サーバやデータベースとの間を仲介するエージェントです クライアントと epo サーバの間でデータを送受信します Host Intrusion Prevention 拡張ファイル - epolicy Orchestrator コンソールでポリシー管理のインターフェースとなります Host Intrusion Prevention クライアント - ワークステーションやサーバ上にインストールされ 侵入防止を行うメインコンポーネントです Host Intrusion Prevention コンテンツの更新 (IPS のみ ) - シグニチャや信頼できるアプリケーションなどの更新されたセキュリティコンテンツです この更新は定期的に配信され IPS を最新の状態に保ちます インストールの概要 Host Intrusion Prevention は epolicy Orchestrator 環境にのみインストールされます epo サーバとデータベースが必要です また Host Intrusion Prevention をインストールする各クライアントシステムに McAfee Agent がインストールされている必要があります この epo 環境の設定要件と手順の詳細については epolicy Orchestrator インストールガイド を参照してください epo サーバとエージェントの準備ができたら epo に Host Intrusion Prevention 拡張ファイルをインストールします 購入されたバージョン ( ファイアウォールのみまたはファイアウォールと IPS) と使用中の epo のバージョンによって インストールされる拡張ファイルが異なります 詳細については epolicy Orchestrator へのインストール を参照してください 最後に Windows Linux または Solaris が実行され McAfee Agent がすでにインストールされているクライアントコンピュータに Host Intrusion Prevention をインストールします 詳細については Windows クライアントのインストール Solaris クライアントのインストール または Linux クライアントのインストール を参照してください 注意 : Host Intrusion Prevention のファイアウォール機能は Windows プラットフォーム上でのみ機能します このリリースではアーキテクチャ上の変更が行われ Host Intrusion Prevention 8.0 クライアントは Host Intrusion Prevention 8.0 拡張ファイルによってのみ管理されます ただし バージョン 7.0 の拡張ファイルと同時にバージョン 8.0 拡張ファイルを保持し バージョン 8.0 への移行準備が整うまで前のクライアントバージョンを管理できます 移行の詳細については ポリシーの移行 を参照してください 表 1: コンポーネントのバージョン epolicy Orchestrator サーバ上 クライアントシステム上 バージョン Host IPS 8.0 拡張ファイル Windows Solaris Linux 4.0 パッチ 6 以降 ファイアウォールのみ (epo 4.0) McAfee Agent 4.0 ( パッチ 3 以降 ) または McAfee Agent 4.5 for Windows ( パッチ 1 以降 ) 7

8 McAfee Host Intrusion Prevention のインストールインストールの概要 epolicy Orchestrator サーバ上 クライアントシステム上 バージョン Host IPS 8.0 拡張ファイル Windows Solaris Linux Host IPS 8.0 クライアント ファイアウォールと IPS (epo 4.0) McAfee Agent 4.0 McAfee Agent ( パッチ 3 以降 ) ま 4.0 ( パッチたは McAfee Agent 3 以降 ) また 4.5 for Windows は McAfee ( パッチ 1 以降 ) Agent 4.5 Host IPS 8.0 クライアント for Solaris ( パッチ 1 以降 ) Host IPS 8.0 クライアント McAfee Agent 4.0 ( パッチ 3 以降 ) または McAfee Agent 4.5 for Linux ( パッチ 1 以降 ) Host IPS 8.0 クライアント 4.5 ファイアウォールのみ (epo McAfee Agent ) ( パッチ 3 以降 ) または McAfee Agent 4.5 for Windows ( パッチ 1 以降 ) Host IPS 8.0 クライアント ファイアウォールと IPS (epo 4.5) McAfee Agent 4.0 McAfee Agent ( パッチ 3 以降 ) ま 4.0 ( パッチたは McAfee Agent 3 以降 ) また 4.5 for Windows は McAfee ( パッチ 1 以降 ) Agent 4.5 Host IPS 8.0 クライアント for Solaris ( パッチ 1 以降 ) Host IPS 8.0 クライアント McAfee Agent 4.0 ( パッチ 3 以降 ) または McAfee Agent 4.5 for Linux ( パッチ 1 以降 ) Host IPS 8.0 クライアント 4.6 ファイアウォールのみ (epo McAfee Agent ) ( パッチ 3 以降 ) または McAfee Agent 4.5 for Windows ( パッチ 1 以降 ) Host IPS 8.0 クライアント ファイアウォールと IPS (epo 4.6) McAfee Agent 4.0 McAfee Agent ( パッチ 3 以降 ) ま 4.0 ( パッチたは McAfee Agent 3 以降 ) また 4.5 for Windows は McAfee ( パッチ 1 以降 ) Agent 4.5 Host IPS 8.0 クライアント for Solaris ( パッチ 1 以降 ) Host IPS 8.0 クライアント McAfee Agent 4.0 ( パッチ 3 以降 ) または McAfee Agent 4.5 for Linux ( パッチ 1 以降 ) Host IPS 8.0 クライアント 8

9 McAfee Host Intrusion Prevention のインストールこのリリースの新機能 このリリースの新機能 このリリースでは いくつかの機能が新たに導入されています また 機能強化や変更も行われています IPS IPS オプションポリシーの新機能 : 起動時の保護 : スタートアップ時に IPS サービスの開始前に保護を開始します IPS ルールポリシーの新機能 : ネットワーク IPS シグネチャで IP アドレスを使用して除外対象を設定できます IPS シグネチャとファイアウォールルールの両方で 信頼できるネットワークを設定できます アプリケーションを確認するときに パスだけでなく パス ハッシュ デジタル署名 シグネチャと除外リストのファイルの説明も使用されるようになりました ファイアウォール ファイアウォールオプションポリシーの新機能 : TrustedSource の評価とブロック : ファイアウォールルールと McAfee TrustedSource の評価に従って 受信トラフィックと送信トラフィックを許可または拒否します IP スプーフィング対策 : ローカルの IP アドレスがローカルシステムの IP アドレスでない場合 あるいはローカルの MAC アドレスが VM ゲストの MAC アドレスでない場合 ファイアウォールルールによって送信トラフィックをブロックします ブリッジド VM サポート : ローカルの MAC アドレスがローカルシステムの MAC アドレスに一致していない場合でも サポートされる VM ソフトウェアの MAC アドレスであれば ファイアウォールルールによってトラフィックを許可します 起動時の保護 : ファイアウォールサービスが開始するまで ファイアウォールルールによってすべての受信トラフィックをブロックします 追加のファイアウォールポリシー : ファイアウォール DNS ブロック機能は ブロックされないドメイン名パターンを使用します このポリシーは ユーザ指定のドメイン名の DNS 解決をブロックするドメインルールに代わるものです ファイアウォールルールポリシーの新機能 : 柔軟性を増したファイアウォールルール :1 つのルールに複数のアプリケーション ( 以前は 1 つ ) 複数のネットワーク ( 以前は 1 つ ) ローカルネットワークとリモートネットワーク ( 以前はリモートネットワークのみ ) VPN メディアタイプ 有線と無線を記述できるようになりました 接続別グループは 場所情報と接続スケジュールが記述された簡単なファイアウォールグループになりました アプリケーションを確認するときに パスだけでなく パス ハッシュ デジタル署名 ファイアウォールルールのファイルの説明も使用されるようになりました 全般 アプリケーションブロックオプションとアプリケーションブロックルールポリシーが削除されました この機能は Host IPS ルールポリシーの 2 つのコンテンツシグネチャ (6010 と 6011) に代わりました 9

10 McAfee Host Intrusion Prevention のインストールこのリリースの新機能 ファイアウォール隔離オプションと隔離ルールポリシーが削除されました スタートアップ隔離オプションはファイアウォールオプションのスタートアップ保護オプションに移行しました 新しい Host IPS カタログにより ファイアウォールグループ ルール 場所 実行ファイル ネットワークなど ポリシー間で共通するポリシーコンポーネントを編成し 再利用が可能になりました 製品全体で標準のワイルドカードセットを使用しています 共通フォルダにログを保存します 一部のログを簡素化し 読みやすくしています プラットフォームサポート 32 ビット /64 ビットの Windows プラットフォームに対する完全なパリティアクセス 追加 :Windows 7 Linux SUSe10 SP3 SUSe 11 Solaris ゾーンサポート 削除 :Windows 2000 Solaris 8 SUSe Linux 9 SQL サポート 追加 :SQL 2005 SQL 2008 削除 :SQL 2000 拡張ファイル / クライアント機能 Host Intrusion Prevention 8.0 の 2 つのバージョン : ファイアウォールのみのバージョンと ファイアウォールと IPS の両方を含むフルバージョン epolicy Orchestrator と互換性のある Host IPS 拡張ファイル 以前のバージョンの Host IPS がインストールされている epolicy Orchestrator にも Host IPS 8.0 拡張ファイルをインストール可能 Host IPS 8.0 拡張ファイルは Host IPS 8.0 クライアントのみを管理します 前のクライアントバージョンはサポートしていません 初回インストール後にクライアントで IPS とファイアウォールの両方が無効になります ポリシーアプリケーションで有効にする必要があります すべてのプラットフォームで クライアントを再インストールせずに epolicy Orchestrator で評価版からライセンス版にアップグレードできます 10

11 短期間で実装するためのベストプラクティス 組織にとって McAfee Host Intrusion Prevention は非常に有効なソリューションです 緊急性の高いパッチの適用頻度が少なくなり ビジネスの継続性と従業員の生産性を維持しながら データの機密性を保護し コンプライアンス対応の労力を軽減できます このソリューションは シグネチャと動作分析による侵入防止システム (IPS) とステートフルなファイアウォールを提供し 既知の脅威と未知の脅威からすべてのエンドポイント ( デスクトップ ノート PC サーバなど ) を保護します はじめに 業務の混乱を避けるため ユーザやビジネスに不可欠なアプリケーションに関わるものは慎重に配備する必要があります ここでは 製品を段階的に導入します 業務の細部に合わせてポリシーを調整し ユーザの変更を最小限にしながら保護レベルを徐々に強化していきます このような堅実なアプローチでは 1 か月から 3 か月で製品を導入します これにより 最小の管理作業で最大の保護効果を得ることができます IPS とファイアウォールの両方を購入している場合には 法規制やリスク要因からファイアウォールの配備が最重要課題になっていない限り IPS 機能から始めることをお勧めします IPS 機能は 既知の脅威やゼロデイの脅威を阻止する重要な保護対策を提供します McAfee が事前にポリシーを定義しているので 適切な時間と費用で McAfee Host Intrusion Prevention を実装し システムを脆弱性や攻撃から保護することができます IPS 保護の導入に成功したら ファイアウォールの導入に進みます ポリシー 対応 ルールは異なりますが ここで説明するパイロット戦略はファイアウォールの導入にも当てはまります 注意 : ファイアウォールのみを購入している場合には ファイアウォールの配備をすぐに開始することも ここで説明する戦略に従って配備することもできます ファイアウォールポリシーの定義と使用方法については 製品ガイドまたはヘルプを参照してください 重要な点は段階的に行うことです 次の順番で処理を行うことをお勧めします ノート PC と標準デスクトップに対する IPS 重要なサーバに対する IPS パワーユーザのデスクトップに対する IPS ノート PC に対するファイアウォール サーバに対するファイアウォール パワーユーザのデスクトップに対するファイアウォール 管理者の大半はここで説明する処理を実行できます ヘルプが必要な場合には McAfee パートナーまたはサービス担当者に連絡してください 推奨する段階は次の 7 つです 1 戦略の立案 2 環境の準備 3 インストールと設定 4 初期調整 11

12 短期間で実装するためのベストプラクティス 5 適応モード ( オプション ) 6 拡張保護と調整 7 保守作業と IPS の展開 デスクトップとサーバには同じ手順で実装を行いますが ここではより慎重に作業を進めます まず 簡単な環境から始めて 基幹業務で使用されている複雑な環境 ( パワーユーザのデスクトップとサーバ ) に進んでいくことにします タイミングと見込み プロジェクトを頓挫させず リスクを回避しながら作業を進めるには 作業の完了までに 1 か月から 3 か月は必要になります この期間でハンズオンでの作業は数日に過ぎませんが 各段階で調整に必要な使用状況データを収集するため時間がかかります 実装期間に大きな影響を及ぼすのがシステムの範囲とユーザの種類です ユーザの種類が多くなるほど すべてのシステムに McAfee Host Intrusion Prevention を実装するまでの時間は長くなります 保護機能は ユーザの生産性やアプリケーションの機能を低下させずに導入しなければなりません 重要なシステムとユーザのプロファイルを調整し テストする必要があります 多くの環境では 配備 ブロックモードへの移行 ファイアウォールの使用には IT 管理部門の承認が必要です この承認に時間がかかる場合があります 注意 : このプロセスの詳細については McAfee Host Intrusion Prevention 8.0 製品ガイド またはヘルプを参照してください 表 2: 潜在的な危険と改善策 最優先で回避すること 推奨されるベストプラクティス ログから情報を収集せずに重大度中と重大度高のシグネチャをブロックする すべてのシステムが同じポリシーを使用することを前提にする ユーザの操作性に対するテストをほとんど実行しない Host IPS を単発的に使用する IPS とファイアウォールを同時に有効にする 最初は重大度高のシグネチャだけをブロックします このレベルでは 最も重大な脆弱性に対する攻撃を阻止できますが 誤検知が発生する場合があります 重大度中のシグネチャは機能しますが サポートへの問い合わせを少なくするために調整が必要になります デスクトップを分類してアプリケーションと権限を評価します 最も単純なシステムから始めて 大半のグループに当てはまる標準の使用方法プロファイルを作成します 検討後 ユーザと使用方法プロファイルを段階的に追加します 重要なユーザグループを選択し 代表的なユーザでパイロットプロジェクトを行います 選ばれたユーザからフィードバックを受け取り アプリケーションが正常に機能しているかどうか確認します ポリシーによって生産性が阻害されていなければ 導入の範囲を広げます ユーザには良い第一印象を与える必要があります ウイルス対策と異なり 保護の精度と効率を維持するには定期的な監視と保守作業が必要です ログを確認する時間を取り 配備が完了したら週に 1 回以上ルールを更新します IPS から始め 必要であればファイアウォールを追加します ポリシーの作成方法を学習し 適切な保護タイプを熟知すれば 変更と結果の関係をより簡単に理解できます Host IPS またはファイアウォール機能を適応モードで使用し続ける 作成されたルールを監視する時間がある場合に 適応モードは期間限定で使用してください システムが侵入と検出したものをすぐにブロックする トラフィックが不正かどうか時間をかけて確認します パケットキャプチャ ネットワーク IPS などを使用してください 12

13 短期間で実装するためのベストプラクティス 1. 戦略の立案 1. 戦略の立案 2. パイロット環境の準備 3. インストールと設定 4. 最初の調整作業 5. 適応モードでの実行 ( オプション ) 6. 調整の修正 7. 保守作業と展開 1. 戦略の立案 調整プロセスの最初のステップは システム保護戦略について検討することです 現実的な目標を設定し それに従ってパイロット環境を構築し 配備計画を立てます パイロットでの優先順位の定義 組織のセキュリティ目標をよく理解し それに合わせてパイロットプロセスを調整します すぐに対策を講じなければならない問題が見つかるかもしれません 大まかな監視期間を設定して クライアントコミュニティで実際に何が起きているのか調査する場合もあります どの組織も 保護の強化と生産性の維持のどちらを優先させるのか難しい判断をしています 最初の段階で優先順位を明確にすると このプロセスを簡単に行うことができます 次の質問について考えてみましょう 監査で問題になったセキュリティ領域または最近発生したインシデントは何か 最も脆弱なシステムはどれか モバイル環境のノート PC を優先するか 重要なユーザコミュニティまたはシステムグループでの脆弱性の除去が法令で義務付けられているか 多くの場合 管理された企業環境内に存在するノート PC が最も脆弱な存在となります これらのシステムは IPS の最初の対象となります 重要なサーバの保護強化を必要としている企業もあります このようなビジネスに不可欠なシステムは パイロット環境で慎重に導入作業を行う必要があります 主な目標が定まったら 以降のステップでその優先順位を付けていきます パイロット環境の定義 少数のシステムを選択してテストを実施するパイロット環境を構築します サブネットが 3 つでノード数が 100 くらいの環境を構築し 保護レベルを段階的に強化していきます 段階的に展開していくことで 発生した問題の対応も容易になります システムを主な種類に分類してパイロット環境に追加します 実装の複雑さに応じて Host IPS は次の環境をサポートします 標準的なデスクトップまたはノート PC この環境では 一般ユーザに管理者権限がなく システムでアプリケーションのインストールや削除を実行できません 複数のユーザプロファイルを作成し それぞれに標準のアプリケーション環境を定義することもできます パワーユーザ向けに特化したデスクトップまたはノート PC この環境では 特別なユーザに管理者権限が設定され 固有のアプリケーションのインストールが許可されています 一般に 管理者やソフトウェア開発者がパワーユーザになります 管理者権限が適 13

14 短期間で実装するためのベストプラクティス 1. 戦略の立案 切に付与されていない場合もあります 管理者権限で制御する必要のないシステムではこれらの権限を使用せず 調査と調整が必要なシステムの範囲を絞り込む必要があります 専用のデータベース Web 電子メール その他のアプリケーションが実行されているサーバ プリントサーバやファイルサーバも含まれます ラボ環境か本稼働環境か 多くの企業では 新しい製品をインストールする前にラボ環境でテストを行っています 本稼動システムのイメージを作成し これらのイメージを制限付きの環境でテストしてから配備しています この方法で McAfee Host Intrusion Prevention を使用すると ルールの最初のベースラインを短時間で設定できますが ユーザの多様性には対応できないなため 全体的には有効とは言えません テスト実施者がユーザの動作を真似しますが 正規の活動の細かい点までは把握できません ユーザやマルウェアは常に新しい使い方を見つけています このような新しい動作を例外として不用意に許可すると すぐに対応が必要なイベントが生成されたり 検出が回避される可能性があります いずれの場合も 時間を浪費する結果となり 後で問題が発生することになります 学習の大半は 本稼働環境で動作中のシステムで発生します 厳選されたシステムと日々の作業を実際に行うユーザで実際のテストを行うのが最も望ましい方法です この方法では 実際のユーザがシステムとアプリケーションを操作するので 最も信頼性の高いベースラインを設定することができます また 変更による影響をフィードバックですぐに確認できます この 2 つのモデルを組み合わせるのも良い方法です ラボ環境でテストを行うことで McAfee Host Intrusion Prevention のプロセスとポリシーをよく理解することができます いくつかの使用方法プロファイルをテストしたら これらのプロファイルを本稼働環境のパイロットに移行します ラボ環境でテストを実施しなかった活動やアプリケーションが本稼働環境のパイロットで見つかる場合があります 慎重な対応を必要とする組織では このように 2 段階のテストが最適です ヒント : 管理者はパイロットシステムに物理的にアクセスする必要があります 無人の事務所やホームユーザは最初のパイロットグループから除外します 適切なユーザの選択 システムの種類を理解したら パイロットでの使用方法プロファイルとシステムを特定します 最終的に対象となるユーザコミュニティから複数の種類のユーザを選択します これにより 正常なビジネス要件と使用状況を反映したルールとポリシーを作成できます たとえば 標準的なコールセンターやヘルプデスクは マネージャ フロントラインサポート バックラインサポートから構成されます McAfee Host Intrusion Prevention が全範囲で使用できるポリシーを作成し 使用できるように 少なくとも 1 つ以上の使用方法プロファイルを追加します 導入戦略オプション 1: 簡単な環境から始める 初期段階の保護を短時間で実装し 高度な保護レベルまでの移行をスムーズに行うため 標準的なデスクトップとノート PC に基本的な保護を実装し パワーユーザ向けのデスクトップとサーバではロギング機能を有効にすることをお勧めします まず IPS 保護を選択して IPS オプションポリシーを適用し 次に基本的な McAfee デフォルト IPS ルールポリシーを適用します このポリシーは 重大度高のシグネチャを生成する活動をブロックします 調整の必要はありません イベントはほとんど生成されません この設定では 次の処理が行われます 重大度高のシグネチャを生成する活動はブロックされますが 他のすべてのシグネチャは無視されます 14

15 短期間で実装するためのベストプラクティス 1. 戦略の立案 McAfee アプリケーションは IPS 自己保護ルールを除き すべてのルールで信頼できるアプリケーションとして扱われます これらのアプリケーションは 例外イベントを生成することなく実行されます 定義済みのアプリケーションやプロセスは保護されています コンピュータの製造元やモデルは異なりますが これらはほぼ同じカテゴリに分類されます IPS 機能では重大度高の問題を高い確率で阻止できます たとえば McAfee では 出荷時の基本的な保護レベルで Microsoft の月次パッチの問題の 90% 以上に対応できます デフォルトの保護レベルでも十分な効果が得られます この 簡単な環境から始める 戦略を強く推奨します サーバは最も保護すべき重要なシステムですが 最も複雑な場合もあります 配備はより慎重に行う必要があります IPS ルールは 最終的には正規のアプリケーションを許可し サーバのパフォーマンスや最適化が維持されるように調整されます 稼働中のミッションクリティカルなシステムでルールを試行錯誤で調整することは危険が伴います 同様に パワーユーザのシステムでは 様々なアプリケーションが実行され スクリプトの実行権限などの特別な権限が設定される傾向があります IPS を有効にすると 大量のイベントが生成されます 許可とブロックを適切に行うために これらのイベントを十分に調査する必要があります パワーユーザとサーバの場合 正規の使用方法を理解するまでに時間がかかります 監視とロギング パイロットでの検証で問題がなければ システムの種類別にシグネチャをロギングではなく実際に施行できます 正規の活動を学習すれば ルールを調整してポリシーを修正できます このプロセスについては このガイドの後半で説明します 標準デスクトップで基本的な保護を有効にしたら これらのシステムで重大度中の問題の記録を開始できます この監視で 制御を厳しくしたときに IPS 機能が検出する他のイベントを発見できます ロギングモードでは 量と種類を確認できるので システムの動作を把握することができます この最初の段階では 予期しない問題や混乱が発生しないように ロギングを有効にすることをお勧めします 事業の区切りになるまでイベントの記録を継続すると アプリケーションと活動の全体を把握できます 少なくとも 1 が月以上 可能であれば四半期は記録を継続してください この操作を自動的に実行するには 拡張保護の準備ポリシーを使用します この設定では 重大度高のシグネチャがブロックされ 重大度中のシグネチャが記録されます 残りのシグネチャは無視されます 他のシステム サーバ パワーユーザのデスクトップの場合には 重大度中と重大度高のシグネチャを監視し 記録します 重大度中と重大度高の両方を記録するデフォルトの設定はありません 既存のポリシーを複製してカスタマイズする必要があります 重大度中と重大度高のイベントだけを監視すると 無駄な情報を省き 適切なレベルの関連情報を取得することができます 特定のアプリケーションに合わせてサーバプラットフォームが調整されていたり 開発者が独自のツールや複雑なコンパイラを使用している場合もあります ヒント : 監視とロギングを有効にしても システムやアプリケーションの操作に影響を与えてはなりません しかし McAfee Host Intrusion Prevention の稼動後は ロギングのみのモードで実行されていても システムを監視する必要があります この製品は アプリケーションやオペレーティングシステムで低レベルの通信を行うため 一部のアプリケーションのパフォーマンスに影響を及ぼす場合があります 展開計画 パイロットでの検証で問題がなければ システムの種類別にシグネチャをロギングではなく実際に施行できます 正規の活動を学習すれば ルールを調整してポリシーを修正できます このプロセスについては このガイドの後半で説明します 15

16 短期間で実装するためのベストプラクティス 2. パイロット環境の準備 導入戦略オプション 2: デフォルトのポリシーを使用する 一部の環境では McAfee のデフォルト設定を使用して すべてのシステムに基本的な保護プロファイルを配備しています この方法は 調整などをあまり行わずにコアとなる IPS 保護機能を使用したい場合に最適です 製品購入の主な目的が IPS でなければ 最小限の作業で配備を行い 大きな攻撃から保護された状態にすることができます オプションの選択 オプション 1 は IPS によって最高の保護対策を実装することができます オプション 2 では 信頼性の高い保護対策を簡単に実装できます 置かれているリスク状況に合わせて適切なオプションを選択してください 2. パイロット環境の準備 優先順位 対象 保護戦略を定義したら 技術的な前提条件を満たす環境を整え インストールを実行する前にシステム上の問題をすべて解決しておく必要があります このような準備を行うことで この機能に関係のない問題に悩まされることなく IPS の配備作業に専念することができます McAfee epolicy Orchestrator と McAfee Agent のインストールまたは更新 McAfee Host Intrusion Prevention をインストールする前に epolicy Orchestrator サーバをインストールし 管理対象のホストに McAfee Agent をインストールする必要があります McAfee Host Intrusion Prevention を正しく利用するには epolicy Orchestrator でポリシーを扱う方法について理解しておく必要があります epolicy Orchestrator でポリシーを作成する方法が分からない場合には epolicy Orchestrator のマニュアルを参照してください epolicy Orchestrator の役割 McAfee Host Intrusion Prevention では epolicy Orchestrator を使用して 事業やユーザ環境の変化に合わせて組織固有のポリシーとルールを定期的に調整し 配備します epolicy Orchestrator の優れたインフラを利用することで エラーの発生を抑え 矛盾のないポリシー適用を行うことができます また 状態をビジュアルに確認できるので 管理作業の効率も向上します 16

17 短期間で実装するためのベストプラクティス 2. パイロット環境の準備 プロセスの概要 : 図 2: epolicy Orchestrator を使用した Host Intrusion Prevention のインストールとメンテナンス epo サーバが各ホストの McAfee Agent に接続し 管理対象システムに IPS クライアントをインストールします epo コンソールで IPS ポリシーを作成し 保守します epo サーバがホストシステムのエージェントにポリシーを送信します エージェントが IPS クライアントにポリシーを送信します IPS クライアントがポリシーを施行し イベント情報を生成します この情報をエージェントに送信します エージェントがイベント情報を epolicy Orchestrator に転送します epo サーバは 指定された間隔またはオンデマンドで McAfee リポジトリからコンテンツと機能の更新を取得します エージェントは これらの更新をサーバから取得し IPS クライアントを更新します ポリシーが変更されると エージェントが更新後のポリシーを取得し IPS クライアントを更新します 17

18 短期間で実装するためのベストプラクティス 3. インストールと設定 epo サーバによる使用方法プロファイルとクライアントのセットアップ Web サーバ ノート PC キオスクなど 使用タイプにごとに異なる epo 使用方法プロファイルを作成します 最終的には これらのプロファイルを特定の IPS ポリシーに関連付けることになりますが 例外を管理する前にこれらのプロファイルを設定しておくと便利です クライアントを論理的に分類します クライアントは epo システムツリーの階層に一致する基準で分類できます たとえば 最初のレベルを地理的な場所で分類し 次のレベルをオペレーティングシステムプラットフォームや IP アドレスで分類します システムの種類 ( サーバかデスクトップ ) 主要なアプリケーションの用途 (Web データベースまたはメールサーバ ) 戦略的な配置場所 (DMZ またはイントラネット ) など Host Intrusion Prevention の設定条件に従ってクライアントを分類してください ヒント : epo サーバでは システムに論理的なタグを設定できます タグは システムに手動または自動的に適用されるラベルです タグは パイロットグループへのシステム分類や レポート生成の基準として使用できます 名前付けの規則も重要です 誰もが簡単に理解できる規則を設定する必要があります システムツリー上でクライアントは名前で区別されます また 特定のレポートやクライアント上の動作で生成されるイベントデータでも名前で区別されます パイロットシステムの正常性の確認 クライアントが認識されたら 配備の妨げになるシステム問題が存在していないかどうか確認する必要があります epo サーバやシステムイベントログなど 関連するログファイルを調べます 不適切な設定やシステム異常を示すエラーや生涯を確認し McAfee Host Intrusion Prevention をインストールする前に問題を修正します 調査する主な要素は次のとおりです パッチレベル - すべてのドライバとアプリケーションが最新の状態かどうか 古いメディアプレーヤーやオーディオプレーヤー Internet Explorer ネットワークカードのドライバには 配備失敗の原因となる問題が見つかっています 最新のパッチと HotFix を適用する必要があります 互換性のないソフトウェア - ホスト上で他の侵入検知またはファイアウォールが動作していないかどうか これらのアプリケーションは無効にするか 削除する必要があります 管理者権限でのアクセス - システムにアクセスするには管理者権限が必要です ユーザに管理者権限があるかどうかも重要です ユーザがテスト中に新しいアプリケーションをインストールしてしまうと テストプロセスに支障をきたす可能性があります ユーザから管理者権限を削除できない場合には パワーユーザと異なるプロファイルの環境にシステムを配置してください 組織の考慮事項 - 異なる言語が使用されていたり 場所固有のアプリケーションや社内アプリケーションが実行されているシステムでは特別な配慮が必要です このようなシステムは 配備の第 2 段階まで保留にしておくか 動作を記録して分析する時間ができるまで特殊なアプリケーションを IPS の保護対象から除外してください 3. インストールと設定 epo サーバで Host IPS の拡張ファイルをインストールします このファイルは Host IPS ポリシー管理のインターフェースとなります Host IPS クライアントを epo リポジトリにインポートします 18

19 短期間で実装するためのベストプラクティス 3. インストールと設定 McAfee Service Portal ( でパッチの有無と KnowledgeBase の記事を確認します 最新のコンテンツを からダウンロードします 初期の保護レベルと応答の設定 保護レベルを定義するか 使用方法プロファイルと関連付けます 最も簡単なものから最初に行うという方針の場合には 標準デスクトップの使用方法プロファイルに基本的な保護レベルを適用します 詳細については 製品ガイドの IPS プロファイルの設定 または ファイアウォールポリシーの設定 を参照してください ベースラインポリシーの調整 ( オプション ) 配備を開始する前に 保護対策のデフォルトをすぐに変更する管理者もいます 危険度高のアプリケーション ( サービスとして起動するアプリケーションやオープンネットワークに接続するポートなど ) と社内アプリケーションは自動的に保護することができます 多くの場合 社内に配備されたアプリケーションの多くは配備時に IPS から除外されます 特に このようなアプリケーションがネットワーク接続を待機する場合には除外される頻度が高くなります 内部ソフトウェアの開発者は 商用アプリケーションの開発者ほどプログラムの安全性を重視していないようです たとえば Internet Explorer にリンクするプログラムの誤動作によって Internet Explorer 保護シグネチャが生成される可能性があります 内部で開発されたアプリケーションは攻撃の標的になることはないため実際の危険度は低くなります 信頼できるネットワークのリストに脆弱性スキャナの IP アドレスを追加します 既存の epolicy Orchestrator とセキュリティポリシーによって 個々の使用方法プロファイルで疑いのない動作に対する処理 ( 禁止 / 許可 ) のガイドラインが提供される場合があります 最終的には 適応モードを使用して 除外したアプリケーションのルールを個別に定義し 保護対策を実装できます このステップは ベースラインの保護レベルが確立され IPS シグネチャとポリシーに問題がなくなった後で実行してもかまいません ユーザへの通知と変更計画 IPS の保護を有効にする前に 新しい保護対策の導入をユーザに通知し システムの変更が発生する可能性があることを知らせる必要があります この事前の通知により ユーザの生産性に対する影響を抑えることができます 特に 事務所の外でノート PC を使っているユーザに対しては重要な作業となります ユーザによる IPS ブロックの変更を許可する場合 管理者はユーザに次の情報を提供する必要があります 時間制限付きのパスワード 機能を無効にする手順 Host IPS の削除権限 ( 必要な場合 ) この回避策は不用意に行わないでください これまでの準備が無駄になる可能性があります この中の 2 つはパイロットの後半で解決します 詳細については 製品ガイドの クライアント機能の定義 を参照してください ヘルプデスクチームの参加 ヘルプデスクに Host IPS の利用開始を通知します ヘルプデスクでは 対応する問題を少なくするために IPS 開始時に発生する可能性がある兆候を認識できるように準備する必要があります 19

20 短期間で実装するためのベストプラクティス 4. 最初の調整作業 パイロットホストへの Host IPS のインストール 最初は少ない数のクライアントをインストールし 問題がなければ より多くのシステムに展開していきます 1 つのシステムから始めて 次に と増やしていき 最後は 100 システムでテストします プロジェクトの流れは次のとおりです 1 インストール対象のホストの電源を入れ ネットワークに繋いで epolicy Orchestrator に接続します 2 epo 配備タスクを実行して パイロットグループ内のいくつかのホストに Host IPS エージェントをプッシュします 3 インストールが成功したかどうか確認します 問題があれば トラブルシューティングと調整を行います 4 より多くのシステムにインストールします インストールの進行中に パイロットシステムで新しいソフトウェアが正常に動作しているかどうか確認します また epo ログを監視し サーバイベントやネットワークパフォーマンスの低下を確認します いくつか問題が発生するかもしれません このような問題に対処するために パイロットを使った段階的な導入を行っています 以下の操作を実行します 1 Host IPS サービス (FireSvc.exe mfefire.exe mfevtp.exe) とフレームワークサービス (McAfeeFramework.exe) が開始しているかどうか確認します 2 これは非常に重要です 会計処理 文書編集 電子メール インターネットアクセス マルチメディア 開発ツールなど 簡単なアプリケーションを実行して 正常に動作するかどうか確認します 可能であれば ユーザに通常の作業を実行してもらいます これにより 正しい操作が検出されるかどうか確認できます 3 クライアントに問題がある場合には IPS クライアントログとクライアントオペレーティングシステムのログでエラーの詳細を確認できます 製品ガイドの Host Intrusion Prevention クライアントの使い方 を参照してください 4 パイロットグループ全体にインストールされるまで この手順を繰り返します ヒント : インストール時またはポリシー変更時には エンドユーザが通常の作業を問題なく実行できるかどうか確認してください 導入プロジェクトを成功させる上で このテストは非常に重要な作業となります 4. 最初の調整作業 パイロットグループが稼働し始めたら状態の監視を行います 2 日から 7 日間はイベントを収集し サポート対応の準備を行います 毎日の監視作業 毎日数分間 IPS イベントログを確認し アクティビティの量と種類を監視します この作業を行うと 正常な運用レベルのガイドラインとアクティビティのパターンが分かります たとえば 毎日監視を行うことで サーバの保守作業やアプリケーションの更新で定期的に行われるプロセスと活動レベルが把握できます この情報があれば 異常な動作や処理が発生したときにすぐに認識することができます 毎日確認作業を行うことで 新たに発生したイベントに対してルール ポリシー 例外リストの調整が簡単になります Host IPS では すべてのシステムコールと API コールを監視し 不正な活動引き起こすコールをブロックするので きめ細かい制御を行うことができます ネットワーク IPS システムと同様に アプリケーション ビジネス要件 ポリシー要件の変更に合わせてルールの調整を行う必要があります 20

21 短期間で実装するためのベストプラクティス 4. 最初の調整作業 Host IPS では 活動の監視と分析 対応を行うだけでなく ポリシーの変更と更新も行います また ユーザ権限の設定 サーバタスク 通知 コンテンツ更新などのシステムタスクも実行します IPS の機能を正常に保ち 効果的に実行するには これらの作業を運用レベルで行う必要があります ログの確認 イベントログデータを使用すると 情報とアプリケーションに対するアクセスの自由度と保護レベルのバランスを考慮し ポリシーを修正することができます 通常 このバランスはユーザの種類によって異なります この段階では epo サーバを介して手動でポリシーを調整します ポリシーを自動的に調整する方法については 5. 適応モードでの実行 ( オプション ) を参照してください イベント情報にアクセスするには epo サーバで [ レポート ] [Host IPS 8.0] [ イベント ] の順に選択します ドルダウン機能により イベントを発生させたプロセス イベントの発生時間 イベントを発生させたクライアントなどの詳細を確認することができます 誤検知や重大度高のシグネチャなど 赤いフラグが付いているイベントを確認します 正しいプロセスとサービスが実行されているかどうか確認します 予期したアプリケーションが実行されているかどうか また 予期しないアプリケーションが実行されないかどうか確認する必要があります 内部で開発されたアプリケーションなど 正規の活動でもイベントが記録されている可能性があります これらの誤検知については次のステップで解決します ヒント : ログデータは繰り返しが多いため 異なるルールが必要となるイベントを見過ごすことが少なくありません 大量のログを確認するときには このようなエラーが発生しないように 適宜休憩を入れてください 保護調整の開始 イベントログデータを使用して次のことを行います ブロックする必要があるイベントに対する保護レベルを強化する 正規のビジネス活動に対する誤検知をなくす 次の操作を行います 1 シグネチャに対する対応を編集する クライアントの対処方法は次の 3 つです 無視 - 何も行いません イベントは記録されず プロセスは阻止されません ログに記録 - イベントはログに記録されますが プロセスは阻止されません 阻止 - イベントはログに記録され プロセスは阻止されます 重大度高のシグネチャには 阻止 を適用します 2 例外を作成する 検出されたイベントの中で 正規の動作であり許可するイベントまたは許可してログに記録するイベントを特定します 例外ルールは 特定の条件でセキュリティポリシーを無効にします 対応応答を 無視 に設定すると そのイベントはログに記録されません たとえば ポリシーで特定のスクリプト処理が不正な動作と見なされても エンジニアリンググループの一部のシステムでスクリプトの実行を必要とする場合があります エンジニアリングシステムが正常に機能させるには このようなシステムを例外に追加し 他のシステムではスクリプトの実行を禁止します これらの例外をサーバ指定ポリシーに追加し エンジニアリンググループのみに適用されるようにします 21

22 短期間で実装するためのベストプラクティス 4. 最初の調整作業 例外を作成すると 誤検知アラートを減らし コンソールに不要なデータや無関係のデータが表示されなくなります 不要な情報を排除することにより 毎日の監視作業で重要なイベントをより速く確認することができます ヒント : 同じまたは類似した条件下で同様のすべてのシステムで機能するように 汎用的な例外を作成します 3 信頼できるアプリケーションを作成する 信頼できるアプリケーションは すべての IPS ルールとファイアウォールルールで除外されているアプリケーションプロセスです 信頼できるアプリケーションには 例外の調整に意味のない誤検知が多いプロセスだけを指定します 信頼できるアプリケーションは 使用方法プロファイルによって変わります たとえば テクニカルサポートで許可されているソフトウェアアプリケーションが財務部門では禁止されていることがあります この場合 テクニカルサポートでのみ このアプリケーションを信頼できるアプリケーションとして定義します 詳細については 製品ガイドの 信頼できるアプリケーションポリシーの設定 を参照してください 4 クエリを実行する クエリを実行すると 特定の項目に関するデータを取得し データのサブセットでフィルタリングすることができます たとえば 指定した期間内に特定のクライアントが報告した重大度高のイベントなどでフィルタリングできます 頻繁に生成されているシグネチャを探し これらのシグネチャが毎日の正規のビジネス活動で 許可できるものかどうか確認します このようなシグネチャに対しては重大度を低くします デスクトップで発生する例外の一部は正規のアプリケーション誤動作です このような動作を許可する必要はありません ユーザのアプリケーションが正常に機能していることを確認して ブロックを継続します ヒント : イベントが発生してブロックされても ユーザやアプリケーションに操作に影響がないように見える場合があります たとえば VMware エンベロープや Adobe アプリケーションはよくこのような振る舞いを見せます ユーザに影響がなければ これらのイベントは無視できます 攻撃を受ける可能性のあるクロスサイトスクリプティングなどの脆弱性は解決する必要があります 調整プロセス ユーザからクレームが届いた場合には そのユーザに直接連絡し アプリケーションが正常に動作しているかどうか確認します パイロットで調整を行う場合には 次の手順に従います 1 ポリシーを編集する - epolicy Orchestrator を使用して ポリシーと対応を編集または作成します 2 ポリシーを選択して適用する - epolicy Orchestrator を使用して 対象のシステムにポリシーを適用します この作業は手動で行います 3 変更を有効にする - epo コンソールで Host IPS ポリシーを変更した場合 次のエージェント / サーバ間通信時にこの変更が管理対象システム上で有効になります デフォルトでは この間隔は 60 分です minutes. ポリシーをすぐに施行するには epo コンソールからエージェントウェークアップコールを送信します 4 変更をテストする - 変更が正しく適用されているかどうか再度確認します 正規のビジネス活動が阻止されていないかどうか確認します また IPS ネットワークトラフィックが最小限になっているかどうか 対象に対する誤検知が少なくなっているかどうかも確認します 5 ポリシーの適用範囲を拡大する - 新しいポリシーが正常に機能していれば 関連するシステムにもポリシーを適用します 6 毎日の監視作業を継続する 22

23 短期間で実装するためのベストプラクティス 5. 適応モードでの実行 ( オプション ) IPS ポリシーの詳細については 製品ガイドの IPS ポリシーの設定 を参照してください シグネチャ対応の設定や イベントから例外と信頼できるアプリケーションを設定する方法が記載されています ファイアウォールポリシーの詳細については 製品ガイドの ファイアウォールポリシーの設定 を参照してください ダッシュボードとレポートの設定 これで よく正確にイベントを把握できるようになりました 次に epo サーバを使用して IPS とファイアウォールの情報を管理しやすくします ポリシーの対応状況 イベントの傾向 クエリの結果 問題などを簡単に確認できるように epo ダッシュボードを設定します 毎日の監視作業 週単位のレビュー 管理レポートなど 用途別にダッシュボードを保存します 特定のイベントが発生したときに特定の個人にアラートを送信するように通知機能を設定します たとえば 特定のサーバで重大度高のイベントが発生した場合に通知を送信するように設定します レポートを定期的に実行し 電子メールで関係者に送信するようにスケジュールを設定します ダッシュボードとレポートの詳細については 製品ガイドの 保護の管理 を参照してください 監視の継続 少なくともさらに 2 週間は毎日イベントを監視し ヘルプデスクの問い合わせ状況 異常性 誤検知の数を確認します ここでは 導入プロセスを慎重に行っているので サポートへの問い合わせや問題はそれほど多く発生しないはずです また 調整が必要な個所も少ないはずです ユーザやマルウェアが IPS 保護を回避するような回避策は行わないでください モジュールの無効化や Host IPS クライアントの削除は許可しないでください 5. 適応モードでの実行 ( オプション ) ソフトウェアを配備してから一通りの業務が終了したら カスタムポリシーを作成して対象を限定したルールを実装します このようなポリシーは手動でも定義できますが 適応モードを使用すると ホスト上の活動に基づいて IPS ルールポリシーを作成できます このモードでは管理者の作業は必要ありません アプリケーションを実行すると アクションを許可するために例外が作成されます 適応モードの場合 不正な活動 ( 重大度高のシグネチャ ) でなければ IPS イベントは生成されず 活動もブロックされません 例外は IPS クライアントルールとして epo サーバに記録されるので 状況を監視できます パイロットで適応モードのホストを設定して 使用方法プロファイルまたはアプリケーションごとに設定を調整します IPS 機能では 選択したクライアントルールをサーバ指定ポリシーに変換できます 調整が完了したら 適応モードをオフにして システムへの侵入を厳しく制限します ロギングモードで実行すると 活動の頻度を確認できます 同様に 適応モードでは 活動の範囲と種類を確認できます この 2 つのツールを併用すると 組織の正規のビジネス活動に適切なベースラインを設定することができます パイロットサイクルでは確認できなかった不規則な活動が見つかった場合には 例外を確認し 必要に応じてルールを手動で作成します たとえば 社内のアプリケーションを 4 か月に 1 回使用するユーザがいた場合 この活動がログに記録されず 適応モードのサイクルでも検出されない可能性があります 23

24 短期間で実装するためのベストプラクティス 5. 適応モードでの実行 ( オプション ) デフォルトでは 適応モードは重大度高のシグネチャをすべてブロックします したがって 重大度中と重大度高のシグネチャを管理する場合に適応モードを使用します これにより 無駄な情報を排除し 活動状況を的確に把握できるようになります 適応モードは効率的に例外ルールを作成します ただし 特定のシステムで一部の活動が許可されない場合があります また 新しい保護を考慮していない場合もあります このため 適応モードは期間限定で使用する必要があります 作成された例外を確認し ( 各例外にはインスタンスが 1 つだけ存在します ) 適応モードで作成されたルールの中で使用できないルールを無効にします 適応モードを適用する場合には [ クライアントルールの保持 ] ポリシーオプションを選択します このオプションを選択しないと ポリシー施行間隔ごとに新しいルールが削除され 再学習が必要になります 適応モードをオフにして施行段階に移行する場合には [ クライアントルールの保持 ] オプションをオフにして epo で配信されるポリシーで施行されないルールを削除します 適応モードの適用 1 適応モードは期限付きで適用します (1 週間から 4 週間 ) 2 クライアントルールを評価します 3 不適切なルールを無効にします 4 [IPS クライアントルール ] タブで 正規のクライアントルールを他のクライアントのポリシーに直接移動します 5 適応モードをオフにします 6 設定されている場合には [ クライアントルールの保持 ] オプションをオフにします ヒント : 知らないうちに新しいルールが作成されないように 適応モードを必ずオフにしてください ベストプラクティス 正常な活動をすべて検出するために 少なくとも 1 週間はクライアントを適応モードで実行します バックアップやスクリプト処理など スケジュールで実行される活動の回数を選択します クライアントルールを epo コンソールで管理し 通常表示 フィルタリング表示または集計表示でルールを確認します 自動的に作成されたクライアントルールを使用して より詳しいポリシーを新たに定義するか 既存のポリシーに新しいルールを追加し 更新後のポリシーを他のクライアントに適用します [ クライアントルールの保持 ] ポリシーオプションを選択します 選択しないと ポリシー施行間隔ごとにルールが削除されます 作成された例外を確認します ここで危険な活動を阻止できない場合には 適応モードをオフにします 新しいアプリケーションの例外を作成するために 一時的に適応モードをオンにし 例外をポリシーに追加します 適応モードで IPS ポリシーを使用する方法については 製品ガイドの IPS ポリシーの設定 を参照してください 適応モードでファイアウォールポリシーを使用する方法については 製品ガイドの ファイアウォールポリシーの設定 を参照してください 注意 : 適応モードでは 正規の活動と正規外の活動の両方が許可されます これらの活動を受け入れるルールは 管理者の承認なしで作成されます 作成されたルールごとに記録される例外イベントは 1 つだけです ルールの作成後 同じ活動は報告されません 通知は 1 24

25 短期間で実装するためのベストプラクティス 6. 調整の修正 回しか送信されないので 承認されないルールを排除するには確認と対応を慎重に行う必要があります 6. 調整の修正 ここまでで 活動に対するベースラインの応答が決まりました 次に 保護レベルを向上させ 施行します この作業を行うには IPS 保護ポリシーで適切なカテゴリを選択します これらの調整作業は毎日の監視作業の中で行うことも パイロット段階で繰り返し行うこともできます 既存の保護レベルでシステムを正常に動作させるため 各段階の後で少なくとも 2 週間が経過してから変更の必要性を検討します 最大の保護レベル IPS 保護ポリシーの拡張保護カテゴリを使用すると 重大度高と重大度中のシグネチャが阻止され 残りのシグネチャは無視されます ポリシーの拡張保護の準備カテゴリでは 中間段階として重大度中のシグネチャのロギングを先に実行します ロギングを有効にすると 保護レベルを強化したときに影響を受ける活動について詳しい情報が提供されます これにより 精度の高いポリシー管理を行い 予期しない問題の発生を防ぐことができます 業務が問題なく継続している場合には 保護設定を基本から拡張に変更します ネットワーク内の他のシステムにもこの作業を行います ポリシーの最大保護カテゴリは保護された専用の動作環境に最適です 最大保護では重大度低のシグネチャもブロックされるので 十分なテストを行ったうえで慎重に配備する必要があります 最大保護を有効にする前に 試験的に最大保護の準備カテゴリを使用すると 変更による影響を確認できます 非常に慎重に導入作業を進めている場合 これまでに説明してきた手順に従ってパイロットと同じ保護レベルで変更を行うことができます 変更を検証するテストサイクルの前に回避策と適応モードを有効にした場合には テストサイクル終了後にこれらを無効にしてください 調整の継続 例外と発生した問題を確認します 最初の調整段階で説明した手順に従って これらの例外と問題を管理します ヘルプデスクへの問い合わせを監視し アクセスのブロック 誤検知 新しいアプリケーションによるクレームや問題を確認します このような問題は最小限に抑える必要がありますが 常に新しい要件が発生します 生成された例外を定期的に確認します ポリシーを適宜調整します epo サーバからホストシステムにポリシーの更新を送信します これらのポリシーを関連するシステムに適用する必要があります 7. 保守作業と展開 前のステップまでで基本的な導入プロセスを概観しました システムに中レベルの保護を実施したら 高度な保護レベルに移行します 引き続き 定期的に監視を行い ポリシーの更新とシステムの保守作業を行う必要があります ここでは 保護するシステムの拡大と保護レベルの強化について検討します このレベルでは より強固なポリシーと Host IPS の機能を実行します 25

26 短期間で実装するためのベストプラクティス 7. 保守作業と展開 保守作業 McAfee は 新しいシグネチャの更新を頻繁にリリースしています また 機能の更新やパッチも適宜提供しています 推奨されるベストプラクティスは次のとおりです 更新スケジュールを設定し epo サーバが定期的に McAfee リポジトリから更新を取得し クライアントが更新を利用できるようにします 最初の導入時に調整が必要なカスタムアプリケーションの数が多い場合には パイロットグループのシステムのテスト用として Host IPS コンテンツをリポジトリの 評価バージョン ブランチに配置します パイロットグループが新しいコンテンツを認証したら コンテンツを 最新バージョン ブランチに移動し 広範囲に配備することができます Microsoft 製品を使用している場合には 毎月第 1 火曜日のパッチリリースに合わせてコンテンツダウンロードのスケジュールを設定します ルールを調整する時間やリソースがない場合があるため 新しいアプリケーションをインストールした後に適応モードでシステムのプロファイルを作成し その結果作成されたクライアントルールをサーバに送信します これらのクライアントルールを既存のポリシーまたは新しいポリシーに追加し そのポリシーを他のコンピュータに適用し 新しいソフトウェアを処理することができます 変更管理とソフトウェアリリースのプロセスに IPS のテストを追加します Microsoft のパッチ サービスパックまたは製品の配備を準備するときに パイロット環境の IPS システムでテストを行います これにより 大量に配備する前に十分な調整を行うことができます 展開 組織によっては 次のいずれかのオプションで配備環境を展開できます ユーザへの影響を最小限にし 異常をすぐに診断できるようにするため 変更の導入を段階的に行う必要があります 誤った設定を行ったり 有効な保護オプションを見落とすよりも 慎重に作業を進めるべきです 次の手順で展開します テスト済みの使用方法プロファイルを使用して 追加したシステムに同じ保護を配備します 大半のコンピュータは少数の使用方法プロファイルですむため 数千台のコンピュータでも Host IPS を簡単に管理できます 少数のポリシールールを保守するだけですむため 大規模な配備の管理でも容易に行うことができます パイロット環境に標準化されたデスクトップしかなく ロギングを有効にして適応モードで実行している場合には このプロセスをパワーユーザとサーバにも行います 新しい使用方法プロファイルとユーザコミュニティを追加します ファイアウォールルールを実装します パイロットプロセスに従います ルールと学習モードの詳細については 製品ガイドを参照してください 26

27 epolicy Orchestrator へのインストール このバージョンの Host Intrusion Prevention を使用するには 購入したセキュリティ対策と実行中の epolicy Orchestrator のバージョンに応じて epolicy Orchestrator に 1 つ以上の拡張ファイルをインストールする必要があります 必要な拡張ファイルは次のとおりです 表 3: ファイアウォール機能のみ McAfee epo のバージョン ファイル名 必要な拡張ファイル 機能 4.0 HOSTIPS_8000.zip Host Intrusion Prevention ファイアウォール機能 help_epo_103x.zip epo ヘルプ Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ 4.5 HOSTFW_8000_45.zip Host Intrusion Prevention ファイアウォール機能 Host IPS の詳細拡張ファイル 自動応答機能 * ヘルプコンテンツ :hip_800_help Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ 4.6 HOSTFW_8000_46.zip Host Intrusion Prevention ファイアウォール機能 Host IPS の詳細拡張ファイル 自動応答機能 * ヘルプコンテンツ :hip_800_help Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ * Host Intrusion Prevention 拡張ファイルがインストールされている場合にのみ有効 表 4: IPS とファイアウォール機能 McAfee epo のバージョン ファイル名 必要な拡張ファイル 機能 4.0 HOSTIPS_8000.zip Host Intrusion Prevention ファイアウォール機能 HostIPSLicense.zip Host IPS ライセンスの延長 IPS 機能 * help_epo_103x.zip epo ヘルプ Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ 4.5 HOSTIPS_8000_45.zip Host Intrusion Prevention ファイアウォール機能 Host IPS の詳細拡張ファイル 自動応答機能 * Host IPS ライセンスの延長 IPS 機能 * ヘルプコンテンツ :hip_800_help Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ 4.6 HOSTIPS_8000_46.zip Host Intrusion Prevention ファイアウォール機能 27

28 epolicy Orchestrator へのインストール拡張ファイルのインストール McAfee epo のバージョン ファイル名 必要な拡張ファイル 機能 Host IPS の詳細拡張ファイル 自動応答機能 * Host IPS ライセンスの延長 IPS 機能 * ヘルプコンテンツ :hip_800_help Host Intrusion Prevention 8.0 の情報を含む epo ヘルプ * Host Intrusion Prevention 拡張ファイルがインストールされている場合にのみ有効 epolicy Orchestrator 4.5 と 4.6 の場合には 1 つの拡張ファイルに複数の.zip ファイルが含まれています これらは別々の拡張ファイルとしてインストールされます それぞれの機能は前述のとおりです Host Intrusion Prevention 8.0 がインストールされた epolicy Orchestrator 4.0 をバージョン 4.5 または 4.6 にアップグレードするには Host IPS の詳細拡張ファイル (HostIpsAdv.zip) と Help コンテンツ拡張ファイル (help_hip_800.zip) の 2 つの拡張ファイルをインストールする必要があります この操作を行うには 該当するバージョンの epolicy Orchestrator に Host Intrusion Prevention の拡張ファイルをインストールします あるいは 拡張ファイルを開いて インストールされていない拡張ファイルをインストールします 拡張ファイルの ZIP ファイルの内容は次のとおりです 表 5: ZIP 形式の複数の拡張ファイルのコンテンツ HOSTFW_8000_45.zip HOSTIPS_8000.zip HOSTFW_8000_46.zip HOSTIPS_8000_Lite.zip HOSTIPS_8000_45.zip HOSTIPS_8000.zip HOSTIPS_8000_46.zip HOSTIPS_8000_Lite.zip HostIpsAdv.zip HostIpsAdv.zip HostIPSLicense.zip HostIPSLicense.zip help_hip_800.zip help_hip_800.zip HostIpsAdv.zip.zip HostIpsAdv.zip help_hip_800.zip help_hip_800.zip 目次 拡張ファイルのインストール 拡張ファイルの削除 拡張ファイルのインストール Host Intrusion Prevention をインストールするには epolicy Orchestrator に製品の拡張ファイルを追加します Host IPS 拡張ファイルを更新または置換する場合にも このプロセスを実行します 操作を始める前に Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場合には Host Intrusion Prevention 拡張ファイルに更新してから Host Intrusion Prevention 8.0 拡張ファイルをインストールしてください これにより バージョン 8.0 ポリシーのインストールと移行が正常に行われます タスク 1 epolicy Orchestrator 4.0 の場合には [ 設定 ] [ 拡張ファイル ] の順に移動します epolicy Orchestrator 4.5 以降の場合には [ ソフトウェア ] [ 拡張ファイル ] の順に移動します 2 [ 拡張ファイルをインストール ] をクリックします 28

29 epolicy Orchestrator へのインストール拡張ファイルの削除 3 [ 拡張ファイルのインストール ] ダイアログボックスで 必要な Host IPS 拡張ファイルの ZIP ファイルへのパスを選択して [OK] をクリックします 注意 : このプロセスは 完了までに数分がかかる場合があります 4 拡張ファイルがインストールされてサマリ画面が表示されたら [OK] をクリックします 5 手順 2 から手順 4 を繰り返して 必要な拡張ファイルをインストールします epolicy Orchestrator 4.0 では Host Intrusion Prevention と Host IPS ライセンスの延長 ( インストールされている場合 ) が管理対象製品リストに表示されます epolicy Orchestrator 4.5 と 4.6 では Host Intrusion Prevention が管理対象製品リストに表示され インストールされている製品拡張ファイルが右ペインに表示されます 拡張ファイルの削除 epolicy Orchestrator サーバから Host Intrusion Prevention 8.0 を削除するには 拡張ファイルを削除します 注意 : 拡張ファイルを削除すると すべてのポリシーとポリシー割り当てが削除されます McAfee サポートの指示がない限り この操作をトラブルシューティング目的で行わないでください epolicy Orchestrator 4.0:[ 設定 ] [ 拡張ファイル ] の順に移動し [ 管理対象製品 ] リストで [Host Intrusion Prevention 8.0.0] ( または [Host IPS ライセンスの延長 ]) を選択して [ 削除 ] をクリックします epolicy Orchestrator 4.5 以降 :[ ソフトウェア ] [ 拡張ファイル ] の順に移動し [ 管理対象製品 ] リストで [Host Intrusion Prevention] を選択します 左側のページで インストールされている拡張ファイルの [ 削除 ] リンクをクリックします 注意 : 複数の Host Intrusion Prevention 8.0 拡張ファイルがインストールされている場合には 次の順番で削除してください 1 Host IPS ライセンスの延長 2 Host IPS の詳細拡張ファイル 3 Host Intrusion Prevention Host IPS ライセンスの延長を削除して再度インストールすると ホストとネットワークの両方の IPS が無効になります これらの IPS は IPS オプションポリシーを使用して手動で有効にする必要があります 29

30 ポリシーの移行 バージョン 6.1 または 7.0 ポリシーを 8.0 形式に変換しないと McAfee Host Intrusion Prevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで実行できません Host Intrusion Prevention 8.0 では epolicy Orchestrator の [ 自動処理 ] の下にある Host IPS ポリシー移行ツール機能を使用すると ポリシーを簡単に管理できます 移行中にポリシーが変換され 移動されます ポリシーを移行すると ポリシーカタログで該当する Host IPS 8.0 製品機能とカテゴリの下に表示され ポリシー名の後に [6.1] または [7.0] という文字列が続きます 次の場合を除き すべてのポリシーが変換され 対応するバージョン 8.0 ポリシーに移行されます アプリケーションブロックオプションポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました アプリケーションブロックルールポリシーは IPS ルールポリシーに移行され アプリケーションフックと呼び出し保護 < 名前 > [6.1 または 7.0] という名前に変わります バージョン 8.0 では これらのポリシーは削除されています これらのポリシーが IPS ルールポリシーに移行されると アプリケーション保護ルールリストは空になります 例外リストには アプリケーションフックで信頼できる と設定されたデフォルトの信頼アプリケーションの例外が残ります 移行後のポリシーを使用するには マルチインスタンスポリシー設定で個人用のデフォルト IPS ルールを割り当てる必要があります このポリシーは コンテンツの更新により最新のアプリケーション保護リストを使用します 注意 : アプリケーションブロックルールポリシーでフックがブロックされるアプリケーションは移行されません このアプリケーションは 移行後に IPS ルールポリシーのアプリケーション保護ルールに手動で追加する必要があります ファイアウォール隔離オプションポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました ファイアウォール隔離ルールポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました IPS クライアントルールとファイアウォールクライアントルールは移行されません 注意 : 継承が無効になっている場合を除き ポリシー割り当ては移行時に自動的に実行されます ポリシーを移行した後は必ずポリシー割り当てを確認してください 移行シナリオ バージョン 8.0 へのポリシーの移行は 6.1 と 7.0 のポリシーの場合と似ています これは すべてのプラットフォームに該当します 移行前の Host Intrusion Prevention のバージョン... バージョン 8.0 への移行方法 Host IPS 8.0 拡張ファイルを epolicy Orchestrator にインストールします 30

31 ポリシーの移行以前のバージョンからのポリシーの移行 移行前の Host Intrusion Prevention のバージョン... バージョン 8.0 への移行方法... Host IPS 8.0 の移行機能を実行して 6.1 のポリシーを 8.0 のポリシーに移行します 移行後のポリシーとポリシー割り当てを確認します Host IPS 8.0 クライアントを配備し Host IPS 6.1 クライアントと入れ替えます 最新のコンテンツを Host IPS 8.0 クライアントに配備します 7.0.x Host IPS 8.0 拡張ファイルを epolicy Orchestrator にインストールします Host IPS 8.0 の移行機能を実行して 7.0 のポリシーを 8.0 のポリシーに移行します 移行後のポリシーとポリシー割り当てを確認します Host IPS 8.0 クライアントを配備し Host IPS 7.0 クライアントと入れ替えます 最新のコンテンツを Host IPS 8.0 クライアントに配備します ヒント : Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場合には Host Intrusion Prevention 拡張ファイルに更新してから Host Intrusion Prevention 8.0 拡張ファイルをインストールしてください これにより バージョン 8.0 ポリシーのインストールと移行が正常に行われます 目次 以前のバージョンからのポリシーの移行 XML ファイルによるポリシーの移行 以前のバージョンからのポリシーの移行 Host Intrusion Prevention 8.0 のインストール後に McAfee Host Intrusion Prevention 6.1 または 7.0 拡張ファイルが存在している場合 最も簡単な方法は既存のすべてのポリシーを直接移行する方法です タスク 1 [ 自動処理 ] [Host IPS ポリシー移行ツール ] の順にクリックします 2 epo ポリシーカタログ内の Host IPS 6.1 ポリシーまたは epo ポリシーカタログ内の Host IPS 7.0 ポリシーの [ アクション ] で移行をクリックします 3 ポリシーの移行が完了したら [ 閉じる ] をクリックします バージョン 6.1 または 7.0 の IPS ファイアウォール 全般機能ポリシーがバージョン 8.0 に変換され 名前の後に [6.1] または [7.0] が付きます アプリケーションブロックルールのポリシーは アプリケーションフック保護 [6.1] または [7.0] の IPS ルールポリシーに変換されます 注意 : ポリシー移行を再度実行すると 同じ名前で移行されたポリシーは上書きされます このプロセスは必須です 既存の 6.1 または 7.0 ポリシーはすべて移行されます 移行するポリシーを選択する場合には XML ファイルを使用して移行プロセスを実行してください 31

32 ポリシーの移行 XML ファイルによるポリシーの移行 XML ファイルによるポリシーの移行 McAfee Host Intrusion Prevention 6.1 または 7.0 の拡張ファイルがインストールされていない場合 1 つのポリシーを選択して XML ファイルをエクスポートすると XML ファイルを使用して移行ができます また ポリシーを選択して移行する場合にも同じ操作が実行できます このプロセスでは 最初に 6.1 または 7.0 ポリシーを XML 形式にエクスポートします 次に XML ファイルの内容を変更し McAfee Host Intrusion Prevention 8.0 ポリシーに変換します この XML ファイルは Host IPS 8.0 ポリシータログにインポートされます 操作を始める前に このプロセスを実行するには エクスポートされたポリシーを含む XML ファイルが存在していなければなりません [ ポリシーカタログ ] ページまたは個々の Host IPS ポリシーページで [ エクスポート ] を選択し ポリシーを XML ファイルにエクスポートします タスク 1 [ 自動処理 ] [Host IPS ポリシー移行ツール ] の順にクリックします 2 XML ファイルの Host IPS 7.0 ポリシーのアクションで [ 移行 ] をクリックします 3 [ ポリシー XML ファイル ] ダイアログボックスで 移行する Host IPS 6.1 の XML または Host IPS 7.0 の XML file を検索して [OK] をクリックします XML ファイルがバージョン 8.0 形式のポリシーに変換されます 4 変換後の XML ファイルへのリンクを右クリックして ファイルを保存し インポートに使用します 5 XML ファイルを epo ポリシーカタログにインポートします ポリシーのエクスポートとインポートの詳細については epolicy Orchestrator のマニュアルを参照してください 32

33 Windows クライアントのインストール このセクションでは ワークステーションまたはサーバ向けの McAfee Host Intrusion Prevention 8.0 Windows クライアントの要件 プロパティ インストール方法について説明します 目次 Windows クライアントの詳細 リモートからの Windows クライアントのインストール ローカルでの Windows クライアントのインストール ポリシーと IPS コンテンツの適用 Windows クライアントの削除 Windows クライアントの詳細 Host Intrusion Prevention 8.0 の Windows クライアントは epolicy Orchestrator 4.0 以降 McAfee Agent 4.0 以降および Host Intrusion Prevention 8.0 拡張ファイルで機能します epolicy Orchestator のインストール方法 システム データベースおよびソフトウェアの要件については epolicy Orchestrator インストールガイド を参照してください ハードウェア最小要件 ワークステーションまたはサーバ向けの Windows クライアントのハードウェア要件とネットワーク要件は次のとおりです プロセッサ - Intel または AMD x86/x64 ディスクの空き容量 ( クライアント ) - 15 MB ただし インストール時は 100 MB メモリ MB 以上の RAM ネットワーク環境 - Microsoft または Novell NetWare ネットワーク NetWare ネットワークの場合には TCP/IP が必要です NIC - ネットワークインターフェースカード 10mbps 以上 サポートされるオペレーティングシステム Windows XP SP2 SP3 (32 ビットのみ ) Professional Edition Windows Vista Vista SP1 (32 ビット /64 ビット ) Business Edition Enterprise Edition Ultimate Edition 33

34 Windows クライアントのインストール Windows クライアントの詳細 Windows 7 (32 ビット /64 ビット ) Professional Edition Enterprise Edition Ultimate Edition Windows Server 2003 SP R R2 SP2 (32 ビット /64 ビット ) すべてのエディション Windows Server SP SP R2 (32 ビット /64 ビット ) すべてのエディションサポートされる仮想プライベートネットワーク (VPN) クライアント AT&T Global Network Services Client CheckPoint VPN Client R60 R71 Cisco IPSec VPN Client 5.0 Cisco SSL VPN Client 2.4 Citrix SSL F5 Firepass ( ) ipass 3.5 Juniper Netscreen VPN Client 10.7 Juniper Network Connect SSL VPN v6.4 Microsoft Forefront UAG 2010 Microsoft VPN NCP Secure Entry Client for Win32/64 NetMotion Mobility XE 7.2 Nortel Contivity VPN Client 10.x SafeNet HARemote v2.0 VPN Clients SonicWALL Global VPN Client 4.0 WatchGuard VPN サポートされる仮想化プラットフォーム VMware ESX VMware Vsphere 4.0 VMware View VMware Thin App VMware ACE VMware Workstation VMware Player VMware Server Citrix Xen Server Citrix Xen Desktop Citrix Xen App Microsoft Hyper-V Server R2 34

35 Windows クライアントのインストールリモートからの Windows クライアントのインストール Microsoft Windows Server 2008 Hyper-V R2 Microsoft VDI ( バンドル ) MED-V SP1 App-V SCVMM R2 SCCM 2007SP R2 SCOM R2 Microsoft App-V Windows 7 XP モード (32 ビット /64 ビット ) サポートされるデータベース MS SQL 2000 MS SQL 2005 MS SQL R2 リモートからの Windows クライアントのインストール クライアントを epo サーバから配備するには 配備パッケージを epolicy Orchestrator のマスターリポジトリに追加してからクライアントコンピュータに配備します 詳細については epolicy Orchestrator 製品ガイド を参照してください タスク 1 epolicy Orchestrator 4.0 の場合には [ ソフトウェア ] [ マスターリポジトリ ] の順に移動し [ パッケージのチェックイン ] をクリックします epolicy Orchestrator 4.5 以降の場合には [ アクション ] [ パッケージのチェックイン ] の順に選択します 2 [ 製品またはアップデート (.ZIP)] を選択して [ 参照 ] をクリックします 3 Host IPS クライアントパッケージの.zip ファイルを選択し [ 開く ] をクリックします 4 [ 次へ ] をクリックして [ 保存 ] をクリックします 5 [ システム ] [ システムツリー ] の順に移動し クライアントコンピュータをインストールするシステムのグループを選択します 6 epolicy Orchestrator 4.0 の場合には [ クライアントタスク ] に移動し [ 新規タスク ] をクリックします epolicy Orchestrator 4.5 以降の場合には [ アクション ] [ 新規タスク ] の順に選択します 7 タスクビルダウィザードで タスクの名前を指定してタスクリストから [ 製品配備 ] を選択し [ 次へ ] をクリックします 8 クライアントのプラットフォームを選択し インストールする製品として [Host Intrusion Prevention 8.0] を選択して [ 次へ ] をクリックします 9 タスクの実行スケジュールを設定して [ 次へ ] をクリックし [ 保存 ] をクリックします タスクをすぐに実行するように設定した場合 エージェントウェークアップコールを実行します 35

36 Windows クライアントのインストールローカルでの Windows クライアントのインストール ローカルでの Windows クライアントのインストール epolicy Orchestrator を使用せずに Windows ワークステーション ラップトップ またはサーバにクライアントソフトウェアを直接インストールすることができます この操作は手動で実行することも 他社製のソフトウェアを使用して複数のシステムに配備することもできます 操作を始める前に 以前のバージョンのクライアントが存在する場合には インストールを実行する前に IPS 保護を無効にします タスク 1 クライアントのインストールパッケージファイルをクライアントコンピュータにコピーします 2 パッケージに含まれているインストールプログラム (McAfeeHip_ClientSetup.exe) を実行します 3 画面の指示に従い インストールを完了してください ポリシーと IPS コンテンツの適用 クライアントをインストールしたら システム情報と Host Intrusion Prevention 8.0 のプロパティが epo コンソールにレポートされることを確認します 詳細については epolicy Orchestrator 製品ガイド を参照してください これで Windows クライアント用の IPS ポリシーを監視および配備する準備ができました 詳細については Host Intrusion Prevention 8.0 製品ガイド を参照してください クライアントで最新のコンテンツを使用するため 最新の Host Intrusion Prevention コンテンツ更新パッケージをダウンロードして epo リポジトリに配備用としてチェックインします コンテンツの更新は クライアントで McAfee Agent の [ 今すぐ更新 ] コマンドを実行すると取得できます ただし Host Intrusion Prevention の管理者によって この更新プロセスが設定されている必要があります 詳細については McAfee Host Intrusion Prevention 製品ガイド の Host IPS 保護の更新 を参照してください epo コンソールから製品のパッチとアップグレードを配備する場合には epolicy Orchestrator 製品ガイド の手順に従ってください 製品のパッチとアップグレードをインストールするには IPS 保護が無効になっていることを確認してから この章で説明した手順に従ってインストールしてください 他社製のソフトウェアで Host Intrusion Prevention をクライアントコンピュータに配備している環境向けに 自動アップグレードなどの保守作業に役立つユーティリティ (client_control.exe) を用意しています このコマンドラインユーティリティはクライアントパッケージに含まれています このユーティリティをインストールスクリプトとメンテナンススクリプトに追加すると IPS 保護を一時的に無効にし ロギング機能を有効にすることができます このコマンドの使用方法の詳細については McAfee Host Intrusion Prevention 製品ガイド の 付録 B. Clientcontrol.exe ユーティリティ を参照してください パラメータやセキュリティなどの説明が記載されています 36

37 Windows クライアントのインストール Windows クライアントの削除 Windows クライアントの削除 Host Intrusion Prevention クライアントは リモートから epolicy Orchestrator サーバの配備タスクを実行して削除することも クライアントコンピュータ上で直接削除することもできます epo サーバからの操作する場合 クライアントに配備タスクを実行し Host Intrusion Prevention のアクションとして [ 削除 ] を選択します クライアントコンピュータ上で直接操作する場合 システムトレイアイコンでクライアントコンソールが使用できない場合には クライアントが削除できるように コンソールをアクセス可能にします タスク 1 epo サーバで ソフトウェアを削除するシステムを選択します 2 Host Intrusion Prevention のクライアント UI ポリシーオプション [ アプリケーションの追加と削除 ] のリストに製品を表示する を施行します 3 Host Intrusion Prevention の配備タスクを [ 無視 ] に設定します 4 クライアントコンピュータで パスワードを入力してクライアントインターフェースのロックを解除します 5 [ ホスト IPS を有効にする ] の選択を解除します 6 コントロールパネルの [ アプリケーションの追加と削除 ] を使用して Host Intrusion Prevention を削除します 7 コンピュータを再起動します Windows でのトラブルシューティングの方法 クライアントのインストール時や削除時に問題が発生した場合 調査する点がいくつかあります 必要なファイルがすべて正しいディレクトリにインストールされているかどうか クライアントが実行されているかどうかを確認します また プロセスログも確認します Windows インストールファイルの確認 インストール後 フォルダとファイルがクライアントにインストールされているかどうか確認します インストール先のフォルダは C:\Progarm Files\McAfee\Host Intrusion Prevention です このフォルダには次のファイルとフォルダがインストールされています ファイル名 FireSvc.exe VSCore/Release/mfefire.exe VSCore/Release/mfrvtp.exe McAfeeFire.exe 説明 Host Intrusion Prevention サービス クライアントコンソール インストールの履歴は C:\Windows\Temp\McAfeeLogs\McAfeeHip8_Install_<version>.log に記録されています このファイルに Product: McAfee Host Intrusion Prevention -- Installation operation completed successfully というエントリがあれば クライアントは正しくインストールされています 37

38 Windows クライアントのインストール Windows クライアントの停止 ログファイルは C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\ または C:\ProgramData\McAfee\Host Intrusion Prevention (Vista Windows 7 の場合 ) にあります Windows クライアントの実行状況の確認 クライアントが正しくインストールされていても 操作時に問題が発生する場合があります たとえば epo コンソールにクライアントが表示されない場合は クライアントが実行されているかどうかを確認してください コマンドプロンプトを開き tasklist \svc と入力します 次のサービスが実行されているかどうか確認します FireSvc.exe mfefire.exe mfevtp.exe 実行されていない場合 次の操作を実行します 1 C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe を実行して クライアントコンソールを開きます 2 コンソールのロックを解除します [ タスク ] [ ユーザインターフェースのロック解除 ] の順に選択し デフォルトのパスワード (abcde12345) を入力します 3 デバッグを設定します [ ヘルプ ] [ トラブルシューティング ] の順に選択して ファイアウォールと IPS に詳細デバッグログを有効にします 4 ホスト IPS とネットワーク IPS の両方を無効にします 5 コマンドプロンプトを開いて net start enterceptagent を実行し クライアントサービスを開始します サービスが開始しない場合には FireSvc.log ファイルでエラーメッセージまたは警告メッセージを確認し サービスが開始しない原因を調べます Host IPS イベントのトリガー状況の確認 クライアントが正しくインストールされ 正常に実行されたら IPS 保護が機能しているかどうか確認します まず クライアントコンソールで Host IPS を有効にします 次に クライアントのインストールディレクトリ (C:\Progarm Files\McAfee\Host Intrusion Prevention) にテキストファイルを作成します この操作は拒否され この場所に保存する権限がないことを示すエラーメッセージが表示されます HipShield.log の最初から終わりまでチェックし 違反がないかどうか確認します 次のシグネチャがトリガーされていることを確認します 1001 Windows Agent Shielding -- File Modification. Windows クライアントの停止 トラブルシューティングの際に 実行中のクライアントの停止と再起動が必要になる場合があります タスク 1 IPS 保護を無効にします ( 有効になっている場合 ) 次のいずれかの操作を実行します epo コンソールで [IPS オプション ] を [ オフ ] に設定し このポリシーをクライアントに適用します 38

39 Windows クライアントのインストール Windows クライアントの再起動 クライアントコンソールを開き [IPS ポリシー ] タブで [ ホスト IPS を有効にする ] の選択を解除します 注意 : クライアントを停止するために ファイアウォールを無効にする必要はありません 2 コマンドプロンプトを開き 次のコマンドを実行します net stop enterceptagent Windows クライアントの再起動 トラブルシューティングの際に 実行中のクライアントの停止と再起動が必要になる場合があります タスク 1 コマンドプロンプトを開き 次のコマンドを実行します net start enterceptagent 2 IPS 保護が無効になっている場合には 以下のいずれかの手順で再度有効にします epo コンソールで [IPS オプション ] を [ オン ] に設定し このポリシーをクライアントに適用します クライアントコンソールを開き [IPS ポリシー ] タブで [ ホスト IPS を有効にする ] を選択します 39

40 Solaris クライアントのインストール このセクションでは McAfee Host Intrusion Prevention 8.0 の Solaris クライアントの要件 プロパティ インストール方法について説明します このクライアントにより Solaris サーバ上のファイルとアプリケーションを侵害する有害な攻撃を未然に防ぐことができます 特に サーバオペレーティングシステム Apache Web サーバおよび Sun Web サーバをバッファオーバフロー攻撃から保護します 目次 Solaris クライアントの詳細 ポリシーと IPS コンテンツの適用 Solaris クライアントの削除 Solaris でのトラブルシューティングの方法 Solaris クライアントの停止 Solaris クライアントの再起動 Solaris クライアントの詳細 Host Intrusion Prevention 8.0 の Solaris クライアントは epolicy Orchestrator 4.0 以降 McAfee Agent 4.0 および Host Intrusion Prevention 8.0 管理コンポーネントで機能します epolicy Orchestator のインストール方法と使い方については epolicy Orchestrator インストールガイド を参照してください ハードウェア最小要件 SPARC sun4u/sun4v (32 ビット /64 ビットプラットフォーム ) 256 MB 以上の RAM ハードディスクに 10 MB 以上の空き容量 サポートされるオペレーティングシステム SPARC Solaris 9 sun4u (32 ビット /64 ビットカーネル ) SPARC Solaris 10 sun4u/sun4v (64 ビットカーネル ) サポートされる Web サーバ Apache 以降の Web サーバ Apache 以降の Web サーバ Apache 以降の Web サーバ Sun Java Web Server 6.1 Sun Java Web Server

41 Solaris クライアントのインストール Solaris クライアントの詳細 ポリシーの適用 Solaris クライアントでは 一部の Host Intrusion Prevention 8.0 ポリシーは使用できません Host Intrusion Prevention は 危険な攻撃からホストサーバを保護しますが ファイアウォールは提供しません 有効なポリシーは次のとおりです ポリシー HIP 8.0 全般 : クライアント UI 信頼できるネットワーク信頼できるアプリケーション 使用可能なオプション なし ただし トラブルシューティングツールで [ 管理者 ] と [ 時間ベースのパスワード ] が使用できます なし [ ファイアウォールで信頼できると設定 ] を除くすべて HIP 8.0 IPS: IPS オプション ホスト IPS を有効にする 適応モードを有効にする 既存のクライアントルールを保持する IPS による保護 すべて IPS ルール 例外ルール [ シグニチャ ] ( デフォルトとカスタム HIPS ルールのみ ) 注意 : NIPS シグニチャと [ アプリケーション保護ルール ] は使用できません IPS イベント IPS クライアントルール すべて すべて HIP 8.0 ファイアウォール : ファイアウォールオプション ファイアウォールルール ファイアウォール DNS ブロック なし なし なし 注意 : クライアントは グローバルゾーンとローカルゾーンの両方をサポートします インストールできるのはグローバルゾーンだけです Solaris ゾーンサポート クライアントは グローバルゾーンとローカルゾーンの両方を保護しますが 常にグローバルゾーンにインストールされます 特定のゾーンに保護を限定するには IPS ルールポリシーのシグネチャを編集し ゾーンセクションを追加してゾーンの名前を値として記述します たとえば /zones/app がルートの app_zone というゾーンを指定すると シグネチャルールは app_zone のファイルにのみ適用され グローバルゾーンには適用されません このリリースでは Web サーバ保護を特定のゾーンに限定することはできません この例のルールは次のようになります Rule {... file { Include "/tmp/test.log" } zone { Include "app_zone" }... } 41

42 Solaris クライアントのインストールリモートからの Solaris クライアントのインストール シグネチャの編集方法については 製品ガイドまたはヘルプの 付録 A カスタムシグネチャの作成 を参照してください リモートからの Solaris クライアントのインストール クライアントを epo サーバから配備するには 配備パッケージを epolicy Orchestrator のマスターリポジトリに追加してからクライアントコンピュータに配備します 詳細については epolicy Orchestrator 製品ガイド を参照してください タスク 1 epolicy Orchestrator 4.0 の場合には [ ソフトウェア ] [ マスターリポジトリ ] の順に移動し [ パッケージのチェックイン ] をクリックします epolicy Orchestrator 4.5 以降の場合には [ アクション ] [ パッケージのチェックイン ] の順に選択します 2 [ 製品またはアップデート (.ZIP)] を選択して [ 参照 ] をクリックします 3 Host IPS クライアントパッケージの.zip ファイルを選択し [ 開く ] をクリックします 4 [ 次へ ] をクリックして [ 保存 ] をクリックします 5 [ システム ] [ システムツリー ] の順に移動し クライアントコンピュータをインストールするシステムのグループを選択します 6 epolicy Orchestrator 4.0 の場合には [ クライアントタスク ] に移動し [ 新規タスク ] をクリックします epolicy Orchestrator 4.5 以降の場合には [ アクション ] [ 新規タスク ] の順に選択します 7 タスクビルダウィザードで タスクの名前を指定してタスクリストから [ 製品配備 ] を選択し [ 次へ ] をクリックします 8 クライアントのプラットフォームを選択し インストールする製品として [Host Intrusion Prevention 8.0] を選択して [ 次へ ] をクリックします 9 タスクの実行スケジュールを設定して [ 次へ ] をクリックし [ 保存 ] をクリックします タスクをすぐに実行するように設定した場合 エージェントウェークアップコールを実行します ローカルでの Solaris クライアントのインストール epolicy Orchestrator を使用せずに Solaris サーバにクライアントソフトウェアを直接インストールすることができます クライアントのインストールファイルをクライアントコンピュータにコピーして 必要なコマンドを実行します 以前のバージョンのクライアントが存在する場合には インストールを実行する前に IPS 保護を無効にします 注意 : クライアントはローカルゾーンをサポートしますが インストールできるのはグローバルゾーンだけです タスク 1 クライアントインストールパッケージをダウンロードして MFEhip.pkg ファイルと install_hip_solaris ファイルを抽出します 2 root でログインし 次のコマンドを実行します./install_hip_solaris MFEhip.pkg 42