Untitled

Transcription

1 McAfee Host Intrusion Prevention 8.0 製品ガイド (epolicy Orchestrator 4.0 用 )

2 著作権 Copyright 2010 McAfee, Inc. All Rights Reserved. このマニュアルのいかなる部分も McAfee Inc. またはその代理店または関連会社の書面による許可なしに 形態 方法を問わず 複写 送信 転載 検索システムへの保存 および多言語に翻訳することを禁じます 商標 AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUSHIELD, MA (MCAFEE SECURITYALLIANCE ECHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD は米国法人 McAfee, Inc. または米国またはその他の国の関係会社における登録商標 または商標です McAfee ブランドの製品は赤を基調としています その他全ての登録商標及び商標はそれぞれの所有者に帰属します ライセンス情報 ライセンス条項 お客様へ : お客様がお買い求めになられたライセンスに従い 該当する契約書 ( 許諾されたソフトウェアの使用につき一般条項を定めるものです 以下 本契約 といいます ) をよくお読みください お買い求めになられたライセンスの種類がわからない場合は 販売およびライセンス関連部署にご連絡いただくか 製品パッケージに付随する注文書 または別途送付された注文書 ( パンフレット 製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル ) をご確認ください 本契約の規定に同意されない場合は 製品をインストールしないでください この場合 弊社またはご購入元に速やかにご返信いただければ 所定の条件を満たすことによりご購入額全額をお返しいたします 2

3 目次 Host Intrusion Prevention の概要...7 Host IPS 保護...7 Host IPS ポリシー...8 Host IPS のポリシー管理...9 Host IPS ポリシーの管理と調整...10 保護の管理...13 情報管理...13 Host IPS ダッシュボード...13 Host IPS クエリ...14 ポリシーの管理...17 ポリシーの場所...17 ポリシーの設定...18 デフォルトの保護と調整...19 Host IPS のポリシー移行...23 システム管理...25 Host IPS 権限セット...25 Host IPS のサーバタスク...26 Host IPS イベント通知...27 Host IPS 保護の更新...28 IPS ポリシーの設定...31 IPS ポリシーの概要...31 IPS 保護の実現方法...32 シグネチャ...33 動作ルール...34 処理...34 例外...35 アプリケーション保護ルール...35 イベント...35 IPS 保護の有効化...36 IPS オプションのポリシーの設定...37 IPS シグネチャに対する対応の設定

4 目次 IPS 保護ポリシーの設定...38 IPS 保護の定義...39 IPS ルールポリシーの設定...39 ポリシーの複数のインスタンスの割り当て...40 FAQ - マルチインスタンスポリシー...40 IPS シグネチャの機能...42 IPS アプリケーション保護ルールの機能...46 IPS 例外の機能...49 IPS イベントの監視...51 IPS イベントの管理...52 イベントからの例外の作成...53 イベントからの信頼できるアプリケーションの作成...53 IPS クライアントルールの監視...54 IPS クライアントルールの管理...54 ファイアウォールポリシーの設定...56 ファイアウォールポリシーの概要...56 ファイアウォールルールの機能...57 ファイアウォールルールグループの機能...59 Host IPS カタログの機能...62 ファイアウォールでのステートフルなパケットフィルタリングと検査...64 学習モードと適応モードがファイアウォールに与える影響...68 ファイアウォールクライアントルール...69 ファイアウォール保護の有効化...69 ファイアウォールオプションのポリシーの設定...70 FAQ - McAfee TrustedSource とファイアウォール...71 ファイアウォール保護の定義...72 ファイアウォールルールポリシーの設定...73 ファイアウォールルールの作成と編集...74 ファイアウォールルールグループの作成と編集...74 接続隔離グループの作成...75 DNS トラフィックのブロック...75 Host IPS カタログの使用...76 ファイアウォールクライアントルールの管理...77 FAQ - ファイアウォールルールでのワイルドカードの使い方...78 全般ポリシーの設定...79 全般ポリシーの概要...79 クライアント機能の定義

5 目次 クライアント UI ポリシーの設定...80 クライアント UI の全般オプションの設定...81 クライアント UI の詳細オプションとパスワードの設定...81 クライアント UI のトラブルシューティングオプションの設定...82 信頼できるネットワークの定義...84 信頼できるネットワークポリシーの設定...84 信頼できるアプリケーションの定義...85 信頼できるアプリケーションポリシーの設定...85 信頼できるアプリケーションルールの作成と編集...86 ポリシーの複数のインスタンスの割り当て...86 Host Intrusion Prevention クライアントの作業...88 Windows クライアントの概要...88 システムトレイアイコンのメニュー...88 Windows クライアントのクライアントコンソール...90 Windows クライアントインターフェースのロックの解除...90 クライアント UI のオプションの設定...91 Windows クライアントのトラブルシューティング...92 Windows クライアントアラート...93 [IPS ポリシー ] タブについて...96 [ ファイアウォールポリシー ] タブについて...97 [ ブロックされたホスト ] タブについて...99 [ ブロックされたホスト ] リストの編集 [ アプリケーション保護リスト ] タブについて [ アクティビティログ ] タブについて Solaris クライアントの概要 Solaris クライアントでのポリシーの実施 Solaris クライアントのトラブルシューティング Linu クライアントの概要 Linu クライアントでのポリシーの実施 Linu クライアントについての注意事項 Linu クライアントのトラブルシューティング 付録 A - カスタムシグネチャと例外の作成 ルールの構造 共通セクション オプションの共通セクション ワイルドカードと変数 Windows のカスタムシグネチャ

6 目次 Windows クラス Buffer Overflow Windows クラス Files Windows クラス Hook Windows クラス Illegal Host IPS API Use Windows クラス Illegal Use Windows クラス Isapi (HTTP) Windows クラス Program Windows クラス Registry Windows クラス Services Windows クラス SQL Windows プラットフォームごとのクラスとディレクティブ Windows 以外のカスタムシグネチャ Solaris/Linu クラス UNI_file Solaris/Linu クラス UNI_apache (HTTP) Solaris/Linu クラス UNI_Misc Solaris クラス UNI_bo Solaris クラス UNI_map Solaris クラス UNI_GUID UNI プラットフォームごとのクラスとディレクティブ 付録 B - トラブルシューティング 全般的な問題 Host IPS ログ Clientcontrol.ee ユーティリティ

7 Host Intrusion Prevention の概要 McAfee Host Intrusion Prevention は 侵入の検出と防止を行うホストベースのシステムで システムリソースおよびアプリケーションを外部および内部の攻撃から保護します ワークステーション ノート PC および Web サーバやデータベースサーバなどの重要なサーバ向けに 管理可能でスケーラブルな侵入防止ソリューションを提供します また 特許取得済みの技術を用いて ゼロデイ攻撃や既知の攻撃をブロックします Host Intrusion Prevention (Host IPS または HIP) は 情報を格納および送受信するシステム ネットワークリソース アプリケーションを保護します エンドポイントファイアウォール機能と侵入防止システム (IPS) 機能により この保護対策を実現しています IPS 機能は毎月コンテンツを更新するので 新しい脅威に対する緊急パッチの適用回数が少なくなります Host Intrusion Prevention ファイアウォール機能は別売りです Host Intrusion Prevention IPS 機能と一緒に利用することもできます Host Intrusion Prevention は epolicy Orchestrator に完全に統合され このフレームワークを利用してポリシーの配信と施行を行います このアプローチは単一の管理ソリューションを提供し 全社的な世界的規模での大量導入 ( 最大 100,000 システム ) が多言語で可能となります 目次 Host IPS 保護 Host IPS ポリシー Host IPS のポリシー管理 Host IPS ポリシーの管理と調整 Host IPS 保護 Host Intrusion Prevention の必須コンポーネントをすべてインストールし 接続すると 保護の適用 イベントの監視 ポリシーとコンテンツを更新することができます 基本的な保護 Host Intrusion Prevention は 使用環境に基本的な保護を提供するデフォルトの設定で出荷されます これらの設定には以下のものを含みます IPS 保護 : 重大度高のシグネチャは阻止され 他のシグネチャは無視されます McAfee のアプリケーションは IPS 自己保護ルールを除くすべてルールに対して信頼できるアプリケーションとして示されています 定義済みのアプリケーションやプロセスは保護されています ファイアウォール保護 : 7

8 Host Intrusion Prevention の概要 Host IPS ポリシー 基本的なネットワーク接続が許可されます 注意 : Host Intrusion Prevention 8.0 を初めてインストールしたときには 保護が無効になっています IPS オプションまたはファイアウォールオプションポリシーで保護を有効にし クライアントにポリシーを適用する必要があります 詳細な保護 詳細な保護を行うためには デフォルトの設定からより強固に事前設定された設定に移行するか またはカスタム設定を作成します 新しい設定を監視して調整するためには サンプル配布から始めます 調整には 侵入防止保護 必要な情報へのアクセス およびグループの種類ごとのアプリケーション これらのバランスを取ることが必要です Host IPS ポリシー ポリシーは epolicy Orchestrator コンソールを通して構成および適用する設定の集まりです ポリシーを適用することにより 管理対象システムへのセキュリティ要求が確実に満たされます Host Intrusion Prevention には IPS ファイアウォール 全般の 3 つのポリシー機能があります それぞれの機能にセキュリティオプションが設定されています IPS とファイアウォール機能には 動作を定義するルールを含むルールポリシーと ルールの適用を有効または無効にするオプションポリシーがあります ポリシーの所有権は [ ポリシーカタログ ] 内で割り当てられます ポリシーがいったん作成された後は 編集や削除は ポリシーの作成者 ポリシーの所有者として関連付けられたユーザ またはグローバル管理者以外は行うことができません ポリシーの削除は [ ポリシーカタログ ] 内でのみ可能です IPS ポリシー IPS 機能には Windows と Windows 以外のコンピュータの両方を保護する 3 つのポリシーがあります 例外 シグネチャ アプリケーション保護ルール イベントおよびクライアントが生成した例外を詳しく記述します IPS オプション ( すべてのプラットフォーム ) IPS 保護のオン / オフと 適応モードのオン / オフを切り替えます IPS 保護 ( すべてのプラットフォーム ) シグネチャが生成するイベントに対する処理を定義します IPS ルール ( すべてのプラットフォーム ) 例外 シグネチャおよびアプリケーション保護ルールを定義します このポリリーはマルチインスタンスポリシーです 単一のポリシーではなく 複数の IPS ルールのポリシーをシステムに割り当てることができます ポリリーのコンテンツが統合され 効果的なポリシーが生成されます 設定が矛盾した場合 最も保護レベルの高い設定が適用されます ファイアウォールポリシー ファイアウォール機能には Windows コンピュータのみを保護する 3 つのポリシーがあります ネットワークトラフィックをフィルタリングし 正規のトラフィックは通過を許可し 残りはブロックします ファイアウォールオプション (Windows のみ ) ファイアウォール保護のオン / オフと 適応モードまたは学習モードの適用のオン / オフを切り替えます ファイアウォールルール (Windows のみ ) ファイアウォールのルールを定義します 8

9 Host Intrusion Prevention の概要 Host IPS のポリシー管理 ファイアウォール DNS ブロック (Windows のみ ) ブロックされるドメインネームサーバを定義します 全般ポリシー 全般機能には IPS とファイアウォールの両方の機能に適用できる 3 つのポリシーがあります クライアント UI (Windows のみ ) Windows クライアントシステムで Host Intrusion Prevention ユーザインターフェースへのアクセスを定義します トラブルシューティングオプションも定義します Windows 以外のクライアントシステムにはパスワード保護機能を提供します 信頼できるネットワーク (Windows のみ ) 安全に通信できる IP アドレスとネットワークを表示します IPS ファイアウォール機能で使用します 信頼できるアプリケーション ( すべてのプラットフォーム ) ほとんどの操作の実行について信頼できるアプリケーションを表示します IPS 機能で使用します このポリリーもマルチインスタンスポリシーです 単一のポリシーではなく 複数の信頼できるアプリケーションポリシーをシステムに割り当てることができます ポリリーのコンテンツが統合され 効果的なポリシーが生成されます 設定が矛盾した場合 最も保護レベルの高い設定が適用されます Host IPS のポリシー管理 epolicy Orchestrator コンソールにより Host Intrusion Prevention ポリシーを集中的に設定できます ポリシーの実施方法 epolicy Orchestrator コンソールで Host Intrusion Prevention ポリシーを変更すると 管理対象のシステムには 次回のエージェント / サーバ間通信に変更が反映されます この間隔は デフォルトでは 60 分ごとに発生するように設定されています 直ちにポリシーを実施するには epolicy Orchestrator コンソールからエージェントウェークアップコールを送信します ポリシーおよびポリシーのカテゴリ Host Intrusion Prevention のポリシー管理は機能とカテゴリで分類できます ポリシーカテゴリは ポリシーの特定のサブセットです ポリシーは 特定の目的に対して設定された設定のグループです ポリシーは必要な数だけ 作成 変更 または削除できます 各ポリシーには 設定済みの McAfee デフォルトポリシーが含まれており これらは編集または削除できません [IPS ルール ] と [ 信頼できるアプリケーション ] を除き すべてのポリシーには デフォルトポリシーに基づいて編集可能な個人用のデフォルトポリシーも含まれます 一部のポリシーカテゴリには 読み取り専用の設定済みポリシーがいくつか含まれます この設定済みポリシーが要件を満たしている場合 その設定済みポリシーのいずれかを適用できます これらの読み取り専用ポリシーは すべてのポリシー同様複製することができ 必要に応じてその複製をカスタマイズできます 9

10 Host Intrusion Prevention の概要 Host IPS ポリシーの管理と調整 IPS ルールと信頼できるアプリケーションポリシーはマルチインスタンスポリシーです 1 つのポリシーに複数のポリシーインスタンスを割り当てることができます ポリシーインスタンスは 1 つの有効なポリシーに自動的に統合されます ヒント : IPS ルールと信頼できるアプリケーションの McAfee デフォルトポリシーは コンテンツ更新プロセスで自動的に更新されます McAfee では これらのポリシーをすべてのクライアントに常に割り当て 追加のポリシーインスタンスを作成して この 2 つのポリシーの動作をカスタマイズすることをお勧めします ポリシーの適用方法 ポリシーは 継承または割り当てによってすべてのシステムツリーのグループまたはシステムに適用されます 継承では システムのポリシー設定がその親からのものであるかどうかを判断します デフォルトでは 継承はシステムツリー全体を通じて有効です 直接ポリシーを割り当てることで 継承を無効にできます epolicy Orchestrator で Host Intrusion Prevention を管理する場合 継承を考慮せずに ポリシーを作成して適用できます 新しいポリシーを割り当ててこの継承を無効にすると 配下のグループおよびシステムはすべて新しいポリシーを継承します ポリシーの所有 各ポリシーには 割り当てられた所有者が必要です 所有者を認めることにより グローバル管理者 ポリシーの作成者 またはポリシーの所有者として関連付けられたユーザ以外は ポリシーを変更できなくなります あらゆる管理者はカタログ内のあらゆるポリシーを利用できますが 作成者 所有者 またはグローバル管理者以外はポリシーを変更できません ヒント : 他の管理者が所有するポリシーを使用するのではなく ポリシーを複製し その複製したポリシーを割り当てることをお勧めします 所有していないポリシーを自分が管理しているシステムツリーグループに割り当て そのポリシーの所有者がポリシーを変更すると このポリシーが割り当てられたすべてのシステムでその変更が受け入れられます Host IPS ポリシーの管理と調整 Host Intrusion Prevention クライアントの配備と管理は epolicy Orchestrator から行います epo システムツリーで 属性に基づいてシステムを階層にグループ化できます たとえば 最初のレベルを地理的な場所で分類し 次のレベルをオペレーティングシステムプラットフォームや IP アドレスで分類します McAfee では システムの種類 ( サーバまたはデスクトップ ) 主要なアプリケーションの用途 (Web データベース またはメールサーバ ) 役割の点から見た場所 (DMZ またはイントラネット ) など Host Intrusion Prevention の設定条件に基づいてシステムをグループ化することをお勧めします 共通の使用方法プロファイルに適合するシステムは システムツリーの共通グループに配置できます 使用方法プロファイルにあわせて グループは たとえば Web サーバと名前を付けます 種類 機能 または地理的場所に従ってシステムツリーでグループ化されたコンピュータでは 管理機能を同じ方針で容易に分割できます Host Intrusion Prevention でも IPS やファイアウォールなどの製品機能に基づいて管理作業を分割できます コンピュータのほとんどは少数の使用方法プロファイルに合致するため 何千というコンピュータへの Host Intrusion Prevention の配備が容易に管理できます 少数のポリシールールを保守するだけですむため 大規模な配備の管理でも容易に行うことができます 配備規模が拡大するにつれ 新たに追加されるシステムは既存のプロファイルに合致するようになるため システムツリーの正しいグループのもとに配置できます 10

11 Host Intrusion Prevention の概要 Host IPS ポリシーの管理と調整 事前設定保護 Host Intrusion Prevention では 2 種類の保護方法があります 基本的な保護は MaAfee のデフォルトのポリシー設定で利用できます この保護法方では 調整の必要はほとんどなく イベントもほとんど生成されません 多くの環境では この基本的な保護で十分です また 一部の事前設定 IPS ポリシーおよびファイアウォールポリシーを使用するか カスタムポリシーを作成することで より詳細な保護を利用することができます たとえば サーバは 基本的な保護が提供するものより強力な保護を必要とします いずれの場合も 実際の作業環境に合わせて保護設定の調整が必要になります 適応モード 保護設定を調整する手段として Host Intrusion Prevention クライアントでは 正当な動作をブロックしてしまうサーバで指示したポリシーに対して クライアント側でルールを作成できます クライアントルールは クライアントが適応モードで配置されている場合に自動的に作成できます 適応モードでは クライアントルールが自動的に作成されます クライアントルールが作成されると それらのルールを分析して サーバで指示したポリシーに変換するかどうかを決定します 大規模な組織では 業務の中断を回避することがセキュリティへの配慮に優先する場合が多々あります たとえば コンピュータの中には定期的に新しいアプリケーションをインストールする必要のあるものがありますが それらの調整を行う時間も人員も足りないかもしれません Host Intrusion Prevention では IPS 保護のために特定のコンピュータを適応モードに配置できます それらのコンピュータは 新しくインストールされたアプリケーションをプロファイルし 発生したクライアントルールを epolicy Orchestrator サーバに送信します 管理者はこれらのクライアントルールを既存のポリシーまたは新しいポリシーに追加してからそのポリシーを他のコンピュータに適用し 新しいソフトウェアを処理することができます 適応モードのシステムは実際には保護されていません 適応モードは環境を調整する場合にのみ使用し 作業が終了したらモードを無効にしてシステムの保護を強化してください 調整 Host Intrusion Prevention を配備する際には 少数の明確な使用方法プロファイルを識別し そのためのポリシーを作成する必要があります 最良の方法はテスト配備を設定し 誤検知と生成されるイベントの数を減らしていくことです このプロセスを調整と呼びます IPS ルールが厳しいと より広い範囲の違反を対象とし 基本的環境に比べ多くのイベントが生成されます より詳細な保護を適用する場合 McAfee では IPS による保護ポリシーを利用して影響を緩和することをお勧めします このため 各重大度レベル ( 高 中 低 情報 ) を処理 ( 防止 ログに記録 無視 ) にマッピングする必要があります 最初は 高以外の重大度に無視を設定し 重大度高のシグネチャのみが適用されます 他のレベルは 調整を進める間に段階的に上げられます 例外ルール 信頼できるアプリケーション およびファイアウォールルールを作成して誤検知の数を減らすことができます 例外ルールは 特定の状況で IPS シグネチャポリシーを無効にするメカニズムです 信頼できるアプリケーションは すべての IPS ルールまたはファイアウォールルールを無視するアプリケーションプロセスです ファイアウォールルールは トラフィックを許可するか パケットの受信をブロックするか またパケット伝送を許可するかブロックするかを判断します 11

12 Host Intrusion Prevention の概要 Host IPS ポリシーの管理と調整 ダッシュボードとクエリ ダッシュボードを使用すると 同時に複数のクエリを表示して使用環境を追跡できます これらのクエリは 常に更新するか 指定した頻度で実行することができます クエリにより 特定の項目に関するデータを取得し たとえば指定した期間の特定のクライアントによりレポートされた高レベルのイベントなど 取得したデータの特定のサブセットにフィルタできます レポートはスケジュールして 電子メールとして送信できます 12

13 保護の管理 Host Intrusion Prevention の配布を管理する際には 動作の監視 解析と処理 ポリシーの変更と更新 システムタスクの実行を行います 目次 情報管理 ポリシーの管理 システム管理 情報管理 Host Intrusion Prevention のインストールが完了すると 使用環境で生じるセキュリティの問題を追跡し レポートを作成することができます ダッシュボードを使用すると セキュリティ状況を日単位で表示したり 特定の問題に関する詳細情報のクエリを実行できます Host IPS ダッシュボード モニタの集まりであるダッシュボードは 使用環境を管理するために必須のツールです モニタには グラフベースのクエリから MyAvert 脅威サービスのような小規模な Web アプリケーションまであらゆる形式が用意されています 権限がある場合 複数のダッシュボードを作成および編集できます 指定した頻度で更新されるダッシュボードとして任意のグラフベースのクエリを使用して 最も有用なクエリをアクティブなダッシュボードに配置できます Host Intrusion Prevention のデフォルトのダッシュボードには次のモニタがあります 表 1: Host IPS ダッシュボードとモニタ ダッシュボード モニタ Host IPS ファイアウォールステータス Host IPS のステータス サービスステータス IPS クライアントルールの数 コンテンツバージョン 上位 10 位のソース IP 別の NIPS イベント Host IPS でトリガされたシグネチャ デスクトップでトリガされた重大度高のシグネチャ デスクトップでトリガされた危険度中のシグネチャ デスクトップでトリガされた重大度低のシグネチャ サーバでトリガされた重大度高のシグネチャ サーバでトリガされた重大度中のシグネチャ サーバでトリガされた重大度低のシグネチャ 13

14 保護の管理情報管理 ダッシュボードの作成方法と使用方法については epolicy Orchestrator のマニュアルを参照してください Host IPS クエリ Host Intrusion Prevention では epolicy Orchestrator を介してクエリを実行できます epo データベースに格納されているイベントとプロパティから有用なクエリを作成するか 定義済みのクエリを使用することができます クライアントシステムを選択してグループ化し そのクエリを作成でき また製品やシステム条件によりレポート結果を制限することもできます レポートは HTML や Microsoft Ecel などのさまざまなファイル形式でエクスポートできます クエリオプション : フィルタを設定して 選択した情報のみを収集 レポートに含めるグループまたはタグを選択します 論理演算子を使用してデータフィルタを設定し レポートに反映されるデータの正確なフィルタを定義 データベースの情報からビジュアルなレポートを生成 必要に応じてレポートをフィルタリングし 印刷できます また 他のソフトウェアにエクスポートすることもできます コンピュータ イベント インストールのクエリを実行 保護解析に使用する定義済みクエリとカスタムクエリ レポート機能には Host Intrusion Prevention の定義済みクエリが含まれており カスタムクエリを作成することもできます 要件に合わせてカスタムクエリを編成し 維持します たとえば レポートの設定をカスタマイズする場合 これらの設定をテンプレートとしてエクスポートすることができます カスタムテンプレートを作成したら これらを論理的にグループ化し 必要な頻度 ( 毎日 毎週 毎月 ) で実行できるようにします レポートが生成されると フィルタの設定 ( ある場合 ) に応じたサマリの情報が表示されます このサマリの情報を使用して 同じレポートの 1 レベルまたは 2 レベル下の詳細情報にドリルダウンできます グローバル管理者と他のユーザなど ユーザに応じて 表示できるレポート情報を制御することができます 一部のユーザは 権限を持つサイトのシステムに関するレポートのみ作成できます レポート情報もフィルタを適用して管理できます カスタムクエリ クエリビルダでは Host IPS 8.0 ファイアウォールクライアントルール Host IPS 8.0 ファイアウォールクライアントルールの実行ファイル Host IPS 8.0 IPS クライアントルール Host IPS 8.0 IPS 例外の 4 つの Host IPS クエリを作成できます これらのクエリのパラメータは次のとおりです 表 2: Host IPS クエリとパラメータ クエリ Host IPS 8.0 カタログファイアウォールルールとファイアウォールクライアントルール パラメータ アクション 方向 注意 : このクエリは IPS カタログファイア 使用可能ウォールルール IPS カタログファイアウォールグループ ファイアウォールクライアント 最終変更日時ルールを戻します 可能な値は許可 ブロック 最終更新ユーザ 14

15 保護の管理情報管理 クエリ パラメータ ジャンプです グループのアクションがジャンプ LeafNode ID の場合 許可 / ブロックアクションはありませ ローカルサービスん IPS カタログルールとグループでは leafnodeid フィルタ値が 0 に設定されます ログのステータスファイアウォールクライアントルールだけを表 IP プロトコル示するには leafnodeid フィルタの値を > 0 に設定します 侵入の一致 メディアの種類 名前 メモ リモートサービス ルール ID スケジュールの終了 スケジュールの開始 期限が切れたときに切り替え トランスポートプロトコル Host IPS 8.0 ファイアウォールクライアントルールの実行ファイル フィンガープリント 名前 メモ パス ルール ID 署名者の名前 Host IPS 8.0 IPS クライアントルール 作成日 説明 実行ファイル名 実行ファイルのパス フィンガープリント 実行ファイルの完全名 すべての実行ファイルを対象にする すべてのシグネチャを対象にする すべてのユーザを対象にする 最終更新日 ローカルバージョン 対応 シグネチャ ID 署名者の名前 ステータス ユーザ名 Host IPS 8.0 IPS 例外 IPS 例外ルール IPS ルールポリシー 共通の Host IPS プロパティ Host IPS カスタムクエリと他のカスタムクエリを使用すると 次の Host IPS プロパティを追加できます エージェントの種類 IPS 適応モードステータス 15

16 保護の管理情報管理 ブロックされた攻撃者 言語 クライアントバージョン ローカルの例外ルール数 コンテンツバージョン ネットワーク IPS ステータス ファイアウォールの適応モードステータ 再起動待ちス プラグインのバージョン ファイアウォール違反 ( エラー ) 製品ステータス ファイアウォールの受信学習モードのス サービスの実行テータス HotFi/ パッチのバージョン ファイアウォールの送信学習モードのステータス 製品バージョン ファイアウォールのルール数 サービスパック ファイアウォールステータス Host IPS イベント情報 ( 非表示 既読 ) Host IPS 違反 ( エラー ) シグネチャ名 Host IPS のステータス インストールディレクトリ 定義済みクエリ カスタムクエリ以外にも 定義済みクエリを編集して必要な情報を取得することもできます 次の Host IPS 定義済みクエリから選択します HIP クエリ プロセス別クライアントルール サマリ プロセス別にファイアウォールクライアントルールを表示します プロセス / ポート範囲別クライアントルール プロセスおよびポート範囲別にファイアウォールクライアントルールを表示します プロセス / ユーザ別クライアントルール プロセスおよびユーザ別にファイアウォールクライアントルールを表示します プロトコル / システム名別クライアントルール プロトコル / ポート範囲別クライアントルール プロトコルおよびシステム名別にファイアウォールクライアントルールを表示します プロトコルおよびポート範囲別にファイアウォールクライアントルールを表示します プロトコル / プロセス別クライアントルール クライアントバージョン 再起動待ちのクライアント コンテンツバージョン ファイアウォールクライアントルールの数 IPS クライアントルールの数 デスクトップでトリガされた重大度高のシグネチャ プロトコルおよプロセス別にファイアウォールクライアントルールを表示します 1 つのカテゴリについて すべてのバージョンの中で上位 3 つのクライアントバージョンを表示します Host IPS が配備され インストーラがシステムの再起動を必要としている管理対象システムを表示します 1 つのカテゴリについて すべてのバージョンの中で上位 3 つのコンテンツバージョンを表示します 過去に作成されたファイアウォールクライアントルールの数を表示します 過去に作成された IPS クライアントルールの数を表示します 重大度高 ( 重大 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します 16

17 保護の管理ポリシーの管理 HIP クエリ デスクトップでトリガされた危険度中のシグネチャ デスクトップでトリガされた重大度低のシグネチャ サマリ 重大度中 ( 警告 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します 重大度低 ( 通知 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します Host IPS で信頼できるネットワークで発生したイベント Host IPS の信頼できるネットワーク内のシステムが生成したイベントを表示します ファイアウォールエラー ポリシーでファイアウォール機能が有効になっている管理対象システムの中で 機能が正常に開始していないシステムを表示します ファイアウォールステータス 管理対象システムの中でファイアウォールが有効または無効になっている場所を表示します Host IPS エラー Host IPS のステータス IPS 例外レポート サーバでトリガされた重大度高のシグネチャ サーバでトリガされた重大度中のシグネチャ サーバでトリガされた重大度低のシグネチャ サービスステータス 各ターゲットで発生した上位 10 個の IPS イベント 各ソース IP で発生した上位 10 個の NIPS トリガされた上位 10 種類のシグネチャ ポリシーで IPS 機能が有効になっている管理対象システムの中で 機能が正常に開始していないシステムを表示します 管理対象のシステム上で IPS 保護が有効または無効になっている場所を表示します IPS 例外を使用する IPS ルールポリシーを表示します 重大度高 ( 重大 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します 重大度中 ( 警告 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します 重大度低 ( 通知 ) の IPS シグネチャのうち 最も多く呼び出された上位 10 種類の IPS シグネチャを表示します 管理対象システムで Host IPS がインストールされ 実行されているかどうかを表示します IPS イベントが発生した上位 10 個のシステムを表示します 過去 3 か月間でネットワーク侵入イベントの多い上位 10 個のシステムをソース IP アドレス別に表示します アクションのきっかけになった上位 10 種類の IPS シグネチャを表示します ポリシーの管理 ポリシーの管理では ポリシーの設定および適用と システムリソースおよびアプリケーションに対する保護の調整を行います このプロセスの一部では イベントおよびクライアントルールの分析が必要です ポリシーの場所 epolicy Orchestrator では システムツリーで選択したグループの [ ポリシー ] タブ ([ システム ] [ システムツリー ] [ ポリシー ] の順に移動 ) または [ ポリシーカタログ ] タブ ([ システム ] [ ポリシーカタログ ] の順に移動 ) で Host Intrusion Prevention ポリシーを表示し 管理できます 選択したグループまたはシステムの [ ポリシー ] タブで 次の操作を行います 製品の特定の機能のプロパティを表示します 17

18 保護の管理ポリシーの管理 ポリシーの詳細を表示します 継承情報を表示します ポリシー割り当てを編集します カスタムポリシーを編集します [ ポリシーカタログ ] で次の操作を行います ポリシーを作成します ポリシー情報を表示して編集します ポリシーの割り当て先を表示します ポリシーの設定と所有者を表示します ポリシーの施行が無効な割り当てを表示します 操作... ポリシーの作成ポリシーの編集ポリシーの表示ポリシー名の変更ポリシーの複製ポリシーの削除 手順... [ 新しいポリシー ] をクリックし 名前を付け 設定を編集します [ 編集 ] をクリックします ( 個人用のデフォルトポリシーまたはカスタムポリシーにのみ使用できます ) [ 表示 ] をクリックします (McAfee デフォルトポリシーまたは設定済みポリシーにのみ使用できます ) [ 名前の変更 ] をクリックし ポリシーの名前を変更します ( デフォルトポリシーまたは設定済みポリシーには使用できません ) [ 複製 ] をクリックし ポリシーの名前を変更し 設定を編集します [ 削除 ] をクリックします ( デフォルトポリシーまたは設定済みポリシーには使用できません ) 注意 : ポリシーを削除した場合 そのポリシーが適用されていたすべてのグループは このカテゴリのポリシーを親から継承します ポリシーを削除する前に ポリシーが割り当てられているすべてのシステムを調べ 親からポリシーを継承させたくない場合は 異なるポリシーを割り当てます 最上位レベルで適用されているポリシーを削除した場合は このカテゴリのデフォルトポリシーが適用されます ポリシーの所有者の割り当てポリシーのエクスポートすべてのポリシーのエクスポートポリシーのインポート ポリシーの所有者をクリックし リストから別の所有者を選択します ( デフォルトポリシーまたは設定済みポリシーには使用できません ) [ エクスポート ] をクリックした後 ポリシーに名前を付けて適切な場所に保存します (ML ファイル ) [ すべてのポリシーをエクスポート ] をクリックした後 ポリシーの ML ファイルに名前を付けて適切な場所に保存します [ ポリシーカタログ ] ページ上部の [ インポート ] をクリックし ポリシーの ML ファイルを選択してから [OK] をクリックします これらの機能の詳細については epolicy Orchestrator のマニュアルを参照してください ポリシーの設定 McAfee では Host Intrusion Prevention ソフトウェアをインストールした後 毎日の作業と競合することなく最高のセキュリティが得られるようにポリシーを設定することをお勧めしています Host Intrusion Prevention のデフォルトポリシーは 非常に広い範囲のカスタマ環境に適合するため ユーザのニーズに合う可能性があります 特定の設定に適合するようにポリシーを調整するために 次の事項を推奨します 18

19 保護の管理ポリシーの管理 Host Intrusion Prevention セキュリティ設定は慎重に定義してください システムの特定部分の設定に責任を持っている人を評価して 適切な権限を許可します デフォルトの IPS 保護またはファイアウォールルールポリシーを変更することで 事前に設定された保護のレベルを向上できます 特定のシグネチャの重大度レベルを変更します たとえば ユーザの毎日の作業でシグネチャが発生する場合 重大度レベルを低く調整します コンプライアンスおよび問題の概要に対してダッシュボードを設定します 特定のイベントが発生したときに特定の個人にアラートを送信するように通知機能を設定します たとえば 特定サーバで 重大度高のイベントを発生させるアクションが実行されたときに通知を送信するようにできます ポリシーの新規作成 新しいポリシーを作成するには 既存のポリシーをコピーして名前を変更します この操作は ポリシーカタログまたは [ ポリシー ] ページから実行できます タスク オプションの定義については インターフェースの? をクリックしてください ポリシーカタログから以下のいずれかを実行します [ 新規ポリシー ] ボタンをクリックします 複製するポリシーを選択して 新しいポリシーの名前を入力し [OK] をクリックします ポリシーの [ 複製 ] リンクをクリックします 新しいポリシーの名前を入力し [OK] をクリックします ポリシーの [ 表示 ] または [ 編集 ] リンクをクリックし [ ポリシー ] ページで [ 複製 ] ボタンをクリックします 新しいポリシーの名前を入力し [OK] をクリックします 複製されたポリシーが表示されます ポリシーを編集して [ 保存 ] をクリックします ポリシー割り当ての変更 epolicy Orchestrator システムツリーのグループまたはシステムの Host Intrusion Prevention ポリシー割り当てを変更するには このタスクを実行します タスク オプションの定義については インターフェースの? をクリックしてください 次のいずれかの操作を実行します グループの場合は [ システム ] の [ システムツリー ] を表示し グループを選択して [ ポリシー ] タブで [ 割り当ての編集 ] をクリックします システムの場合は [ システム ] の [ システムツリー ] を表示し システムを含むグループを選択して [ システム ] タブでシステムを選択し [ その他のアクション ] の [1 つのシステムのポリシーを変更 ] を選択します デフォルトの保護と調整 Host Intrusion Prevention は デフォルトのポリシーを使用して基本的な保護対策を行います 手動または自動の微調整を用いて実現されるカスタム設定により 保護をより強力にすることが可能です 19

20 保護の管理ポリシーの管理 デフォルトの保護 Host Intrusion Prevention は 使用環境に基本的な保護を提供するデフォルトポリシーのセットを搭載して出荷されます デフォルトでは IPS とファイアウォール保護はいずれも無効になっています デフォルトルールポリシーを施行するには これらを有効にする必要があります 詳細な保護を行うためには デフォルトの IPS ポリシーからより強固に事前設定されたポリシーに移行するか またはカスタムポリシーを作成します 新しい設定を監視して調整するためには サンプル配布から始めます 調整には 侵入防止保護 必要な情報へのアクセス およびグループの種類ごとのアプリケーション これらのバランスを取ることが必要です 手動調整 手動調整では 任意の期間においてイベントを直接監視し クライアントルールを作成する必要があります IPS 保護のためには 誤検知がないかイベントを監視し 例外または信頼できるアプリケーションを作成して これらのイベントが再発するのを防止します ファイアウォールの保護のためには ネットワークトラフィックを監視し 信頼されるネットワークを追加して適切なネットワークトラフィックが確保できるようにします 新しい例外 信頼されるアプリケーションおよび信頼されるネットワークの効果を監視します これらのルールが誤検知を防止し ネットワークトラフィックを最小限に抑え 正当な動作を許可することに成功している場合には そのルールを新しいポリシーまたはデフォルトポリシーに追加します 新しいポリシーを特定のコンピュータセットに適用し その結果を監視します 各製品グループの種類に対して この手順を繰り返します 自動調整 自動調整では すべてのイベントやすべてのユーザの活動を常に監視する必要性はありません IPS ポリシーとファイアウォールポリシーに適応モードを適用します 適応モードでは 不正使用されたもの以外は IPS イベントは発生せず 動作はブロックされません クライアントルールは自動的に作成され 正当な動作が許可されます クライアントルールのリストを確認します 適切なクライアントルールを管理ポリシールールに追加します 数週間後に 適応モードを終了します テストグループを数日間監視し ポリシーの設定が適切であり 必要な保護が行われていることを確認します 各製品グループの種類に対して この手順を繰り返します クライアントと配備の計画 Host Intrusion Prevention クライアントは重要な保護コンポーネントです クライアントを配備するときに 段階的なアプローチを推奨します クライアント展開の初期計画を決定 社内のすべてのホスト ( サーバ デスクトップおよびノート PC) に Host Intrusion Prevention クライアントを配備しますが McAfee では 初めは限定数の代表的なシステムにクライアントをインストールして 設定を調整す 20

21 保護の管理ポリシーの管理 ることをお勧めします 配備の微調整が終了したら さらに多数のクライアントを配備して 初期に展開した中で作成したポリシー 例外 およびクライアントルールを活用します クライアントに対する命名規則の確立 システムツリー上でクライアントは名前で区別されます また 特定のレポートやクライアント上の動作で生成されるイベントデータでも名前で区別されます クライアントは インストールするホスト名を引き継ぐことも インストール中に特定のクライアント名を割り当てることもできます McAfee では クライアントに対して Host Intrusion Prevention の配備作業の関係者にわかりやすい命名ルールを確立することをお勧めします クライアントのインストール クライアントは IPS ポリシーとファイアウォールポリシーのデフォルトセットでインストールできます ルールを更新した新しいポリシーは 後でサーバから適用できます クライアントの論理的なグループ分け クライアントは システムツリーの階層に適合する任意の基準でグループ分けできます たとえば 配備場所 企業内での機能 またはシステムの特性に従ってクライアントをグループ分けできます クライアントデータとそのデータの解析 クライアントをインストールしてグループ化すると 配備が完了します クライアントの動作により発生するイベントの表示が開始されます クライアントを適応モードに配置した場合 どのクライアントの例外ルールが作成されているかを示すクライアントルールが表示されます このデータを解析して 配布の調整を開始します イベントデータの解析については [ レポート ] の下にある [Host IPS] タブの [ イベント ] タブを参照してください イベントを発生させたプロセス イベントの発生時点 およびイベントを発生させたクライアントなど イベントの詳細を探ることができます イベントを解析し 適切に対処することで Host Intrusion Prevention の配布に調整を加え 攻撃に対する対応を強化できます [ イベント ] タブには すべての Host IPS イベント (NIPS ファイアウォール 侵入 TrustedSource ブロックイベント ) が表示されます クライアントルールを解析するには [IPS クライアントルール ] タブと [ ファイアウォールクライアントルール ] タブを表示します 作成中のルールを表示し ルールを集約して最も優勢な共有ルールを見つけ 他のクライアントに適用するポリシーにそのルールを直接移動できます また epolicy Orchestrator レポートモジュールでは イベント クライアントルール および Host Intrusion Prevention の設定に基づいて 詳細なレポートを作成できます これらのクエリを使用して チームメンバや管理メンバに環境動作を連絡します 適応モード 調整プロセスでは IPS およびファイアウォールで Host Intrusion Prevention クライアントを適応モードにします このモードによりコンピュータは 管理者ポリシーに対するクライアントの例外ルールを作成できます 適応モードはこの処理を自動的に行います ユーザの操作は必要ありません このモードでは まずバッファオーバフローなど最も悪意のある攻撃に対してイベントを解析します 動作が 業務上通常のものであり必要とみなされると クライアントの例外ルールが作成されます 適応モードで代表的なクライアントを設定することで 設定の調整が行えます Host Intrusion Prevention では クライアントのルールから 任意のものを選択 すべて選択 または何も選択せずに サーバで指示したポリシーに変換できます 調整が完了すると 適応モードを終了して システムの侵入防止保護を強化します 21

22 保護の管理ポリシーの管理 少なくとも 1 週間は適応モードでクライアントを実行してください これにより クライアントは通常遭遇するすべての動作に遭遇する時間が得られます バックアップまたはスクリプト処理などスケジュールした動作の時間に実行するようにしてください それぞれの動作が発生するごとに IPS イベントが生成され 例外が作成されます 例外は 正当な動作として区別される動作です たとえば ポリシーでは 特定のスクリプト処理が不当な動作と判断されても エンジニアリンググループのシステムで こうしたタスクを実行することが必要な場合もあります こうしたシステムに対して例外を作成して システムは正常に機能しながら この動作はポリシーにより他のシステムでは実行されないようにします 次に これらの例外をサーバが指示するポリシーの一部として エンジニアリンググループのみに適用します ソフトウェアアプリケーションが 社内の一部の部署では通常業務に必要であり 他の部署では使用しない場合があります たとえば テクニカルサポート部ではインスタントメッセージを許可しますが 経理部では使用しない場合があります テクニカルサポートでは このアプリケーションを信頼できるアプリケーションとしてシステムに確立し ユーザがフルアクセスできるようにできます ファイアウォール機能は コンピュータとネットワークまたはインターネットの間でフィルタとして機能します ファイアウォールは パケットレベルで受信と送信のトラフィックをすべてスキャンします ファイアウォールは 送受信される各パケットを確認しながら 関連動作の一連の基準である ファイアウォールルールのリストをチェックします パケットがルールのすべての基準と一致すると ファイアウォールはルールで指定されたアクションを実行して パケットを通過させるかまたはブロックします FAQ - 適応モード 適応モードでは 新しいポリシーのテストをしながら IPS およびファイアウォール機能に適応できます Host Intrusion Prevention クライアントは 脆弱性に対する最小限の保護レベルを維持しながら ルールを自動的に作成してアクティビティを許可します 以下では この機能に関するよくある質問を説明します 適応モードを有効にする方法を教えてください 適応モードを有効にするには IPS オプションまたはファイアウォールオプションポリシーで有効にして Host Intrusion Prevention クライアントに適用します IPS とファイアウォールで適応モードの動作は異なりますか? IPS の適応モードでは クライアント側で既存の IPS シグネチャに対する例外ルールが作成されます ファイアウォールの適応モードでは 既存のファイアウォールルールで対応できないネットワークパケットを許可するルールがクライアント側で作成されます IPS クライアントの例外は パスに基づきユーザ プロセス シグネチャごとに作成されます ファイアウォールクライアントルールはプロセスごとに作成されます ファイアウォールクライアントルールに関連するプロセスは パス ファイルの説明 デジタル署名 MD5 ハッシュで記述されます 適応モードでルールが自動的に作成されないことがありますか? IPS の場合 : 有効な IPS ルールポリシーのシグネチャでクライアントルールの作成が許可されていない場合 ( この設定は 大半の危険度高の IPS シグネチャで標準の設定です これらのシグネチャは システムに対する最も重大な脅威を検知し 防止するように調整されています 通常のビジネス活動で例外の自動化が必要になることはありません ) このシグネチャに対する対応が 無視 に設定されている場合 22

23 保護の管理ポリシーの管理 関連するアクションでネットワーク IPS シグネチャが生成される場合 シグネチャ 1000 のサービスの自己保護のクライアントルールの設定に関係なく ユーザが McAfee Host IPS サービスを試みた場合 すでに例外が発生ている場合 問題の操作は 適用されている IPS ルールポリシーで除外されています 信頼できるアプリケーションポリシーで アクションに関連するプロセスが IPS で信頼され シグネチャが信頼できるアプリケーションから除外されている場合 ファイアウォールの場合 : クライアントアクティビティログでパケットに関連するアプリケーションがない場合 最も一般的な例は次のとおりです 実行されていないサービスの受信要求 FTP または Telnet など 受信 ICMP echo 要求など Microsoft Windows Vista での受信または送信 ICMP ポート 139 (NetBIOS SSN) または 445 (MSDS) に対する TCP パケット これは Windows ファイル共有に必要になる場合があります VPN クライアントソリューションに関連する IPsec パケット パケットをブロックまたは許可するファイアウォールルールポリシーがすでに適用されている場合 適用済みのファイアウォールルールポリシーに 接続隔離が有効な場所別のグループが存在し アクティブなネットワークインターフェースカード (NIC) がグループに一致し さらに グループに一致しない NIC からパケットが送信または受信される場合 パケットが TCP UDP ICMP でない場合 複数のユーザがシステムにログオンしている場合 またはシステムにユーザが 1 人もログオンしていない場合 他の制限がありますか? IPS がクライアントルールに関連するユーザを検出できない場合があります (epolicy Orchestrator のクライアントルールで 不明なドメイン 不明なユーザ として表示されます ) これらのルールで例外が作成される場合がありますが ルールはすべてのユーザに適用されています リモートデスクトップまたは HTTPS の受信 TCP 接続で ファイアウォールルールの作成に数回かかる場合があります Host IPS のポリシー移行 バージョン 6.1 または 7.0 ポリシーを 8.0 形式に変換しないと McAfee Host Intrusion Prevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで実行できません Host Intrusion Prevention 8.0 では epolicy Orchestrator の [ 自動処理 ] の下にある Host IPS ポリシー移行ツール機能を使用すると ポリシーを簡単に管理できます 移行中にポリシーが変換され 移動されます ポリシーを移行すると ポリシーカタログで該当する Host IPS 8.0 製品機能とカテゴリの下に表示され ポリシー名の後に [6.1] または [7.0] という文字列が続きます 次の場合を除き すべてのポリシーが変換され 対応するバージョン 8.0 ポリシーに移行されます アプリケーションブロックオプションポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました 23

24 保護の管理ポリシーの管理 アプリケーションブロックルールポリシーは IPS ルールポリシーに移行され アプリケーションフックと呼び出し保護名前 [6.1 または 7.0] という名前に変わります バージョン 8.0 では これらのポリシーは削除されています これらのポリシーが IPS ルールポリシーに移行されると アプリケーション保護ルールリストは空になります 例外リストには アプリケーションフックで信頼できる と設定されたデフォルトの信頼アプリケーションの例外が残ります 移行後のポリシーを使用するには マルチインスタンスポリシー設定で個人用のデフォルト IPS ルールを割り当てる必要があります このポリシーは コンテンツの更新により最新のアプリケーション保護リストを使用します 注意 : アプリケーションブロックルールポリシーでフックがブロックされるアプリケーションは移行されません このアプリケーションは 移行後に IPS ルールポリシーのアプリケーション保護ルールに手動で追加する必要があります アプリケーションのフックで信頼できると設定された信頼できるアプリケーションポリシーをバージョン 8.0 に移行する場合には Host IPS ルールポリシーのシグネチャ 6010 ( 汎用アプリケーションフック保護 ) でアプリケーションの例外を作成し アプリケーションフック保護を維持する必要があります ファイアウォール隔離オプションポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました ファイアウォール隔離ルールポリシーは移行されません バージョン 8.0 では これらのポリシーは削除されました IPS クライアントルールとファイアウォールクライアントルールは移行されません 注意 : ポリシーの割り当ては移行時に実行されます システムツリーの特定の場所で継承が無効になっていると 割り当ては上書きされません 移行済みの割り当てを統合するときに システムツリーの他の場所で継承が無効になる可能性があります ポリシーを移行した後は必ずポリシー割り当てを確認してください ポリシーの直接的な移行 Host Intrusion Prevention 8.0 拡張ファイルをインストールした後で 既存のすべてのポリシーを移行する最も簡単な方法は直接移行する方法です 1 [ 自動処理 ] [Host IPS ポリシー移行ツール ] の順にクリックします 2 epo ポリシーカタログの Host IPS 6.1 または 7.0 ポリシーの下にある [ アクション ] で [ 移行 ] をクリックします 3 ポリシーの移行が完了したら [ 閉じる ] をクリックします バージョン 6.1 または 7.0 の IPS ファイアウォール 全般機能ポリシーがバージョン 8.0 に変換され 名前の後に [6.1] または [7.0] が付きます 注意 : ポリシー移行を再度実行すると 同じ名前で移行されたポリシーは上書きされます このプロセスは必須です 既存の 6.1 または 7.0 ポリシーはすべて移行されます 移行するポリシーを選択する場合には ML ファイルを使用して移行してください ML ファイルによるポリシーの移行 Host Intrusion Prevention 6.1/7.0 拡張ファイルがインストールされていないときに 単一のポリシーを ML ファイルにエクスポートしている場合 あるいはバージョン 6.1/7.0 のポリシーを選択して移行する場合には ML ファイルを使用して移行作業を行います このプロセスでは 最初に Host Intrusion Prevention 6.1 または 7.0 ポリシーを ML 形式にエクスポートします 次に ML ファイルの内容を変更し Host Intrusion Prevention 8.0 ポリシーに変換します この ML ファイルは epo ポリシータログにインポートされます 24

25 保護の管理システム管理 1 [ 自動処理 ] [Host IPS ポリシー移行ツール ] の順にクリックします 2 ML ファイルの Host IPS 6.1 または 7.0 ポリシーのアクションで [ 移行 ] をクリックします 3 エクスポート済みの Host IPS 6.1 または 7.0 の ML ファイルを選択して [OK] をクリックします ML ファイルがバージョン 8.0 形式のポリシーに変換されます 4 変換済みの MigratedPolicies.ml ファイルへのリンクを右クリックして保存し インポートに使用します 5 ML を epo ポリシーカタログにインポートします システム管理 Host Intrusion Prevention の配備を管理する際には 不定期のシステムタスクを実行する必要があります これらのタスクには ユーザアクセス許可の設定 サーバタスク 通知 およびコンテンツの更新が含まれます Host IPS 権限セット 権限セットとは 特定の製品または製品の機能のためのユーザアカウントに許可された権限のグループのことです 1 つ以上の権限セットを割り当てることができます グローバル管理者には すべての製品と機能のすべての権限が自動的に割り当てられます 権限セットでは権限を許可するだけであり 権限を削除することはできません グローバル管理者は ユーザアカウントの作成または編集時および権限セットの作成または編集時に 既存の権限セットを割り当てることができます Host Intrusion Prevention 拡張ファイルは 権限を適用せずに Host Intrusion Prevention セクションを権限セットに追加します グローバル管理者は Host IPS 権限を既存の権限セットに付与するか 新しい権限セットを作成して追加する必要があります Host Intrusion Prevention では 製品の機能ごとに権限を許可し 読み取りまたは読み取り / 書き込みの権限をユーザに許可することができます これは Host Intrusion Prevention ポリシーのページと [ レポート ] の Host Intrusion Prevention イベントおよびクライアントページに適用されます Host IPS の機能... IPS ファイアウォール全般 利用可能な権限... なし 設定の表示のみ または設定の表示および変更なし 設定の表示のみ または設定の表示および変更なし 設定の表示のみ または設定の表示および変更 また グローバル管理者は クエリとダッシュボードを含む Host Intrusion Prevention で使用するその他の項目を処理する epolicy Orchestrator 権限を許可する必要があります たとえば [ レポート ] の Host IPS ページで見つかったファイアウォールクライアントルールを解析して管理するには ユーザにイベントログ システム システムツリーに対する表示権限が必要です また Host Intrusion Prevention ファイアウォール機能の表示および変更権限が必要です 表 3: 機能の実行に必要な権限 Host IPS の機能 Host IPS ダッシュボード Host IPS クエリ 必要な権限セット ダッシュボード クエリ クエリ 25

26 保護の管理システム管理 Host IPS の機能 Host IPS クライアントイベントとクライアントルール Host IPS のサーバタスクリポジトリ内の Host IPS パッケージ Host IPS 通知 必要な権限セットシステム システムツリー イベントログサーバタスクソフトウェア通知 権限セットの詳細については epolicy Orchestrator のマニュアルを参照してください 権限セットの割り当て epo サーバで Host Intrusion Prevention 機能に対する権限を割り当てるには このタスクを実行します 操作を始める前に アクセス権と権限セットを付与する Host Intrusion Prevention 機能を決めます これにより この Host Intrusion Prevention 機能に対するすべてのアクセス権が付与されます たとえば ファイアウォールクライアントルールを表示するには Host Intrusion Prevention 権限セットでファイアウォール機能に対する権限を付与するだけでなく イベントログ システム システムツリーに対するアクセス権が必要です タスク オプションの定義については インターフェースの? をクリックしてください 1 [ 設定 ] [ 権限セット ] の順に移動します 2 [Host Intrusion Prevention] の横の [ 編集 ] をクリックします 3 各機能に必要な権限を選択します なし 設定の表示のみ 設定を表示して変更 4 [ 保存 ] をクリックします 5 必要な他の権限を割り当てます Host IPS の機能 Host IPS イベント Host IPS クライアント IPS ルール Host IPS クライアントファイアウォールルール Host IPS ダッシュボード Host IPS クエリ 割り当てる権限セット Host Intrusion Prevention - IPS イベントログ システムツリーへのアクセス権 Host Intrusion Prevention - IPS イベントログ システムツリーへのアクセス権 Host Intrusion Prevention - ファイアウォール イベントログ システムツリーへのアクセス権 ダッシュボード クエリ クエリ Host IPS のサーバタスク Host Intrusion Prevention には いくつかのサーバタスクが事前に設定されています これらのタスクは 特定のスケジュールで実行したり Host Intrusion Prevention 保護メン 26

27 保護の管理システム管理 テナンスですぐに実行することもできます サーバタスクビルダの [ アクション ] タブで [ 新規タスク ] をクリックして Host IPS プロパティを選択すると Host Intrusion Prevention のカスタムサーバタスクを作成できます サーバタスクの作成と実行の詳細については epolicy Orchestrator のマニュアルを参照してください 既存のサーバタスクを実行するには [ 自動処理 ] [ サーバタスク ] の順に移動し [ アクション ] で該当するコマンドを実行します カスタムサーバタスクを作成するには [ 新規タスク ] をクリックして サーバタスクビルダウィザードの指示に従います 表 4: 事前設定のサーバタスクとカスタムサーバタスク サーバタスク 説明 Host IPS プロパティ変換 ( 事前設定 ) リポジトリのプル ( カスタム ) クエリの実行 ( カスタム ) イベントログを削除 ( カスタム ) このサーバタスクは epolicy Orchestrator データベースに保存されている Host Intrusion Prevention クライアントルールを変換し Host Intrusion Prevention でデータのソート グループ化 フィルタリングを行います このタスクは 15 分ごとに自動的に実行される設定になっています ユーザとの対話は必要ありません クライアントアクションのアクションをすぐに確認する必要がある場合には 手動で実行することもできます このサーバタスクでは ソースサイトからパッケージを取得し マスターリポジトリに保存するカスタムタスクを作成できます パッケージの種類で Host IPS コンテンツを選択して コンテンツの更新を自動的に取得します このサーバタスクでは 指定した時間とスケジュールで Host Intrusion Prevention の事前設定クエリを実行するカスタムタスクを作成できます このサーバタスクでは Host Intrusion Prevention クエリに従ってイベントログを削除するカスタムタスクを作成できます ログから削除する Host IPS イベントクエリを選択します Host IPS イベント通知 通知では Host Intrusion Prevention クライアントシステムに発生したイベントをユーザに通知できます epolicy Orchestrator サーバが 特定のイベントを受信して処理した場合に 電子メールまたは SNMP トラップの送信 または外部コマンド実行のルールを設定できます 通知メッセージを生成するイベントのカテゴリや通知の送信頻度を指定できます 詳細については epolicy Orchestrator 4.0 のマニュアルを参照してください 通知の使用に関するヒント Host Intrusion Prevention 環境では イベントが発生すると epolicy Orchestrator サーバに配信されます 通知ルールは 影響を受けたシステムを含むグループまたはサイトに関連しており このイベントに対して適用されます ルールの条件が一致すると ルールの規定に従い 通知メッセージの送信または外部コマンドの実行が行われます システムツリーのレベルごとに個別にルールを設定することができます 集約とスロットルに基づいたしきい値を設定して 通知メッセージを送信するタイミングを設定することもできます 通知ルール epolicy Orchestrator には 有効にしてすぐに使用できるデフォルトのルールが用意されています デフォルトのルールを有効にする前に 次の項目を行います 27

28 保護の管理システム管理 通知メッセージを送信する電子メールサーバを指定します 受信者の電子メールアドレスが正しく設定されていることを確認します すべてのルールは 次のような同じ基本的方法で作成されます 1 ルールの内容を説明 2 ルールにフィルタを設定 3 ルールにしきい値を設定 4 送信メッセージとデリバリの種類を作成 通知カテゴリ Host Intrusion Prevention は 次の製品固有の通知カテゴリをサポートします 検出して処理されたホストへの侵入 検出して処理されたネットワークへの侵入 不明 通知パラメータ 通知は Host IPS ( またはネットワーク IPS) シグネチャのすべてに対して設定するか いずれに対しても設定しないかのどちらかになります Host Intrusion Prevention では 単独の IPS シグネチャ ID の指定を 通知ルール設定の脅威の名前またはルール名としてサポートします イベントのシグネチャ ID 属性を脅威の名前に内部でマッピングすることで IPS シグネチャを一意に識別するルールが作成されます メッセージの件名や本文で許可される Host Intrusion Prevention パラメータの特定マッピングには 次の項目が含まれます パラメータ実際の脅威またはルールの名前送信元のシステム影響を受けるオブジェクト通知を送信した時間イベント ID 詳細情報 Host IPS とネットワーク IPS イベントの値シグネチャ ID リモート IP アドレスプロセス名発生時間イベント ID の epo マッピングローカライズされたシグネチャ名 ( クライアントコンピュータから ) Host IPS 保護の更新 Host Intrusion Prevention は 複数バージョンのクライアントコンテンツやコードをサポートし 利用できる最新のコンテンツが epo コンソールに表示されます 新しいコンテンツは 後でリリースされたバージョンで常にサポートされるため コンテンツの更新に含まれるのはほとんどが新しい情報 または既存の情報を多少変更したものです 更新は コンテンツ更新パッケージで処理されます このパッケージには コンテンツのバージョン情報および更新スクリプトが含まれています チェックインすると パッケージのバージョンが データベースの最新コンテンツ情報のバージョンと比較されます パッケージの方が新しい場合 パッケージのスクリプトが解凍され 実行されます この新しいコンテンツ情報は 次回のエージェント / サーバ間の通信時にクライアントに伝達されます 更新には IPS ルールポリシーに関連するデータ (IPS シグネチャとアプリケーション保護ルール ) と信頼できるアプリケーションポリシー ( 信頼できるアプリケーション ) が含まれます これらの更新は McAfee デフォルトポリシーで実行されるので 保護更新機能を利用 28

29 保護の管理システム管理 するには これらのポリシーを IPS ルールと信頼できるアプリケーションの両方に割り当てる必要があります 基本的なプロセスとしては 更新パッケージを epo マスターリポジトリにチェックインしてから 更新情報をクライアントに送信します クライアントは epo サーバとの通信によってのみ更新を取得し 直接 FTP または HTTP プロトコルにより取得しないようにします ヒント : コンテンツ更新を利用するには McAfee デフォルト IPS ルールポリシーと McAfee デフォルト信頼アプリケーションポリシーを割り当てます これらのデフォルトのポリシーを変更すると これらのポリシーの変更後の設定がデフォルトの設定よりも優先するため 更新で上書きされなくなります 更新パッケージのチェックイン コンテンツ更新パッケージをマスターリポジトリに自動的にチェックインする epo プルタスクを作成できます このタスクは コンテンツ更新パッケージを直接 McAfee から指定した頻度でダウンロードして マスターリポジトリに追加し 新しい Host Intrusion Prevention コンテンツでデータベースを更新します タスク 1 [ ソフトウェア ] の [ マスターリポジトリ ] を表示し [ スケジュールのプル ] をクリックします 2 タスクに名前 ( たとえば HIP コンテンツの更新 ) を付けて [ 次へ ] をクリックします 3 タスクの種類に [ リポジトリプル ] を選択し パッケージのソース (McAfeeHttp または McAfeeFtp) を設定します パッケージを受信するブランチ ( 最新バージョン 旧バージョン 評価バージョン ) と選択したパッケージ (Host Intrusion Prevention Content) を指定して [ 次へ ] をクリックします 4 必要に応じてタスクをスケジュール設定し [ 次へ ] をクリックします 5 情報を確認し [ 保存 ] をクリックします パッケージの手動チェックイン このタスクは コンテンツ更新パッケージを直接 McAfee から指定した頻度でダウンロードして マスターリポジトリに追加し 新しい Host Intrusion Prevention コンテンツでデータベースを更新します 自動プルタスクを使用しない場合には 更新パッケージをダウンロードして手動でチェックインすることができます タスク 1 McAfeeHttp または McAfeeFtp からファイルをダウンロードします 2 [ ソフトウェア ] の [ マスターリポジトリ ] を表示し [ パッケージのチェックイン ] をクリックします 3 パッケージの種類およびパッケージの場所を選択し [ 次へ ] をクリックします [ パッケージオプション ] ページが表示されます 4 パッケージをインストールするブランチを選択して [ 保存 ] をクリックします パッケージが [ マスターリポジトリ ] タブに表示されます 29

30 保護の管理システム管理 コンテンツによるクライアントの更新 更新パッケージをマスターリポジトリにチェックインした後 更新タスクをスケジュールするか 直ちに更新するためにエージェントウェークアップコールを送信して クライアントに更新を送信できます タスク 1 [ システム ] の [ システムツリー ] にある [ クライアントタスク ] を表示し コンテンツの更新を送信するグループを選択して [ 新しいタスク ] をクリックします 2 タスクに名前を付け タスクの種類として [ 更新 (McAfee Agent)] を選択して [ 次へ ] をクリックします 3 [ 選択されたパッケージ ] を選択し [Host Intrusion Prevention コンテンツ ] を選択して [OK] をクリックします 4 必要に応じてタスクをスケジュール設定し [ 次へ ] をクリックします 5 詳細を確認し [ 保存 ] をクリックします クライアントからのコンテンツの更新 また クライアントは McAfee Agent アイコンがクライアントコンピュータのシステムトレイに表示されている場合 オンデマンドで更新を要求することもできます タスク システムトレイの McAfee Agent アイコンを右クリックして [ 今すぐ更新 ] を選択します [McAfee AutoUpdate の進捗状況 ] ダイアログボックスが開き コンテンツの更新がプルされてクライアントに適用されます 30

31 IPS ポリシーの設定 IPS ポリシーは ホスト侵入防止保護のオン / オフを切り替え イベントに対する処理レベルを設定し 例外 シグネチャおよびアプリケーション保護ルールによって保護を行います IPS 保護は 毎月のコンテンツ更新で最新の状態が維持されます この更新で 新しいまたは改訂されたシグネチャとアプリケーション保護ルールが提供されます 目次 IPS ポリシーの概要 IPS 保護の有効化 IPS シグネチャに対する対応の設定 IPS 保護の定義 IPS イベントの監視 IPS クライアントルールの監視 IPS ポリシーの概要 IPS ( 侵入防止システム ) 機能により システムコール ( カーネルレベル ) および API コール ( ユーザレベル ) をすべて監視し 不正な動作を行う可能性のあるコールをブロックします Host Intrusion Prevention では コールを行っているプロセス そのプロセスが実行されているセキュリティコンテキスト アクセス先のリソースを判別します ユーザモードのシステムコールテーブルにあるエントリをリダイレクトして受信するカーネルレベルドライバは 一連のシステムコールを監視します コールが行われると コール要求に対してシグネチャの組み合わせおよび動作ルールのデータベースとの比較がドライバにより行われ これによりアクションを許可するか ブロックするか ログへ記録するかが判断されます このハイブリッドな方法では ほとんどの既知の攻撃だけでなく これまでに知られていない攻撃やゼロデイ攻撃も検出できます 例外による保護も行います 例外を設定すると 正規の活動をブロックするシグネチャを無効にし アプリケーション保護ルールに保護対象のプロセスを記述します 使用可能なポリシー 次の 3 つの IPS ポリシーがあります IPS オプション - Host IPS とネットワーク IPS 保護の有効 / 無効を切り替え Windows システム固有のオプションを適用して IPS 保護を有効にします IPS 保護 - 特定の重大度 ( 高 中 低 ) が生成されたときのシステムの処理方法 ( ブロック 無視 ログの記録 ) を指定します IPS ルール - シグネチャと動作分析を適用し 既知の攻撃とゼロデイ攻撃を阻止する IPS 保護を定義します 例外を設定すると 正規の活動をブロックするシグネチャを無効にできます アプリケーション保護ルールには 保護するプロセスを記述します これらの設定に 31

32 IPS ポリシーの設定 IPS ポリシーの概要 より シグネチャを補完しています 信頼できるアプリケーションポリシーと同様 このポリシーカテゴリにも複数のポリシーインスタンスを含めることができます コンテンツ更新では 新規または更新されたシグネチャとアプリケーション保護ルールが提供され 最新の保護状態が維持されます IPS 保護の実現方法 IPS 保護を実現するには シールドとエンベロープ システムコールの遮断 特定のエンジンとドライバのインストールなどの方法があります エンベロープとシールド Host Intrusion Prevention は シグネチャのエンベロープとシールドを行い 攻撃から保護します エンベロープは アプリケーション固有のエンベロープの外側からのアプリケーションによるファイル データ レジストリ設定 サービスへのアクセスを防ぎます シールドは アプリケーション固有のエンベロープの外側からのエクスプロイトによるアプリケーションファイル データ レジストリ設定 サービスへのアクセスを防ぎます システムコールの遮断 Host Intrusion Prevention は システムのすべての API コールを監視し 不正な活動を阻止します コールを使用するプロセス そのプロセスが実行されているセキュリティコンテキスト アクセス先のリソースを判別します Host Intrusion Prevention カーネルレベルドライバは ユーザレベルのシステムコールテーブルにあるエントリをリダイレクトして受信し 一連のシステムコールを監視します コールが行われると コール要求に対してシグネチャの組み合わせおよび動作ルールのデータベースとの比較がドライバにより行われ これによりアクションを許可するか ブロックするか ログへ記録するかが判断されます ユーザレベルのプログラムは カーネルから提供された機能を使用して ディスクドライブ ネットワーク接続 共有メモリにアクセスします プロセッサは カーネルレベルの機能への直接アクセスを阻止するため ユーザレベルのプログラムはシステムコールを使用して ユーザモードとカーネルモード間で通信を行います システムコールは ユーザレベルのプログラムが必要とし システムコールテーブルでオペレーティングシステム内部に実装されているすべてのカーネル機能を公開します Host Intrusion Prevention は カーネルレベルのドライバをインストールし システムコールテーブルのエントリをリダイレクトして 自身をシステムコールチェーンに挿入します アプリケーションがファイルを要求すると Host Intrusion Prevention ドライバにリダイレクトされ シグネチャと動作ルールによって要求に対する処理 ( 許可またはブロック ) が判断されます Web サーバの HTTP エンジン Host Intrusion Prevention は HTTP 保護エンジンを使用して Web アプリケーションとシステムを狙う攻撃を阻止します アプリケーションに送信された HTTP ストリームを解析し HTTP 受信要求のパターンと比較します HTTP 保護エンジンは 要求をテキスト形式に変換する Web サーバの SSL 解読デコードエレメントと Web サーバエンジンの間にインストールされます これにより Host Intrusion Prevention エンジンはテキスト形式で要求を確認し 処理する前に不正な要求をブロックします HTTP シグネチャは ディレクトリとラバーサルと Unicode 攻撃 Web 改ざん 情報漏えい サーバのハッキングを防ぎます SQL サーバの SQL エンジン Host Intrusion Prevention は SQL 検査エンジンによりデータベースサーバに対する攻撃を阻止します このエンジンは データベースネットワークライブラリとデータベースエンジンの間にインストールされます すべての SQL 要求を調査し イベントを生成される可 32

33 IPS ポリシーの設定 IPS ポリシーの概要 能性がある要求をブロックします SQL 保護ルールは ユーザ クエリの送信元 クエリの整合性 他のパラメータを検証します SQL データベースシグネチャは標準のシグネチャが提供するコア保護を強化し 特定のデータベース遮断ルールと保護ルールを追加します Host IPS SQL エンジンは データベースエンジンが処理する前にデータベース受信クエリを処理します クエリが既知の攻撃シグネチャと一致していないかどうか確認します また 形式が正しいかどうか SQL インジェクションの兆候がないかどうかも検査します SQL データベースシグネチャは データベースシールドを実装し データベースのデータファイル サービス リソースを保護します また データベースが定義済みの動作プロファイル内で動作するように データベースエンベロープを実装します シグネチャ シグネチャは トラフィックストリームと照合される侵入防止ルールの集合です たとえば HTTP 要求ではシグネチャにより特定の文字列が検索されます 既知の攻撃にある文字列と一致した場合には アクションが発生します シグネチャルールでは既知の攻撃に対する保護を行います シグネチャは たとえば Apache や IIS などの Web サーバといった 特定のアプリケーションまたは特定のオペレーティングシステム用に設計されています 大部分のシグネチャはオペレーティングシステム全体を保護しますが 特定のアプリケーションのみを保護するシグネチャもあります Host IPS シグネチャ Host Intrusion Prevention 保護は サーバ ワークステーション ノート PC など 個々のシステムに装備されます Host Intrusion Prevention クライアントは システムとやりとりされるトラフィックを検査し 攻撃されていないかどうかアプリケーションおよびオペレーティングシステムの動作を調査します 攻撃が検出された場合 クライアントは ネットワークセグメントの接続において攻撃をブロックするか または攻撃によって開始される動作を停止するコマンドを発行できます たとえば バッファオーバフローは 攻撃によって不正使用されたアドレス空間に挿入された悪意のあるプログラムをブロックすることによって防止されます Internet Eplorer のようなアプリケーションによるバックドアプログラムのインストールは アプリケーションの " ファイル書き込み " コマンドを妨害し拒否することによってブロックされます これらのシグネチャは次の処理を行います 攻撃からの保護だけでなく プログラムのファイル書き込みの防止など 攻撃の結果からも保護します 保護されたネットワーク外部にあるノート PC を保護します CD または USB デバイスによって持ち込まれるローカルな攻撃から保護します これらの攻撃は ネットワークの他のシステムに侵入するために ユーザの特権をルートまたは管理者のレベルに上げることを目的としている場合があります 他のセキュリティツールをくぐり抜けた攻撃からの最後の防衛手段となります 内部の攻撃または同じネットワークセグメントに位置するデバイスの不正を防止します 暗号化データと動作の調査によって保護されているシステムで 暗号化データのストリームが終了した後の攻撃から保護されます Token Ring や FDDI など 古いまたはあまり使用されないネットワークアーキテクチャ上のシステムを保護します Host Intrusion Prevention には すべてのプラットフォームで使用可能な Host IPS シグネチャのデフォルトリストが用意されています これらのシグネチャの重大度レベル ログ 33

34 IPS ポリシーの設定 IPS ポリシーの概要 のステータス クライアントルールの作成設定を編集したり カスタムシグネチャをリストに追加できます コンテンツ更新をインストールすると シグネチャのリストが必要に応じて随時更新されます ネットワーク IPS シグネチャ ネットワーク IPS による保護も 個々のシステムに装備されます 保護されたシステム間で通信されるすべてのデータおよびネットワークのその他の部分について 攻撃があるかどうか調査されます 攻撃が確認されると 不正データは破棄されるかまたはシステムを通過しないようにブロックされます これらのシグネチャは次の処理を行います ネットワークセグメントの下流に位置するシステムを保護します サーバおよびサーバに接続するシステムを保護します ネットワークのサービス拒否攻撃 およびネットワークトラフィックの拒否や低下を引き起こす帯域幅に向けられた攻撃から保護します Host Intrusion Prevention では Windows プラットフォーム用のネットワーク IPS シグネチャのデフォルトリストを用意しています これらのシグネチャの重大度レベル ログのステータス クライアントルールの作成設定を編集できますが カスタムネットワークシグネチャに追加することはできません コンテンツ更新をインストールすると シグネチャのリストが必要に応じて随時更新されます 動作ルール 動作ルールは ゼロデイ攻撃を阻止し オペレーティングシステムとアプリケーションを正常に動作させます ヒューリスティックな動作ルールは 正当な動作のプロファイルを定義します ルールと一致しないものは怪しい動作と見なされ 応答が発生します たとえば HTML ファイルにアクセスできるのは Web サーバのみと動作ルールで規定しているとします 他のプロセスから HTML ファイルにアクセスしようとすると アクションが発生します この保護の種類はアプリケーションのシールドとエンベロープといいます この保護により アプリケーションとデータに対する侵害を防ぎ 他のアプリケーションに対する攻撃への転用を阻止します また 動作ルールはバッファオーバーフローのエクスプロイトもブロックします これにより サーバとデスクトップに対する攻撃の中で最も多いバッファオーバーフロー攻撃を阻止し 不正なコードの実行を未然に防ぎます 処理 処理とは 特定の重大度にあるシグネチャが生成されたときに Host Intrusion Prevention クライアントが行う動作です クライアントが行う処理には 次の 3 種類があります 無視 - 処理を行いません イベントはログに記録されず 操作は防止されません ログに記録 - イベントはログに記録されますが 操作は防止されません 阻止 - イベントはログに記録され 操作は防止されます たとえば あるクライアントにより重大度低のシグネチャが認識されると そのシグネチャの発生がログに記録され 操作が許可されるようにセキュリティポリシーに指定できます また 重大度高のシグネチャが認識されると 操作を防止するようにも指定できます 注意 : ログ記録は 各シグネチャで直接有効にできます IPS 保護ポリシーは 重大度レベルに応じてシグネチャの処理方法を自動的に設定します 34

35 IPS ポリシーの設定 IPS ポリシーの概要 例外 例外は シグネチャの対応でブロックされた動作を許可します シグネチャが攻撃と定義する動作が ユーザの通常業務の一部であったり 保護されたアプリケーションの正当な動作である場合があります シグネチャを無効にするために 正当な動作を許可する例外を作成できます たとえば 特定のクライアントについては操作を無視するように例外で指定できます これらの例外は 手動で作成することも クライアントを適応モードに置いて クライアント例外ルールを作成するようにすることもできます 特定のシグネチャを無効にできないようにするには シグネチャを編集して [ クライアントルールの許可 ] オプションを無効にします epolicy Orchestrator コンソールで クライアント例外通常形式 フィルタリングおよび集計形式で表示し 追跡することができます これらのクライアントルールを使用して新しいポリシーを作成するか または他のクライアントに適用できる既存ポリシーに追加します Host Intrusion Prevention クライアントには クライアントコンピュータの動作が害のないものか不正なものかを判断する IPS シグネチャルールのデータベースがあります 不正な動作を検出すると イベントと呼ばれるアラートが epo サーバに送信され [ レポート ] の [Host IPS] タブに表示されます IPS 保護ポリシーのシグネチャに設定された保護レベルにより イベントが発生した場合にクライアントが実行する動作が決まります 処理方法には 動作の無視 ロギングまたは防止などがあります 正当な動作から発生する誤検知によるイベントは シグネチャルールに対する例外を作成するか またはアプリケーションを信頼できるアプリケーションとして登録することで 無効にできます 適応モードにあるクライアントは クライアントルールと呼ばれる例外を自動的に作成します 管理者はいつでも手動で例外を作成できます イベントとクライアント例外を監視することで 最も効果的に IPS 保護の配備する方法を判断できます アプリケーション保護ルール イベント アプリケーション保護ルールは バッファオーバーフローに対して定義または生成されたプロセスリストを使用して ユーザレベルの API フックを許可または禁止してシステムを保護します バッファオーバーフロー対策は Host Intrusion Prevention で汎用的な対策で フックされたプロセスに適用されます IPS ポリシーには Windows プラットフォーム用のアプリケーション保護ルールのデフォルトが記述されています コンテンツ更新をインストールすると このリストは必要に応じて随時更新されます IPS オプションポリシーで [ ネットワークに接続するサービスベースのアプリケーションを自動的に追加 ] を有効にすると ネットワークに接続するサービスベースのアプリケーションをこのリストに自動的に追加することができます シグネチャがトリガーされ クライアントが対応すると IPS イベントが生成されます イベントは [ レポート ] の [Host IPS] タブの [ イベント ] タブに表示されます 管理者は これらのイベントを表示および監視して システムルール違反を解析し イベントの処 35

36 IPS ポリシーの設定 IPS 保護の有効化 理を調整するか あるいは例外または信頼できるアプリケーションルールを作成して イベント数を減らし 保護設定を調整できます 注意 : Host Intrusion Prevention クライアントは イベントの集約を行い epo サーバに送信されるイベントの数を制御します これにより 20 分以内に発生した大量のイベントがサーバに繰り返し送信されなくなります 20 秒後にイベントが再度発生すると 追加のイベントが報告されます 管理者は epo コンソールの [ レポート ] の下にある [Host IPS] タブまたはクライアントシステムですべてのイベントを表示できます IPS 保護の有効化 IPS オプションポリシーによって IPS 保護の適用方法が決まります Windows プラットフォームと Windows 以外のプラットフォームのオプションがあります すべてのプラットフォーム 次のオプションはすべてのプラットフォームのクライアントで使用できます Host IPS が有効 - Host IPS ルールの施行により IPS 保護を有効にします 注意 : この制御は クライアント上で直接を行うこともできます 適応モードが有効 ( ルールが自動的に学習されます ) - 適応モードを有効にします クライアントは ブロックされた動作を許可する例外ルールを自動的に作成します 配備を調整する場合に一時的に使用してください 注意 : この制御は クライアント上で直接を行うこともできます このポリシーを施行するときに既存のクライアントルールを保持する - このポリシーを施行したときに クライアントで作成された例外ルールを保持します 適応モードで自動的に作成されたルールも Windows クライアントで手動で作成したルールも保持されます Windows プラットフォームのみ 次のオプションは Windows プラットフォームのクライアントでのみ使用できます ネットワーク IPS が有効 - ネットワーク IPS ルールを実施する場合に選択します このオプションは Host IPS ルールのアプリケーションとは別に使用できます ネットワーク侵入者を自動的にブロック - 指定された時間内にクライアントのブロック済みリストから手動で削除するまで ホストの受信および送信トラフィックをブロックします ネットワーク IPS が有効になっている場合のみ使用できます 注意 : この制御は クライアント上で直接を行うこともできます ブロックされたホストの保持 - [ ネットワーク侵入者を自動的にブロック ] でパラメータが設定されるまでクライアントによるホスト (IP アドレス ) のブロックを許可する場合に選択します 選択しない場合 ホストは次回ポリシーが施行されるまでしかブロックされません ネットワークに接続するサービスベースアプリケーションを自動的にアプリケーション保護リストに追加 - IPS ルールポリシーの保護されたアプリケーションのリストに危険度高のアプリケーションを自動的に追加します 起動時に IPS 保護を有効 - クライアントで Host IPS サービスが開始するまで ファイルとレジストリの保護に事前に設定された保護ルールを適用します 36

37 IPS ポリシーの設定 IPS シグネチャに対する対応の設定 ポリシーの選択 このポリシーカテゴリには 設定済みポリシーと McAfee デフォルトポリシーに従って編集可能な個人用のデフォルトポリシーが含まれています 設定済みポリシーは表示し 複製できます カスタムポリシーは 作成 編集 名前変更 複製 削除 およびエクスポートすることができます 設定済みのポリシーには次の項目が設定されています McAfee デフォルト Host IPS とネットワーク IPS 保護は無効です 次のオプションは IPS 保護を有効にしたときに適用されます ネットワークの侵入者の自動ブロック - 10 分間 (Windows のみ ) ブロックされたホストの保持 (Windows のみ ) クライアントルールを保持する ヒント : クライアントシステムで IPS 保護を有効にするには Host Intrusion Prevention 管理者がまずポリシーで Host IPS と Network IPS オプションを有効にし そのポリシーをクライアントシステムに適用する必要があります 前のバージョンとは異なり クライアントシステムの IPS 保護は自動的に実行されません IPS オプションのポリシーの設定 このポリシーでは IPS 保護の有効 / 無効を設定できます また 適応モードを適用できます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS オプション ] を選択します ポリシーのリストが表示されます 2 [IPS オプション ] ポリシーリストで [ アクション ] の下の [ 編集 ] をクリックして カスタムポリシーの設定を変更します 注意 : 編集可能なポリシーでは 名前の変更 複製 削除 エクスポートが実行できます 編集不能なポリシーでは 表示または複製が実行できます 3 表示された [IPS オプション ] ページで 必要な変更 ( ステータス 起動 ネットワーク IPS の設定 ) を行い [ 保存 ] をクリックします IPS シグネチャに対する対応の設定 IPS 保護ポリシーでは シグネチャの重大度レベルに対して保護の処理を設定します これらの設定では 攻撃や怪しい動作が検出されたときに どのような動作を行うかをクライアントに指示します 各シグネチャには 次の 4 つの重大度レベルの 1 つが設定されます 高 - 明確に識別できるセキュリティ上の脅威や悪意のあるアクションのシグネチャ これらのシグネチャは よく知られた不正特有のものであり 実際は ほとんど動作に関連しません すべてのシステムで これらのシグネチャを防止してください 37

38 IPS ポリシーの設定 IPS シグネチャに対する対応の設定 中 - アプリケーションがエンベロープ外部で動作する場合の動作のシグネチャ 重要なシステム Web サーバ および SQL サーバでは これらのシグネチャを防止してください 低 - アプリケーションおよびシステムリソースがロックされ 変更できない場合の動作のシグネチャ これらのシグネチャを防止すると基本システムのセキュリティが向上しますが 追加の調整が必要になります 情報 - アプリケーションおよびシステムリソースが変更され 害のないセキュリティリスクを示すかまたは重要なシステム情報にアクセスしようとする可能性がある場合の動作のシグネチャ このレベルのイベントは 正常なシステム動作中に発生し 通常は攻撃を示すものではありません これらの重大度レベルは システムに対する潜在的な危険度を示すものであり これにより 異なるレベルの潜在的な有害性に対して特定の処理を定義できます すべてのシグネチャに対して 重大度のレベルと処理を変更できます たとえば 怪しい動作が損傷の原因となる可能性がほとんどない場合 [ 無視 ] を処理として選択できます 動作の危険度が高い場合は [ 防止 ] を処理として設定できます ポリシーの選択 このポリシーカテゴリには 6 つの設定済みポリシーと McAfee デフォルトポリシーに従って 1 つの編集可能な個人用のデフォルトポリシーが含まれています 設定済みポリシーは表示し 複製できます カスタムポリシーは 作成 編集 名前変更 複製 削除 およびエクスポートすることができます 設定済みポリシーには 以下のものがあります 表 5: IPS 保護ポリシー 名前 機能 基本的な保護 (McAfee デフォルト ) 拡張保護最大保護拡張保護の準備最大保護の準備警告 重大度レベルが高のシグネチャを防止し それ以外は無視します 重大度レベルが高および中のシグネチャを防止し それ以外は無視します 重大度レベルが高 中 および低のシグネチャを防止し それ以外はログに記録します 重大度レベルが高のシグネチャを防止し 中のシグネチャのログを記録し それ以外は無視します 重大度レベルが高および中のシグネチャを防止し 低のシグネチャのログを記録し それ以外は無視します 重大度レベルが高のシグネチャを記録し それ以外は無視します IPS 保護ポリシーの設定 このポリシーでは 特定の重大度のシグネチャに対する処理方法を設定します これらの設定では 攻撃や怪しい動作が検出されたときに どのような動作を行うかをクライアントに指示します タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS による保護 ] を選択します 38

39 IPS ポリシーの設定 IPS 保護の定義 2 表示された [IPS 保護 ] ポリシーリストで [ アクション ] の下の [ 編集 ] をクリックして カスタムポリシーの設定を変更します 注意 : 編集可能なポリシーでは 名前の変更 複製 削除 エクスポートが実行できます 編集不能なポリシーでは 表示または複製が実行できます 3 表示された [IPS 保護 ] ページで 必要な変更を行い [ 保存 ] をクリックします IPS 保護の定義 IPS ルールのポリシーは 侵入防止手段を適用します このポリシーは 複数のインスタンスの割り当てが可能なマルチインスタンスポリシーです 各 IPS ルールポリシーには 設定可能な詳細情報が記述されています シグネチャ アプリケーション保護ルール 例外ルール また 次の作業を行うには [ レポート ] の [ ホスト IPS] ページも表示する必要があります IPS イベント IPS クライアントルール ポリシーの選択 このポリシーカテゴリには 基本的な IPS 保護を提供する事前定義のデフォルトポリシーがあります 定義済みのポリシーは表示と複製ができます ユーザが作成したカスタムポリシーは 編集 名前の変更 複製 削除およびエクスポートが可能です ポリシーの複数のインスタンスをポリシールールの組み合わせに割り当てることもできます IPS ルールポリシーの設定 このポリシーでは シグネチャ アプリケーション保護ルール 例外を定義できます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS ルール ] を選択します ポリシーのリストが表示されます 2 [IPS ルール ] ポリシーリストで [ アクション ] の下の [ 編集 ] をクリックして カスタムポリシーの設定を変更します 注意 : 編集可能なポリシーでは 名前の変更 複製 削除 エクスポートが実行できます 編集不能なポリシーでは 表示または複製が実行できます 3 表示された [IPS ルール ] ページで 必要な変更を行い [ 保存 ] をクリックします 詳細については IPS シグネチャの設定 IPS アプリケーション保護ルールの設定 IPS 例外の設定 を参照してください 39

40 IPS ポリシーの設定 IPS 保護の定義 ポリシーの複数のインスタンスの割り当て epolicy Orchestrator のシステムツリーでポリシーの 1 つ以上のインスタンスをグループシステムに割り当てると 1 つのポリシーを複数の目的で使用することができます IPS ルールポリシーと信頼できるアプリケーションポリシーは 複数のインスタンスに割り当てられるマルチインスタンスポリシーです マルチインスタンスポリシーは便利なポリシーです たとえば IIS サーバには 通常のデフォルトのポリシー サーバのポリシーおよび IIS のポリシーを適用できます IIS サーバのポリシーと IIS のポリシーは IIS サーバとして稼動しているシステムを対象として設定するポリシーです 複数をインスタンスを割り当てると ポリシーの各インスタンスのすべての要素を割り当てることになります 注意 : IPS ルールと信頼できるアプリケーションの McAfee デフォルトポリシーは コンテンツの更新時に更新されます McAfee では 保護を最新の状態にしておくために この 2 つのポリシーを常に適用することをお勧めします 複数のインスタンスがあるポリシーの場合 [ 有効なポリシー ] リンクが表示され ポリシーインスタンスの組み合わせの詳細が確認できます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] [ システムツリー ] の順に移動し システムツリーでグループを選択します 注意 : 単一システムの場合は システムツリーでシステムのあるグループを選択し [ システム ] タブでシステムを選択し [ その他のアクション ] [1 つのシステムのポリシーを変更 ] の順に選択します 2 [ ポリシー ] で [ 製品 ] リストから [Host Intrusion Prevention 8.0: IPS/ 全般 ] を選択して [IPS ルール / 信頼できるアプリケーション ] で [ 割り当てを編集 ] をクリックします 3 [ ポリシーの割り当て ] ページで [ 新しいポリシーインスタンス ] をクリックし 別のポリシーインスタンスの [ 割り当て済みのポリシー ] リストからポリシーを選択します マルチインスタンスルールセットで有効なポリシーを表示するには [ 有効なポリシーを表示 ] をクリックします 4 [ 保存 ] をクリックして すべての変更を保存します FAQ - マルチインスタンスポリシー Host Intrusion Prevention には IPS ルールと信頼できるアプリケーションの 2 つのマルチインスタンスポリシーがあります これらのポリシーを使用すると 1 つのクライアントに同時に複数のポリシーを許可することができます 他のポリシーはシングルインスタンスポリシーです これらのポリシーの McAfee デフォルトバージョンは Host Intrusion Prevention セキュリティコンテンツの更新時に自動的に更新されます このため セキュリティコンテンツの更新が適用されるように これらのポリシーをクライアントに常時割り当てる必要があります 複数のインスタンスが適用されると その結果はすべてのインスタンスの統合になります このポリシーを有効なポリシーといいます 40

41 IPS ポリシーの設定 IPS 保護の定義 配備を簡素化するためには マルチスロットポリシーの割り当てをどのように使用すればよいですか? 最初に 配備用のユーザグループを定義します 保護が必要なリソースと正常に機能させるために例外が必要なリソースをプロパティに記述します このプロパティは次のようになります 部門 - 各部門で固有のリソースを保護し 固有のビジネス活動を例外にする必要があります 場所 - 各場所には固有のセキュリティ基準が設定されている場合があります また 保護が必要なリソースやビジネス活動で必要な例外が異なる場合もあります コンピュータの種類 - 各コンピュータ ( ノート PC ワークステーション サーバ ) によって保護するアプリケーションが異なりますが 重要なビジネス機能の実行は許可する必要があります 次に リソースを保護し グループごとに例外と信頼できるアプリケーションを作成します 適応モードを使用して 特定のグループで保護または信頼するリソースを特定できます 各ユーザグループに IPS ルールと信頼できるアプリケーションポリシーのインスタンスを作成します 特定の部門 場所 コンピュータの種類ごとに 1 つの IPS ルールポリシーを作成します 該当するインスタンスを適用します マルチインスタンスの IPS ルールポリシーを使用しない場合 3 つの部門 3 つの場所 3 つのコンピュータの種類で 27 のポリシーを作成する必要がありますが マルチインスタンスの場合 9 つのポリシーで済みます ルールを異なるポリシーに割り当てると矛盾します 有効なポリシーはどのように作成されますか? 1 つのインスタンスのルールの設定が 他のポリシーインスタンスの同じルールでは矛盾する場合があります Host IPS では 全体的に有効なポリシーを設定するために これらの矛盾を次のルールで処理しています IPS ルールの場合 : シグネチャの有効な重大度は カスタマイズされた重大度の中で最も高いレベルに設定されます 優先順位は 高 中 低 情報 無効です 重大度がカスタマイズされていない場合には デフォルトの値が適用されます シグネチャの有効なログのステータスは カスタマイズされたログのステータスになります 2 つ以上の適用済みの IPS ルールポリシーでカスタマイズされている場合には 無効よりも有効なログのステータスが優先されます ログのステータスがカスタマイズされていない場合には デフォルトの値が適用されます シグネチャの有効なクライアントルール設定はカスタマイズされた設定です 2 つ以上の割り当て済みの IPS ルールポリシーでカスタマイズされている場合には 無効よりも有効なクライアントルールが優先されます クライアントルール設定がカスタマイズされていない場合には デフォルトの値が適用されます 有効な例外セットは 適用済みのすべての例外の組み合わせです 信頼できるアプリケーションの場合 : 有効な信頼できるアプリケーションのセットは すべての信頼できるアプリケーションの組み合わせです 同じアプリケーションが別の信頼されたアプリケーションポリシーの機能で 信頼 と設定されていない場合でも IPS またはファイアウォールでの信頼設定が優先されます 41

42 IPS ポリシーの設定 IPS 保護の定義 IPS シグネチャの機能 シグネチャは セキュリティ上の脅威 攻撃手法 およびネットワーク侵入を記述します 各シグネチャには デフォルトの重大度レベルがあり このレベルによって攻撃の潜在的な危険性が示されます 高 - 明確に識別できるセキュリティ上の脅威や悪意のあるアクションから保護するシグネチャ これらのシグネチャの大部分は よく知られた不正特有のものであり 実際は ほとんど動作に関連しません すべてのホストで これらのシグネチャを防止してください 中 - 高レベルよりも実際に動作に関連し アプリケーションがアプリケーション環境の外部で動作するのを防止するためのシグネチャ (Web サーバおよび Microsoft SQL Server 2000 を保護するクライアントに関連します ) 重要なサーバでは 微調整した後 これらのシグネチャを防止しなければならない場合があります 低 - 実際に動作に関連するシグネチャであり アプリケーションを遮断します 遮断とは アプリケーションおよびシステムリソースを変更できないように それらを制限することです これらのシグネチャを防止すると基本システムのセキュリティが向上しますが 追加の微調整が必要になります 情報 - 害のないセキュリティリスクが発生するかまたは重要なシステム情報がアクセスされる可能性のある システム設定の変更を示します このレベルのイベントは 正常なシステム動作中に発生し 通常は攻撃を示すものではありません シグネチャの種類 IPS ルールのポリシーには 次の 3 種類のシグネチャがあります Host IPS シグネチャ - Host Intrusion Prevention のデフォルトのシグネチャ カスタム IPS シグネチャ - ユーザが作成するカスタムホスト侵入防止シグネチャ ネットワーク IPS シグネチャ - Network Intrusion Prevention のデフォルトのシグネチャ Host IPS シグネチャ ホストベースの侵入防止シグネチャは システム操作を行う動作への攻撃を検出および防止するもので ファイル レジストリ サービス HTTP などに関するルールを含みます これらのシグネチャは Host Intrusion Prevention のセキュリティエキスパートによって開発され 製品に含まれており コンテンツの更新も提供されます 各シグネチャには 説明とデフォルトの重大度レベルがあります 適切な特権レベルを持っていれば 管理者はシグネチャの重大度レベルを変更できます ホストベースのシグネチャは 呼び出されると IPS イベントを生成し それらのイベントは [ レポート ] の [ ホスト IPS] タブの [ イベント ] タブに表示されます カスタム IPS シグネチャ カスタムシグネチャは デフォルトの保護を超える保護のために作成できる ホストベースのシグネチャです たとえば 重要なファイルを使用して新しいフォルダを作成する場合に カスタムシグネチャを作成してそのフォルダを保護できます 注意 : ネットワークベースのカスタムシグネチャは作成できません ネットワーク IPS シグネチャ ネットワークベースの侵入防止シグネチャは ホストシステム上に到達する既知のネットワークベースの攻撃を検出および防止します ネットワークベースのシグネチャは ホストベースのシグネチャと同じシグネチャリストに表示されます 42

43 IPS ポリシーの設定 IPS 保護の定義 各シグネチャには 説明とデフォルトの重大度レベルがあります 適切な特権レベルを持っていれば 管理者はシグネチャの重大度レベルを変更できます ネットワークベースのシグネチャに対して例外を作成することはできますが オペレーティングシステムユーザ プロセス名などの追加パラメータ属性を指定することはできません 詳細には IP アドレスなどのネットワーク特有のパラメータが含まれており それらのパラメータを指定できます ネットワークベースのシグネチャによって生成されたイベントは [ イベント ] タブにホストベースのイベントとともに表示され ホストベースのイベントと同じ動作が示されます シグネチャを使用するには [IPS ルール ] ポリシーの [ シグネチャ ] タブをクリックします IPS シグネチャの設定 IPS ルールポリシーの [ シグネチャ ] タブでは デフォルトのシグネチャを編集したり カスタムシグネチャを追加できます また シグネチャを別のポリシーに移動することもできます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS ルール ] を選択します ポリシーのリストが表示されます 2 [ アクション ] の下で [ 編集 ] をクリックして [IPS ルール ] ページで変更を行い [ シグネチャ ] タブをクリックします 3 次のいずれかを行います 操作... リストでのシグネチャの検索 シグネチャの編集 手順... シグネチャリストの上部にあるフィルタを使用します シグネチャの重大度 種類 プラットフォーム ログステータス クライアントルールを許可するかどうか またはシグネチャ名 メモ あるいはコンテンツバージョンを含む特定のテキストでフィルタを設定できます フィルタ設定を削除するには [ クリア ] をクリックします [ アクション ] で [ 編集 ] をクリックします デフォルトのシグネチャである場合 [ 重大度レベル ] [ クライアントルール ] または [ ログのステータス ] の設定を変更し 変更内容を記述するメモを [ メモ ] ボックスに入力します [OK] をクリックして変更を保存します 編集したデフォルトのシグネチャは [ アクション ] の [ 取り消し ] をクリックすると元の設定に戻すことができます 注意 : シグネチャを編集して変更を保存すると リスト内でシグネチャが再度ソートされます 編集後のシグネチャを探すには リストの検索が必要になる場合があります シグネチャがカスタムシグネチャである場合 [ 重大度レベル ] [ クライアントルール ] [ ログのステータス ] または [ 説明 ] の設定を変更し 変更内容を記述するメモを [ メモ ] ボックスに入 43

44 IPS ポリシーの設定 IPS 保護の定義 操作... 手順... 力します [OK] をクリックして変更を保存します 注意 : 複数のシグネチャを同時に変更することもできます シグネチャの選択して [ 複数を選択 ] をクリックします 表示されたページで 編集可能な項目の設定を選択して [OK] をクリックします シグネチャの追加 カスタムシグネチャの削除 [ 新規 ] または [ 新規 ( ウィザード )] をクリックします [ アクション ] で [ 削除 ] をクリックします 注意 : 削除できるのは カスタムシグネチャだけです 別のポリシーへのシグネチャのコピー シグネチャを選択し [ コピー先 ] をクリックして別のポリシーにコピーします シグネチャのコピー先のポリシーを指定し [OK] をクリックします 注意 : 複数のシグネチャを選択してから [ コピー先 ] をクリックすると 選択したすべてのシグネチャをまとめてコピーできます 4 [ 保存 ] をクリックして変更を保存します カスタムシグネチャの作成 IPS ルールポリシーの [ シグネチャ ] タブで カスタム Host IPS を作成し デフォルトのシグネチャで対応できない特定の操作を保護することができます タスク オプションの定義については インターフェースの? をクリックしてください 1 IPS ルールポリシーの [ シグネチャ ] タブで [ 新規 ] をクリックします 空白の [ シグネチャ ] ページが表示されます 2 シグネチャの [IPS シグネチャ ] タブで 名前 ( 必須 ) を入力し プラットフォーム 重大度レベル ログのステータス およびクライアントルールの作成を許可するかどうかを選択します 重大度レベル クライアントルール ログのステータスのチェックボックスを選択して デフォルトの値を変更します 3 [ 説明 ] タブで シグネチャの保護対象の説明を入力します この説明は シグネチャが呼び出されたときに [IPS イベント ] に表示されます 4 [ サブルール ] タブで [ 新しい標準サブルール ] または [ 新しいエキスパートサブルール ] を選択してルールを作成します 標準方法 エキスパート向けの方法 標準方法では シグネチャのルールに設定できる種類の数が制限されます エキスパート向けの方法は 詳しい知識のあるユーザのみが使用することをお勧めします この方法では シグネチャのルールに設定できる種類の数は制限されず ルールの構文を設定できます ルールを作成する前に ルールの構文をよく理解してください 1 シグネチャの名前 ( 必須 ) を入力し ルールクラスの種類を選択します オプションは ファイル フック HTTP プログラム レジストリ サービス SQL です 1 シグネチャのルール構文を入力します ここに ルールの名前を入れることができます ANSI 形式の TCL 構文を使用します 44

45 IPS ポリシーの設定 IPS 保護の定義 標準方法 2 ブロックされ シグネチャが生成されるクラス操作を指定します 3 特定のパラメータ そのパラメータの種類 およびその値を含めるか除外するかを指定します 4 パラメータとして ファイルの説明 ファイル名 MD5 ハッシュフィンガープリント 署名者のいずれかと一緒に実行ファイルを指定します エキスパート向けの方法 2 [OK] をクリックすると ルールが [ サブルール ] タブの上部のリストに追加されます ルールがコンパイルされ 構文が検証されます ルールの検証が正常終了しなかった場合は エラー内容を示すダイアログボックスが表示されます エラーを修正して ルールを再度検証します 5 [OK] をクリックすると ルールが [ サブルール ] タブの上部のリストに追加されます ルールがコンパイルされ 構文が検証されます ルールの検証が正常終了しなかった場合は エラー内容を示すダイアログボックスが表示されます エラーを修正して ルールを再度検証します クラスの種類 演算子 パラメータの詳細については カスタムシグネチャと例外の作成 で該当するクラスセクションを参照してください 5 [OK] をクリックします 注意 : 1 つのシグネチャに対して複数のルールを作成できます ウィザードによるカスタムシグネチャの作成 カスタムシグネチャウィザードを使用すると 新しいシグネチャを簡単に作成できます 注意 : ウィザードを使用してシグネチャを作成した場合 シグネチャの保護対象操作を変更 追加 または削除できないため 柔軟性は期待できません タスク オプションの定義については インターフェースの? をクリックしてください 1 IPS ルールの [ シグネチャ ] タブで [ 新規 ( ウィザード )] をクリックします 2 [ 基本情報 ] タブで 名前を入力し プラットフォーム 重大度レベル ログのステータス およびクライアントルールの作成を許可するかどうかを選択します [ 次へ ] をクリックして 続行します 3 [ 説明 ] タブで シグネチャの保護対象の説明を入力します この説明は シグネチャが呼び出されたときに [IPS イベント ] に表示されます 4 [ ルールの定義 ] タブで 変更に対して保護する項目を選択し 詳細を入力します 5 [OK] をクリックします FAQ - IPS ルールでのワイルドカードの使い方 Host IPS ルールでは 特定のフィールド値にワイルドカードを使用できます パスとアドレスで使用できるワイルドカードを教えてください ファイル レジストリキー 実行ファイル URL のパスには次のワイルドカードが使用できます 45

46 IPS ポリシーの設定 IPS 保護の定義 文字? ( 疑問符 ) * (1 つのアスタリスク ) ** (2 つのアスタリスク ) ( パイプ ) 定義 1 つの文字 / と \ を除く複数の文字 サブフォルダではなく フォルダのルートレベルの内容と一致させるために使用します / と \ を含む複数の文字 ワイルドカードのエスケープ 注意 : ** の場合 エスケープは * * になります 他の値で使用できるワイルドカードを教えてください パス情報を含まないスラッシュ付きの値では 次のワイルドカードを使用できます 文字? ( 疑問符 ) * (1 つのアスタリスク ) ( パイプ ) 定義 1 つの文字 / と \ を含む複数の文字 ワイルドカードのエスケープ シグネチャのエキスパートサブルール値で使用できるワイルドカードを教えてください エクスパート方法でサブルールを作成する場合には 次の文字が使用できます 文字? ( 疑問符 ) * (1 つのアスタリスク ) & ( アンパサンド )!! ( 感嘆符 ) 定義 1 つの文字 / と \ を含む複数の文字 例 :files { Include C:\*.tt } / と \ を除く複数の文字 サブフォルダではなく フォルダのルートレベルの内容と一致させるために使用します 例 :files { Include C:\test\\&.tt } ワイルドカードのエスケープ 例 :files { Include C:\test\\yahoo!.tt } IPS アプリケーション保護ルールの機能 アプリケーション保護ルールは プロセスが Host Intrusion Prevention から汎用的なバッファオーバーフロー対策を受信する方法を制御します このルールでは 定義され生成されたプロセスリストに対するユーザレベルの API フックを許可またはブロックします カーネルレベルのファイルおよびレジストリフックには影響しません リスト内で監視ステータスが 監視対象 のプロセスだけがバッファオーバーフロー対策の対象になります Host Intrusion Prevention では 許可またはブロックされたプロセスの静的リストを提供しています このリストは McAfee デフォルト IPS ルールポリシーで適用されるコンテンツ更新で更新されます さらに プロセス解析が有効な場合 フックを許可されたプロセスが動的にリストに追加されます この解析は次の条件で実行されます クライアントが起動して実行中のプロセスが列挙される場合 プロセスが開始される場合 epolicy Orchestrator サーバによりアプリケーション保護リストが更新される場合 46

47 IPS ポリシーの設定 IPS 保護の定義 ネットワークポートを待ち受けるプロセスのリストが更新される場合 注意 : リストを動的に更新するには IPS オプションポリシーで [ ネットワークに接続するサービスベースアプリケーションを自動的にアプリケーション保護リストに追加 ] を選択する必要があります このオプションでは ネットワークポートで待機するすべての Windows サービスとアプリケーションが対象になります この解析では プロセスがアプリケーション保護リストから除外されているかどうかを最初に確認します 除外されていない場合 プロセスがアプリケーション保護リストに追加されているかどうかを確認します 追加されていない場合 プロセスがネットワークポートで待機しているのか サービスとして実行されているかを確認します 該当しない場合 フックがブロックされ プロセスは保護されません ポート上で待機しているかサービスとして実行されている場合には フックが許可され プロセスが保護されます 図 1: アプリケーション保護ルールの解析 IPS コンポーネントは 実行中のプロセスに情報キャッシュを保持しており フック情報を追跡します ファイアウォールコンポーネントは プロセスがネットワークポートを待ち 47

48 IPS ポリシーの設定 IPS 保護の定義 受けているかどうか判断し IPS コンポーネントにエクスポートされた API を呼び出し 監視リストに追加される情報を API に渡します API が呼び出されると IPS コンポーネントは対応するエントリを実行中のプロセスリストで見つけます まだフックされておらず静的ブロックリストの一部にもなっていないプロセスは これでフックされます ファイアウォールから PID ( プロセス ID) が出力され これがプロセスのキャッシュ検索のためのキーになります IPS コンポーネントにエクスポートされた API によっても 現在フックされているプロセスをクライアントユーザインターフェースで取得でき これはプロセスがフックまたはフックを解除されるたびに更新されます すでにフックされているプロセスは 今後フックできなくなることを指定した更新済みのプロセスリストがサーバから送信されると フックが解除されます プロセスフックリストが更新されると 実行中のプロセスの情報キャッシュにリストされたすべてのプロセスが 更新されたリストと比較されます リストにより あるプロセスがフックされる必要があるのにフックされていないことがわかると そのプロセスはフックされます リストにより あるプロセスがフックされてはいけないのにフックされていることがわかると そのプロセスはフック解除されます プロセスフックリストは [ アプリケーション保護ルール ] タブで表示 編集できます IPS ルールのポリシーとは異なり クライアントユーザインターフェースには フックされたすべてのアプリケーションプロセスの静的リストが表示されます 注意 : hook:set_windows_hook による実行ファイルへの DLL の挿入を阻止するには アプリケーション保護リストに実行ファイルを追加します IPS アプリケーション保護ルールの設定 IPS ルールポリシーの [IPS ルールアプリケーション保護ルール ] タブでは ルールの編集 追加 削除 別のポリシーへの移動を実行できます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS ルール ] を選択します ポリシーのリストが表示されます 2 [ アクション ] の下で [ 編集 ] をクリックして [IPS ルール ] ページで変更を行い [ アプリケーション保護ルール ] タブをクリックします 3 以下の操作を実行します 操作... リストでのアプリケーションルールの検索アプリケーションルールの編集アプリケーションルールの追加アプリケーションルールの削除 手順... アプリケーションリストの上部にあるフィルタを使用します ルールのステータス 監視 またはプロセス名 プロセスパス あるいはコンピュータ名を含む特定のテキストでフィルタを設定できます フィルタ設定を削除するには [ クリア ] をクリックします [ アクション ] で [ 編集 ] をクリックします [ 新規 ] をクリックします [ アクション ] で [ 削除 ] をクリックします 48

49 IPS ポリシーの設定 IPS 保護の定義 操作... アプリケーションルールの別のポリシーへのコピー 手順... ルールを選択し [ コピー先 ] をクリックして別のポリシーにコピーします ルールのコピー先のポリシーを指定し [OK] をクリックします 注意 : 複数のルールを選択してから [ コピー先 ] をクリックすると 選択したすべてのルールをまとめてコピーできます 4 [ 保存 ] をクリックして変更を保存します アプリケーション保護ルールの作成 IPS ルールポリシーに環境で必要なアプリケーション保護ルールがない場合には ルールを作成できます タスク オプションの定義については インターフェースの? をクリックしてください 1 IPS ルールポリシーの [ アプリケーション保護ルール ] タブで 次のいずれかを行います [ 新規 ] をクリックします 空白の [ アプリケーション ] ページが表示されます ルールを選択し [ 複製 ] をクリックします 新しいルールに名前を付けて保存し [ 編集 ] をクリックします 2 名前 ステータス アプリケーションルールを保護リストに入れるかどうか およびルールに適用する実行ファイルを入力します 注意 : [ カタログから追加 ] をクリックすると Host IPS カタログから既存の実行ファイルを追加できます カタログの詳細については ファイアウォールルールの設定 の Host IPS カタログの機能 を参照してください 3 [ 保存 ] をクリックします IPS 例外の機能 攻撃だと解釈される動作が ユーザの作業手順の正常な一部である場合があります これを誤検知といいます 誤検知を防ぐには その動作に対して例外を作成します 例外を使用すると 誤検知を削減し コンソールに送られる不要なデータを最小限に抑え アラートを本当のセキュリティ上の脅威として捉えることができます たとえば 検査のプロセス中 クライアントが Outlook エンベロープ - 怪しい実行可能モジュール のシグネチャを認識したとします このシグネチャは Outlook 電子メールのアプリケーションが Outlook の通常のリソースであるエンベロープ外部のアプリケーションを変更しようとしていることを示しています Outlook が通常電子メールに関連付けられていないアプリケーション (Notepad.ee) などを変更する可能性があるため このシグネチャでトリガーされたイベントはアラームの原因となります この例では トロイの木馬に感染した可能性があります しかし イベントを開始したプロセス ( たとえば Outlook.ee によるファイルの保存 ) が通常どおり電子メールの送信を行っているのであれば この動作を許可する例外を作成する必要があります ヒント : 特定のフォルダでファイルの変更 ( 編集 名前の変更 削除 ) を許可しないカスタムシグネチャを作成するときに 1 つのアプリケーションに変更を許可する場合には その 49

50 IPS ポリシーの設定 IPS 保護の定義 アプリケーションがファイルを変更できるように例外を作成します あるいは カスタムシグネチャのサブルールでアプリケーションを除外するパラメータを追加します IPS 例外の設定 IPS ルールポリシーの [IPS ルール例外 ] タブでは 例外の編集 追加 削除 別のポリシーへの移動を実行できます タスク オプションの定義については インターフェースの? をクリックしてください 1 [ システム ] の [ ポリシーカタログ ] を表示し [ 製品 ] リストで [Host Intrusion Prevention: IPS] を選択し [ カテゴリ ] リストで [IPS ルール ] を選択します ポリシーのリストが表示されます 2 [ アクション ] の下で [ 編集 ] をクリックして [IPS ルール ] ページで変更を行い [ 例外ルール ] タブをクリックします 3 以下の操作を実行します 操作... リストでの例外ルールの検索例外ルールの編集例外ルールの追加例外ルールの削除例外ルールの別のポリシーへのコピー 手順... 例外リストの上部にあるフィルタを使用します ルールのステータス 変更された日付 またはルールテキストか注テキストを含む特定のテキストでフィルタを設定できます フィルタ設定を削除するには [ クリア ] をクリックします [ アクション ] で [ 編集 ] をクリックします [ 新規 ] をクリックします [ アクション ] で [ 削除 ] をクリックします ルールを選択し [ コピー先 ] をクリックして別のポリシーにコピーします ルールのコピー先のポリシーを指定し [OK] をクリックします 注意 : 複数のルールを選択してから [ コピー先 ] をクリックすると 選択したすべてのルールをまとめてコピーできます 4 [ 保存 ] をクリックして変更を保存します 例外ルールの作成 シグネチャでブロックされた動作を許可するには そのシグネチャに例外を作成します これにより 例外のパラメータと値を定義します 詳細については カスタムシグネチャと例外の作成 を参照してください タスク オプションの定義については インターフェースの? をクリックしてください 1 IPS ルールポリシーの [ 例外ルール ] タブで [ 新規 ] をクリックします 2 例外の名前を入力します 例外を適用するシグネチャも追加します 3 シグネチャの動作例外として機能する実行ファイル パラメータ ドメイングループを設定します 4 [ 保存 ] をクリックします 50

51 IPS ポリシーの設定 IPS イベントの監視 IPS イベントの監視 IPS イベントは シグネチャで定義されているセキュリティ違反が検出されたときに発生し epo サーバに報告されます IPS イベントは [ レポート ] の下にある [Host IPS] の [ イベント ] タブに重大度レベル ( 高 中 低 情報 ) と一緒に表示されます または [ イベントログ ] タブに epolicy Orchestrator が管理する他の製品のイベントと一緒に表示されます 注意 : 同じ操作によって 2 つのイベントが発生する場合 より高いレベルのシグネチャの処理が実行されます 生成されたイベントのリストから 許可できるイベントと怪しいイベントを判断することができます イベントを許可するには システムを次のように設定します 例外 - シグネチャルールに優先するルール 信頼できるアプリケーション - シグネチャによってブロックされる動作をするアプリケーションのうち 信頼できるとラベル付けされたアプリケーション このような調整を行うと 表示されるイベントを最小限に抑えることができるため 発生した重大なイベントの分析に より多くの時間をかけることができます イベントに対する処理 特定の状況では 攻撃だと解釈される動作が 実際にはユーザの作業手順の正常な一部である場合があります このようなことが発生した場合 この動作に対して 例外ルールまたは信頼できるアプリケーションのルールを作成できます 例外または信頼できるアプリケーションを作成すると 誤検知が除去され 通知があった場合には確実に重要な情報として捉えることができます たとえば クライアントの検査中 クライアントが電子メールアクセスについてのシグネチャを認識する可能性があります 通常 このシグネチャによって発生したイベントがアラームの原因になります ハッカーによって 通常は電子メールアプリケーション用である TCP/IP ポート 25 を使用するトロイの木馬アプリケーションがインストールされた可能性があり この動作は TCP/IP ポート 25 の動作 (SMTP) シグネチャによって検出されます その一方で 正常な電子メールトラフィックも このシグネチャに一致します このシグネチャを確認した場合は イベントを開始したプロセスを調査してください Notepad.ee など プロセスが電子メールに正常に関連しているものでない場合 トロイの木馬が仕掛けられたと疑う正当な理由がある可能性があります イベントを開始したプロセスが通常どおり電子メール送信を担当しているのであれば (Outlook など ) そのイベントに対して例外を作成してください また たとえば 多数のクライアントが起動プログラムについてのシグネチャを呼び出しており それらのシグネチャが次のようなレジストリキーの値の変更または作成を示す可能性もあります HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce これらのキーに保存されている値は コンピュータの起動時に開始されるプログラムを示すため このシグネチャの認識は 誰かがシステムを改ざんしようとしていることを示している可能性があります 一方 従業員が WinZip をコンピュータにインストールしているなど 害のない動作を示している可能性もあります WinZip をインストールすると Run レジストリキーに値が追加されます 承認されたソフトウェアをユーザがインストールするたびにイベントが発生するのを回避するには これらのイベントに対して例外を作成します 51

52 IPS ポリシーの設定 IPS イベントの監視 イベントのフィルタと集約 フィルタを適用すると フィルタ条件で定義されたすべての変数を満たすイベントのリストが生成されます 生成されるリストは すべての条件を含むイベントのリストです イベントを集約すると [ 集約する列を選択する ] タブで選択した各変数に関連する値ごとにグループ化された イベントのリストが生成されます 生成されるリストは 選択した変数に関連する値ごとにグループ化され 並べ替えられたイベントのリストです IPS イベントの管理 クライアントから送信された IPS イベントを確認して例外または信頼できるアプリケーションを作成すると セキュリティを強化できます 注意 : IPS イベントは 全システムのその他のすべてのイベントとともに [ レポート ] の [ イベントログ ] タブにも表示されます [ レポート ] の [ イベント ] タブにアクセスするには [ イベントログ ] [ システム ] および [ システムツリーアクセス ] の表示権限を含む 追加の権限セットが必要です タスク オプションの定義については インターフェースの? をクリックしてください 1 [ レポート ] [Host IPS 8.0] の順に移動し [ イベント ] をクリックします 2 システムツリーで IPS イベントを表示するグループを選択します 選択したグループに関連付けられているすべてのイベントが表示されます デフォルトでは すべてのイベントは表示されません 過去 30 日間に発生したイベントのみが表示されます 3 イベントのリストの表示方法を決定します 操作... 表示する列を選択する列によって並べ替えるグループにフィルタを設定するイベントの条件にフィルタを設定する例外の集約イベントの詳細表示 手順... [ オプション ] [ 列の選択 ] の順に選択します [ 列の選択 ] ページで 表示する列の追加 削除 または順序の変更を行います 列ヘッダーをクリックします [ フィルタ ] メニューから [ このグループのみ ] または [ このグループとすべてのサブグループ ] を選択します イベントの種類 ステータス ( 未読 既読 非表示 非表示を表示 ) 重大度または作成日を選択します フィルタ設定を削除するには [ クリア ] をクリックします [ 集約 ] をクリックし イベントを集約する条件を選択して [OK] をクリックします 集約設定を削除するには [ クリア ] をクリックします イベントをクリックします [ イベントログの詳細 ] ページが表示されます 4 フィルタリングと管理を簡単に行えるように イベントにマークを付けます 1 つ以上のイベントのチェックボックスを選択して 必要なコマンドをクリックします 注意 : コマンドが [ その他のアクション ] メニューに表示される場合もあります クリックする項目 開封済みに設定 操作... イベントを開封済みに設定します 52

53 IPS ポリシーの設定 IPS イベントの監視 クリックする項目未開封に設定非表示に設定非表示を表示に設定 操作... 開封済みイベントを未開封に設定します イベントを非表示にします 非表示のイベントを表示します 注 : 非表示イベントを選択できるようにするには 先にフィルタリングしておく必要があります 5 例外または信頼できるアプリケーションルールを作成します イベントを選択し [ 新しい例外 ] をクリックして例外を作成するか [ 新しい信頼できるアプリケーション ] をクリックしてアプリケーションルールを作成します 詳細については イベントからの例外の作成 または イベントからの信頼できるアプリケーションの作成 を参照してください イベントからの例外の作成 [Host IPS 8.0 イベント ] タブまたは [ イベントログ ] ページの [ レポート ] に表示されたイベントでは 例外を作成するオプションを使用できます タスク オプションの定義については インターフェースの? をクリックしてください 1 例外を作成するイベントのチェックボックスを選択します 2 [ 新しい例外 ] をクリックします 注意 : コマンドが [ アクション ] メニューに表示される場合もあります 3 表示されたダイアログボックスで 追加先の IPS ルールポリシーを選択し [OK] をクリックします 例外が自動的に作成され 追加先の IPS ルールポリシーの例外リストの最後に追加されます イベントからの信頼できるアプリケーションの作成 [Host IPS 8.0 イベント ] タブまたは [ イベントログ ] ページの [ レポート ] に表示されたイベントでは 信頼できるアプリケーションを作成するオプションを使用できます タスク オプションの定義については インターフェースの? をクリックしてください 1 信頼できるアプリケーションを作成するイベントのチェックボックスを選択します 2 [ 新しい信頼できるアプリケーション ] をクリックします 注意 : コマンドが [ その他のアクション ] メニューに表示される場合もあります 3 表示されたダイアログボックスで 追加先の信頼できるアプリケーションポリシーを選択し [OK] をクリックします 例外が自動的に作成され 追加先の信頼できるアプリケーションポリシーの例外リストの最後に追加されます ここから 新しいアプリケーションの詳細を表示し 編集することができます 53

54 IPS ポリシーの設定 IPS クライアントルールの監視 IPS クライアントルールの監視 クライアントが適応モードにあるときに自動的に作成された IPS クライアントルールや クライアントルールの手動作成を許可するクライアント UI ポリシーが有効な場合にクライアントで手動で作成された IPS クライアントルールは 定期的に解析する必要があります IPS クライアントルールはクライアントで作成された例外で シグネチャでブロックされた機能を許可します 重大度高のシグネチャに対する例外は十分に注意してください 誤検知の場合も 重大な問題の場合もあります 誤検知の場合には 例外を IPS ルールポリシーに移動するか シグネチャの重大度を調整します 注意 : [ レポート ] の [ ホスト IPS] タブに表示される IPS クライアントのルールにアクセスするには Host Intrusion Prevention の IPS に対する権限以外に [ イベントログ ] [ システム ] および [ システムツリーアクセス ] の表示権限を含む 追加の権限が必要です 例外は ソート フィルタリング 集約ができます また 例外の詳細も表示できます 次に 一部またはすべてのクライアント例外を特定の IPS ルールポリシーに追加して 特定のシステム環境の誤検知を削減できます 集約機能を使用すると 同じ属性を持つ複数の例外をまとめることにより 1 つの集約された例外だけを表示できるとともに 例外が発生した回数を管理できます こうして クライアントでの IPS 保護のトラブルスポットを容易に検出することができます IPS クライアントルールの管理 適用モードで自動的に作成された IPS クライアントルールやクライアントで手動で作成したルールを表示し IPS ルールや信頼できるアプリケーションポリシーに移動すると IPS 保護の調整を効率的に行うことができます 注意 : [ レポート ] の [ ホスト IPS] タブに表示される IPS クライアントのルールにアクセスするには Host Intrusion Prevention の IPS に対する権限以外に [ イベントログ ] [ システム ] および [ システムツリーアクセス ] の表示権限を含む 追加の権限が必要です タスク オプションの定義については インターフェースの? をクリックしてください 1 [ レポート ] [Host IPS 8.0] の順に移動し [IPS クライアントルール ] をクリックします 2 システムツリーで クライアントルールを表示するグループを選択します 3 クラアイント例外リストの表示方法を決定します 操作... 列によって並べ替えるグループにフィルタを設定する例外条件にフィルタを設定する 手順... 列ヘッダーをクリックします [ フィルタ ] メニューから [ このグループのみ ] または [ このグループとすべてのサブグループ ] を選択します 時間の条件を選択します プロセスパス プロセス名 ユーザ名 コンピュータ名 またはシグネチャ ID を検索テキストボックスに入力し [ 戻る ] を押します フィルタ設定を削除するには [ クリア ] をクリックします 54

55 IPS ポリシーの設定 IPS クライアントルールの監視 操作... 例外の集約 手順... [ 集約 ] をクリックし 例外を集約する条件を選択して [OK] をクリックします 集約設定を削除するには [ クリア ] をクリックします 4 例外をポリシーに移動するには リスト内の 1 つ以上の例外を選択し [ 例外の作成 ] をクリックして 例外の移動先のポリシーを指定します 55

56 ファイアウォールポリシーの設定 Host Intrusion Prevention ファイアウォールポリシーは保護機能を有効または無効にします また ポリシーのルールにより データ アプリケーション オペレーティングシステムを侵害する可能性があるネットワーク侵入を阻止します 目次 ファイアウォールポリシーの概要 ファイアウォール保護の有効化 ファイアウォール保護の定義 ファイアウォールポリシーの概要 The Host Intrusion Prevention ファイアウォール機能は Windows が稼動するネットワーク上のシステムで送受信されるトラフィックをフィルタリングし システムを保護します ステートフルパケットフィルタ機能とパケット検査機能は さまざまな種類の接続のパケットを識別し 転送の最初から最後まで ネットワーク接続の属性をメモリに保持できます Host IPS カタログを使用すると ルールを簡単に作成できます カタログから既存のファイアウォールルールやグループに既存のルール グループ ネットワークオプション アプリケーション 実行ファイル 場所を追加できます また これらの項目を一つずつまた一括でカタログに追加できます 使用可能なポリシー 次の 3 つのファイアウォールポリシーがあります ファイアウォールオプション - ファイアウォール保護を有効にします ファイアウォール保護を有効または無効にします ステートフルファイアウォールの設定を定義し ファイアウォールサービスが開始するまで送信トラフィックだけを許可するなど 特別なファイウォールルールを有効にできます また IP を偽装する不正なトラフィックをブロックします ファイアウォールルール - ファイアウォール保護を定義します 許可またはブロックするトラフィックを定義した一連のルールから構成されます ルールは 広範囲に定義することも ( すべての IP トラフィックなど ) 狭い範囲で定義することもできます ( 特定のアプリケーションまたはサービスの特定など ) また ネットワーク トランスポート アプリケーション スケジュールの各オプションを設定できます ルールを機能 サービスまたはアプリケーションに従って分類すると 管理作業が簡単になります ルールと同様に ルールグループもネットワーク トランスポート アプリケーション スケジュール 場所の各オプションが定義できます ファイアウォール DNS ブロック - ブロックするドメイン名のパターンを定義します ワイルドカードも使用できます 適用すると このポリシーはファイアウォールルールリストの先頭に近い位置にルールを動的に追加し 特定のドメインの IP アドレスの解決を阻止します 56

57 ファイアウォールポリシーの設定ファイアウォールポリシーの概要 ファイアウォールルールの機能 ファイアウォールルールでは ネットワークトラフィックの処理方法を決定します 各ルールには トラフィックが満たす必要がある一連の条件とアクション ( トラフィックの許可またはブロック ) が定義されています Host Intrusion Prevention は ルールの条件と一致するトラフィックを見つけると 関連付けられたアクションを実行します Host Intrusion Prevention は 優先順位によってルールを適用し ファイアウォールルールリストの最上位にあるルールを最初に適用します トラフィックがルールの条件と一致すると Host Intrusion Prevention はトラフィックを許可またはブロックします リストにあるその他のルールは適用しません トラフィックが最初のルールの条件と一致しない場合 Host Intrusion Prevention はリストにある次のルールを調べます このようにして トラフィックに一致するルールが見つかるまでファイアウォールルールリストを照合していきます 一致するルールがない場合 ファイアウォールは自動的にトラフィックをブロックします 学習モードが有効な場合には 実行するアクションをユーザに確認します 適応モードが有効な場合には トラフィックの許可ルールが作成されます 阻止したトラフィックが リストにある 1 つ以上のルールに適合する場合があります この場合 優先順位により Host Intrusion Prevention はリストで最初に一致したルールのみを適用します ベストプラクティス ファイアウォールルールのポリシーを作成またはカスタマイズする場合 より具体的なルールをリストの上位に置き 一般的なルールを下位に置きます こうすることにより Host Intrusion Prevention は トラフィックを適切にフィルタリングします たとえば IP アドレス を除くすべての HTTP 要求を許可するには 次の 2 つのルールを作成する必要があります ブロックルール - IP アドレス からの HTTP トラフィックをブロックします これは 具体性の高いルールです 許可ルール - HTTP サービスを使用するすべてのトラフィックを許可します これは 一般性の高いルールです 具体的なブロックルールは 一般的な許可ルールよりもファイアウォールルールリストの上位に配置する必要があります これにより ファイアウォールがアドレス からの HTTP 要求を阻止したときに 一致するルールで最初に見つけるのが このトラフィックのファイアウォールの通過をブロックするルールになります 一般的な許可ルールを具体的なブロックルールより上位に置くと Host Intrusion Prevention では ブロックルールを見つける前に からの HTTP 要求が許可ルールに一致してしまいます この場合 このアドレスからの HTTP 要求をブロックしたくても トラフィックは許可されます ファイアウォールプロトコル ファイアウォール保護は ネットワークアーキテクチャの複数の層で動作することによってコンピュータを保護します 各層では 異なる条件を使用してネットワークトラフィックを制限します このネットワークアーキテクチャは TCP/IP 上に構築されています リンク層 リンク層プロトコルは MAC メソッドと最低限のエラー検出機能を定義しています Ethernet LAN (802.3) 無線 Wi-Fi (802.11) 仮想 LAN (VPN) がこの層になります ファイアウォールルールとグループは無線 有線 仮想リンクを識別します 57

58 ファイアウォールポリシーの設定ファイアウォールポリシーの概要 ネットワーク層 ネットワーク層プロトコルは ネットワーク全体のアドレス指定方法 ルーティング ネットワーク制御の方法を定義しています IP 以外の任意のプロトコルもサポートしますが ネットワーク層またはトランスポート層のパラメータは検出できません 管理者は これらのネットワーク層プロトコルをブロックまたは許可できます IP 以外のプロトコルに対応する番号は Internet Assigned Numbers Authority (IANA) が定義している Ethernet 番号に従って設定されます この番号は で公開されています Host IPS ファイアウォールは Windows P Windows Vista Windows Server 2008 および Windows 7 で IPv4 と IPv6 を完全にサポートしています トランスポート層 トランスポートプロトコルでもネットワークプロトコルと同じように IP を使用できます よく使用されているのは TCP UDP ICMPv4 ICMPv6 の 4 つです TCP TCP は コネクション指向の信頼性の高いトランスポートプロトコルです ネットワークパケットに含まれているデータは確実に配信されます また データの転送率も制御します これにより オーバーヘッドが発生し ネットワーク条件が最適でなくなると TCP 操作のタイミングが予測不能になります トランスポート層で最も使用されているアプリケーションプロトコルが TCP です HTTP FTP SMTP RDP SSH POP および IMAP は TCP を使用しています TCP では ポート という概念を使用してアプリケーション層プロトコルを多重化しています TCP パケットには送信元と送信先のポート番号が記述されています ( 番号は 0 から 65535) 通常 TCP 接続のサーバ側が固定ポートで接続を待機します ポート 0 から 1023 までは 既知のポート として予約されています この範囲の番号は 通常 IANA ( の定義に従ってプロトコルに割り当てられています 大半のオペレーティングシステムは これらのポートで待機する特別な権限を持つプロセスを必要とします ファイアウォールルールは ネットワーク上で発生するアクティビティを制限するため 特定のポートをブロックし 他のポートを許可するように構成されています UDP UDP は コネクションレスのトランスポートプロトコルです 信頼性やパケットの順序は保証されません フロー制御機能もありません 特定のクラスのトラフィックには最適なプロトコルです UDP は パフォーマンス重視のアプリケーションやリアルタイムのマルチメディアアプリケーションでよく利用されています 前者のアプリケーションでは 信頼性とパケット順の機能をアプリケーション層の TCP で実装している場合があります 後者のアプリケーションでは パケットがドロップしてもデータストリームで瞬間的に問題が起きるだけで ストリームを停止して再転送を待つほどの問題ではありません UDP は IP 電話やビデオ会議システム マルチプレーヤのビデオゲームなどでよく利用されています UDP は TCP と同じ方法で多重化を行います 各データグラムには送信元と送信先のポート番号が記述されています ( 番号は 0 から まで ) ICMP ICMP は IP ホスト間の帯域外通信チャネルとして使用されています これは トラブルシューティングに有効です エラー報告など IP ネットワークが正常に機能している必要があります 58

59 ファイアウォールポリシーの設定ファイアウォールポリシーの概要 IPv4 と IPv6 用の ICMP プロトコルがありますが 関係はありません ICMPv4 は単に ICMP と言われます ICMPv6 は IPv6 ネットワークでは重要です 近隣探索などの重要なタスクで使用されています (IPv4 ネットワークでは ARP が処理しています ) ネットワークで IPv6 がサポートされている場合 ICMPv6 トラフィックをブロックすると ユーザの操作に大きな支障をきたすことになります ICMP の両方のバージョンでは ポート番号ではなくメッセージタイプを定義しています Echo Request と Echo Reply は ping で使用されています Destination Unreachable メッセージはルーティング障害を表します UDP と TCP も同じ目的で使用できますが ICMP は Traceroute 機能を実装しています 他のトランスポートプロトコル IP は 他の多くのトランスポートプロトコルをサポートしていますが これらのプロトコルの大半はほとんど使用されていません IANA のプロトコルリストでは十分に網羅されていません ルールは どの IP トラフィックプロトコル経由でも送受信されるトラフィックを許可またはブロックできます ファイアウォールでは これらのプロトコルが採用している多重化に対応していません 一部のプロトコルは IP ネットワークの上にネットワークを構築しています ( ネットワークトンネル ) GRE AH ESP などは IP 暗号化と VPN に使用されています IP プロトコルの番号については を参照してください サポートされていない一般的なプロトコル Host IPS ファイアウォールは いくつかのネットワークプロトコルをサポートしていません このようなプロトコルのトラフィック ( 通常は解析不能な EtherType) は ファイアウォールオプションポリシーの [ サポートされていないトラフィックのプロトコルを許可する ] オプションが選択されているかどうかによって 常にブロックまたは許可されます ファイアウォールルールグループの機能 ファイアウォールルールをグループ化すると 管理が容易になります ルールグループは グループ内のルールを Host Intrusion Prevention が処理する方法には影響せず 上位から下位に向けて処理されます グループは ルールに関連する項目の多く ( ネットワークオプション トランスポートオプション アプリケーション スケジュールなど ) に対応しています さらに グループには場所の設定があります これにより 場所別にグループを設定し 接続の隔離を行うことができます グループの設定は グループ内のルールの設定よりも前に処理されます これらの設定に矛盾がある場合 グループの設定が優先します 注意 : [ 場所 ] タブで接続の隔離が有効になっていると グループにトランスポートオプションとアプリケーションを関連付けられません 場所別グループの作成 Host Intrusion Prevention では 場所別のルールを含むグループを作成できます グループの [ 場所 ] タブと [ ネットワークオプション ] タブを使用すると ネットワークアダプタ別のグループを作成し 複数のネットワークインターフェースを搭載したコンピュータでアダプタ固有のルールを適用できます 場所のステータスを有効にし 場所の名前を指定すると 各ネットワークアダプタで以下の許可された接続パラメータを使用できます [ 場所 ] タブ : 接続別の DNS サフィックス 59

60 ファイアウォールポリシーの設定ファイアウォールポリシーの概要 ゲートウェイ IP DHCP IP URL 解決を照会する DNS サーバ 使用する WINS サーバ レジストリキー [ ネットワークオプション ] タブ : ローカル IP アドレス メディアの種類 2 つの場所別グループが 1 つの接続に適用される場合 Host Intrusion Prevention では通常の優先順位を使用し ルールリストで適用可能な最初のグループを処理します 最初のグループに一致するルールがない場合 ルール処理を続行し 次のグループのルールと照合します Host Intrusion Prevention は アクティブな接続に対して場所別グループのパラメータを照合し グループ内のルールを適用します ルールを小さなルールセットのように処理して 通常の優先順位を当てはめます 阻止したトラフィックと一致しないルールがある場合 ファイアウォールは無視します 次の事項に注意します [ 場所のステータス ] を選択した場合には 場所の名前が必要になります [ ローカルネットワーク ] を選択した場合には アダプタの IP アドレスがリスト項目のいずれかと一致している必要があります [DNS サフィックス ] を選択した場合 アダプタの DNS サフィックスがリスト項目のいずれかと一致している必要があります [ デフォルトゲートウェイ ] を選択した場合には デフォルトアダプタのゲートウェイ IP がリスト項目の少なくとも 1 つと一致している必要があります [DHCP サーバ ] を選択した場合 アダプタの DHCP サーバ IP がリスト項目の少なくとも 1 つと一致している必要があります [DNS サーバのリスト ] を選択している場合 アダプタの DNS サーバの IP アドレスがリスト項目のいずれかと一致している必要があります [ プライマリ WINS サーバ ] を選択している場合 アダプタのプライマリ WINS サーバの IP アドレスがリスト項目の少なくとも 1 つと一致している必要があります [ セカンダリ WINS サーバ ] を選択している場合 アダプタのセカンダリ WINS サーバの IP アドレスがリスト項目の少なくとも 1 つと一致している必要があります ファイアウォールルールグループの接続隔離 接続の隔離オプションを使用すると グループが特定のネットワークにアクセスしたときに不要なトラフィックの受信を防ぐことができます これは コンピュータでアクティブなもう一つのネットワークインターフェースを介して実行します たとえば WiFi ホットスポットに接続する無線アダプタや LAN 接続の有線アダプタを使用します グループの場所設定に対して [ この接続を隔離する ] オプションが選択され グループの条件に一致する NIC がアクティブになっている場合 処理される種類またはトラフィックは ファイアウォールルールリストでグループより上のルールに一致するトラフィックとグルー 60

61 ファイアウォールポリシーの設定ファイアウォールポリシーの概要 プの条件に一致するトラフィックのみです それ以外のすべてのトラフィックは ブロックされます 注意 : 接続の隔離が有効になっているグループに トランスポートオプションまたはアプリケーションは関連付けられません 図 2: ネットワーク接続の隔離 接続隔離オプションの例として 企業環境とホテルの 2 つの設定を考えてみましょう アクティブなファイアウォールルールリストには ルールおよびグループが次の順序で含まれています 1 基本接続用ルール 2 VPN 接続ルール 3 企業 LAN 接続ルールが設定されたグループ 4 VPN 接続ルールが設定されたグループ 企業ネットワークでの接続の隔離 接続ルールは 企業 LAN 接続ルールが設定されたグループが検出されるまで処理されます このグループには次の設定が含まれています 61