McAfee Host Intrusion Prevention 製品ガイド

Transcription

1 製品ガイド McAfee バージョン 6.1 Host Intrusion Prevention McAfee System Protection 業界最先端の侵入防止ソリューション

2

3 製品ガイド McAfee バージョン 6.1 Host Intrusion Prevention McAfee System Protection 業界最先端の侵入防止ソリューション

4 著作権 Copyright 2007 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分も McAfee, Inc. または供給業者あるいは関連会社の書面による許可なしには 複製 送信 複写 検索システムへの格納 他言語への翻訳 あるいはどのような形態における使用もできません 商標の帰属 Active Firewall Active Secuity アクティブセキュリティ ActiveShield Clean-Up Design (Stylized E) Design (Stylized N) Entercept epolicy Orchenstrator First Aid Foundstone GroupShield グループシールド IntruShield Intrusion Prevention Through Innovation McAfee マカフィー McAfee and design McAfee.com McAfee VirusScan Net Tools ネットツールズ NetScan NetShield Nuts & Bolts Oil Change PrimeSupport SpamKiller ThreatScan Total Virus Defense Virex Virus Forum ViruScan VirusScan ウィルススキャン WebScan WebShield ウェブシールドは McAfee Inc. または米国および他国の関係会社の登録商標または商標です セキュリティに関連する赤色は McAfee ブランド製品独自のものです 本文書に登場するその他の登録商標および未登録商標は 各所有者の独占所有物です 使用許諾情報使用許諾契約ユーザの皆様へ : お客様がお買い求めになったライセンスに従って該当する法的同意書 ( ライセンス許可されたソフトウェアの使用について一般条項を定めるものです ) をよくお読みください お手持ちのライセンスの種類が不明な場合は ソフトウェアパッケージに付属の あるいは購入時に個別に受け取ったセールスおよび他の関連するライセンス許可または注文書の書類 ( パンフレット 製品 CD のファイル またはソフトウェアパッケージをダウンロードした Web サイト上で利用可能なファイル ) を調べてください 同意書に規定されている条項に合意しない場合は ソフトウェアをインストールしないでください そのような場合には McAfee または購入場所に製品を返品していただければ 全額を返金いたします 帰属この製品には 以下のプログラムの一部またはすべてが含まれます OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア ( Eric A. Young 氏によって作成された暗号化ソフトウェアおよび Tim J. Hudson 氏によって作成されたソフトウェア GNU General Public License (GPL) またはフリーソフトウェアライセンスの下でユーザにライセンス ( またはサブライセンス ) された一部のソフトウェアプログラム これらのライセンスでは 特定のプログラムまたはその一部に対してコピー 改変 再配布が許可され ソースコードにもアクセスすることができます GPL は 実行可能なバイナリ形式で配布された GPL 適用対象ソフトウェアについて そのソースコードもユーザに公開することを義務付けています GPL の適用対象であるそのようなソフトウェアのソースコードは この CD に収録されています フリーソフトウェアのライセンスのために McAfee が本契約で許諾している権利より広い範囲でソフトウェアアプリケーションを使用 コピー または変更する権利を付与する必要がある場合 そのような権利は 本契約における権利および制約より優先されます Henry Spencer 氏によって作成されたソフトウェア (Copyright 1992, 1993, 1994, 1997 Henry Spencer) Robert Nordier 氏によって作成されたソフトウェア (Copyright Robert Nordier) Douglas W. Sauder 氏によって作成されたソフトウェア Apache Software Foundation によって開発されたソフトウェア ( このソフトウェアの使用許諾契約については を参照してください International Components for Unicode( ICU )(Copyright International Business Machines Corporation and others) CrystalClear Software, Inc. によって開発されたソフトウェア (Copyright 2000 CrystalClear Software, Inc.) FEAD Optimizer テクノロジ (Copyright Netopsystems AG, Berlin, Germany) Outside In Viewer Technology ( Stellent Chicago, Inc.) または Outside In HTML Export ( 2001 Stellent Chicago, Inc.) あるいはその両方 Thai Open Source Software Center Ltd. と Clark Cooper 氏 ( 1998, 1999, 2000) の著作権で保護されているソフトウェア Expat 管理者の著作権で保護されているソフトウェア The Regents of the University of California の著作権で保護されているソフトウェア ( 1996, 1989, ) Gunnar Ritter 氏の著作権で保護されているソフトウェア Sun Microsystems, Inc. (4150 Network Circle, Santa Clara, California 95054, U.S.A.) の著作権で保護されているソフトウェア ( 2003) Gisle Aas 氏の著作権で保護されているソフトウェア ( ) Michael A. Chase 氏の著作権で保護されているソフトウェア ( ) Neil Winton 氏の著作権で保護されているソフトウェア ( ) RSA Data Security, Inc. の著作権で保護されているソフトウェア ( ) Sean M. Burke 氏の著作権で保護されているソフトウェア ( 1999, 2000) Martijn Koster 氏の著作権で保護されているソフトウェア ( 1995) Brad Appleton 氏の著作権で保護されているソフトウェア ( ) Michael G. Schwern 氏の著作権で保護されているソフトウェア ( 2001) Graham Barr 氏の著作権で保護されているソフトウェア ( 1998) Larry Wall 氏および Clark Cooper 氏の著作権で保護されているソフトウェア ( ) Frodo Looijaard 氏の著作権で保護されているソフトウェア ( 1997) Python Software Foundation の著作権で保護されているソフトウェア (Copyright 2001, 2002, 2003) このソフトウェアの使用許諾契約については を参照してください Beman Dawes 氏の著作権で保護されているソフトウェア ( , 2002) Andrew Lumsdaine 氏 Lie-Quan Lee 氏 Jeremy G. Siek 氏によって作成されたソフトウェア ( University of Notre Dame) Simone Bordet 氏と Marco Cravero 氏の著作権で保護されているソフトウェア ( 2002) Stephen Purcell 氏の著作権で保護されているソフトウェア ( 2001) Indiana University Extreme! Lab 開発のソフトウェア ( International Business Machines Corporation ほかの著作権で保護されているソフトウェア ( ) University of California, Berkeley およびその貢献者によって開発されたソフトウェア mod_ssl project ( での使用のために Ralf S. Engelschall 氏 <rse@engelschall.com> によって開発されたソフトウェア Kevlin Henney 氏の著作権で保護されているソフトウェア ( ) Peter Dimov 氏および Multi Media Ltd. の著作権で保護されているソフトウェア ( 2001, 2002) David Abrahams 氏の著作権で保護されているソフトウェア ( 2001, 2002) 資料については をご覧ください Steve Cleary 氏 Beman Dawes 氏 Howard Hinnant 氏 および John Maddock 氏の著作権で保護されているソフトウェア ( 2000) Boost.org の著作権で保護されているソフトウェア ( ) Nicolai M. Josuttis 氏の著作権で保護されているソフトウェア ( 1999) Jeremy Siek 氏の著作権で保護されているソフトウェア ( ) Daryle Walker 氏の著作権で保護されているソフトウェア ( 2001) Chuck Allison 氏および Jeremy Siek 氏の著作権で保護されているソフトウェア ( 2001, 2002) Samuel Krempp 氏の著作権で保護されているソフトウェア ( 2001) アップデート ドキュメントおよび改訂履歴については を参照してください Doug Gregor 氏 (gregod@cs.rpi.edu) の著作権で保護されているソフトウェア ( 2001, 2002) Cadenza New Zealand Ltd. の著作権で保護されているソフトウェア ( 2000) Jens Maurer 氏の著作権で保護されているソフトウェア ( 2000, 2001) Jaakko Järvi 氏 (jaakko.jarvi@cs.utu.fi) の著作権で保護されているソフトウェア ( 1999, 2000) Ronald Garcia 氏の著作権で保護されているソフトウェア ( 2002) David Abrahams 氏 Jeremy Siek 氏 および Daryle Walker 氏の著作権で保護されているソフトウェア ( ) Stephen Cleary 氏 (shammah@voyager.net) の著作権で保護されているソフトウェア ( 2000) Housemarque Oy 氏 < の著作権で保護されているソフトウェア ( 2001) Paul Moore 氏の著作権で保護されているソフトウェア ( 1999) John Maddock 博士の著作権で保護されているソフトウェア ( ) Greg Colvin 氏および Beman Dawes 氏の著作権で保護されているソフトウェア ( 1998, 1999) Peter Dimov 氏の著作権で保護されているソフトウェア ( 2001, 2002) Jeremy Siek 氏および John R. Bandela 氏の著作権で保護されているソフトウェア ( 2001) Joerg Walter 氏および Mathias Koch 氏の著作権で保護されているソフトウェア ( ) Carnegie Mellon University の著作権で保護されているソフトウェア ( 1989, 1991, 1992) Cambridge Broadband Ltd. の著作権で保護されているソフトウェア ( ) Sparta, Inc. の著作権で保護されているソフトウェア ( ) Cisco, Inc. および Information Network Center of Beijing University of Posts and Telecommunications の著作権で保護されているソフトウェア ( 2004) Simon Josefsson 氏の著作権で保護されているソフトウェア ( 2003) Thomas Jacob 氏の著作権で保護されているソフトウェア ( ) Advanced Software Engineering Limited の著作権で保護されているソフトウェア ( 2004) Todd C. Miller 氏の著作権で保護されているソフトウェア ( 1998) Regents of the University of California の著作権で保護されているソフトウェア ( 1990, 1993) Berkeley に Chris Torek 氏より寄贈されたソフトウェアから生成したコードを含む 特許情報 Protected by US Patents 6,301,699; 6,412,071; 6,496,875; 6,668,289; 6,823, 年 2 月発行 / Host Intrusion Prevention ソフトウェアバージョン 6.1 DBN-100-JA

5 目次 1 Host Intrusion Prevention の概要 9 このリリースの新機能 旧バージョンからの変更点 新機能 本書の使用方法 対象読者 表記規則 関連資料 標準マニュアル お問い合わせ情報 基本概念 15 IPS 機能 シグニチャ規則 動作規則 イベント 処理 例外規則 ファイアウォール機能 ファイアウォール規則 ファイアウォールのクライアント規則 アプリケーションブロック機能 クライアントのアプリケーションブロックの規則 全般機能 ポリシー管理 ポリシーの実施 ポリシーおよびポリシーカテゴリ ポリシーの継承と割り当て ポリシーの所有 ポリシー割り当てのロック 配備と管理 事前設定保護 適応モードと学習モード 調整 レポート epolicy Orchestrator の使用方法 24 Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 25 epolicy Orchestrator コンソール ポリシーの管理 ポリシーへの所有者の割り当て 通知の生成 レポートの生成 Host Intrusion Prevention の操作 Host Intrusion Prevention サーバのインストール Host Intrusion Prevention クライアントの配布 クライアントデータの表示および作業 適応モードまたは学習モードへのクライアントの配置 ポリシーの設定 微調整 ヘルプの使用

6 目次 4 IPS ポリシー 35 概要 ホスト IPS (HIPS) とネットワーク IPS (NIPS) のシグニチャ規則 事前設定 IPS ポリシー クイックアクセス IPS オプションのポリシーの設定 IPS による保護のポリシーの設定 IPS 規則のポリシーの設定 IPS 規則のポリシーの詳細 例外規則 シグニチャ アプリケーション保護規則 IPS イベント イベントの表示 イベントビューの設定 イベントのフィルタ イベントの状態の設定 類似イベントのマーク イベントの詳細の表示 イベントベースの例外と信頼できるアプリケーションの作成 IPS クライアントの規則 通常ビュー 集約ビュー IPS 例外規則の検索 ファイアウォールポリシー 70 概要 HIP 6.0 規則 HIP 6.1 規則 ファイアウォール規則のしくみ ステートフルフィルタ機能のしくみ ステートフルパケット検査機能のしくみ ファイアウォール規則グループおよび接続別グループ ファイアウォールの [ 学習モード ] および [ 適応モード ] 検疫ポリシーと規則 カスタム 6.0 ファイアウォール規則から 6.1 規則への移行 事前設定ファイアウォールポリシー クイックアクセス ファイアウォールオプションのポリシーの設定 ファイアウォール規則ポリシーの設定 新しいファイアウォール規則のポリシーの作成 ファイアウォール規則の表示および編集 新しいファイアウォール規則またはファイアウォールグループの作成 ファイアウォール規則またはグループの削除 ファイアウォールクライアントの規則の表示 検疫オプションポリシーの設定 検疫規則のポリシーの設定 新しい検疫規則のポリシーの作成 検疫規則の表示および編集 新しい検疫規則またはグループの作成 検疫規則またはグループの削除 アプリケーションブロックポリシー 97 概要 アプリケーション作成 アプリケーションフック アプリケーションブロックポリシーの事前設定 クイックアクセス アプリケーションブロックのオプションポリシーの設定

7 目次 アプリケーションブロックの規則ポリシーの設定 新しいアプリケーションブロックの規則ポリシーの作成 アプリケーションブロックの規則の表示と編集 新しいアプリケーションブロックの規則の作成 アプリケーションブロックの規則の削除 アプリケーションのクライアント規則の表示 全般ポリシー 107 概要 事前設定全般ポリシー ポリシー実施の設定 クライアント UI ポリシーの設定 クライアント UI ポリシーの作成と適用 信頼できるネットワークポリシーの設定 信頼できるアプリケーションポリシーの設定 信頼できるアプリケーションポリシーの作成と適用 信頼できるアプリケーションの作成 信頼できるアプリケーションの編集 信頼できるアプリケーションの有効化と無効化 信頼できるアプリケーションの削除 メンテナンス 120 配布の微調整 IPS イベントの分析 例外規則と信頼できるアプリケーション規則の作成 クライアント例外規則の作成 新しいポリシーの作成と適用 ポリシーのメンテナンスとタスク [ ポリシー ] タブ ポリシーカタログ サーバタスクの実行 ディレクトリゲートウェイ Event Archiver Property Translator イベントの通知機能の設定 通知のしくみ Host Intrusion Prevention の通知 レポートの実行 定型レポート Host Intrusion Prevention レポート アップデート アップデートパッケージのチェックイン クライアントのアップデート Host Intrusion Prevention クライアント 137 Windows クライアント システムトレイのアイコン クライアントコンソール アラート [IPS ポリシー ] タブ [ ファイアウォールポリシー ] タブ [ アプリケーションポリシー ] タブ [ ブロックされたホスト ] タブ [ アプリケーション保護 ] タブ [ 動作ログ ] タブ Solaris クライアント Solaris クライアントでのポリシーの実施 トラブルシューティング Linux クライアント Linux クライアントでのポリシーの実施 Linux クライアントについての注意事項

8 目次 トラブルシューティング よく寄せられる質問 (FAQ) 167 A カスタムシグニチャの記述 172 規則の構造 必須の共通セクション オプションの共通セクション セクションでの値の変数 Windows のカスタムシグニチャ Files クラス Isapi クラス Registry クラス Services クラス Solaris のカスタムシグニチャ UNIX_file クラス 詳細 UNIX_apache クラス Linux のカスタムシグニチャ UNIX_file クラス パラメータおよびディレクティブのサマリ 種類別パラメータリスト 種類別ディレクティブリスト 用語集 196 索引 205 8

9 1 Host Intrusion Prevention の概要 McAfee Host Intrusion Prevention は 侵入の検出と防止を行うホストベースのシステムで システムリソースおよびアプリケーションを外部および内部の両方の攻撃から保護します Host Intrusion Prevention は 許可されていない表示 コピー 変更および削除から情報を保護し 情報の格納と配信を行うシステムとネットワークのリソースやアプリケーションが侵害されないようにします これは ホスト侵入防止システム (Host Intrusion Prevention System : HIPS) のシグニチャ ネットワーク侵入防止システム (Network Intrusion Prevention System : NIPS) のシグニチャ 動作規則 およびファイアウォール規則の革新的な組み合わせによって実現されています Host Intrusion Prevention は epolicy Orchestrator と完全に統合されており epolicy Orchestrator のフレームワークを利用して ポリシーを配信し実施します Host Intrusion Prevention の機能は IPS ファイアウォール アプリケーションブロック および全般機能に分けられているため ポリシー保護と保護レベルをユーザに提供する機能をさらにコントロールできます Host Intrusion Prevention がインストールされると即座に システムは保護されます 既定の保護設定には調整はほとんど必要ないため 迅速で大規模な配布が可能です 保護をより強化するためには ポリシーを編集および追加して 配布を調整します 本製品および本書の使い方についての基本的情報は 次を参照してください このリリースの新機能 本書の使用方法 関連資料 お問い合わせ情報 9

10 Host Intrusion Prevention の概要このリリースの新機能 1 このリリースの新機能 Host Intrusion Prevention 6.1 は Windows Solaris および Linux の各プラットフォームでクライアントアプリケーションを管理するために epolicy Orchestrator と完全に統合されています epolicy Orchestrator エージェントが必要になりますが 必要なバージョンはクライアントがインストールされたプラットフォームによって異なります Windows の場合は epo エージェント 以上 Solaris および Linux の場合は epo エージェント 3.7 が必要です 旧バージョンからの変更点 2 つのカテゴリのファイアウォールポリシーで 6.0.X Windows クライアント用の静的なファイアウォール機能に加え 6.1 クライアント用のステートフルなファイアウォール機能も提供します [ ファイアウォール規則 ] および [ 検疫規則 ] のポリシーは Host Intrusion Prevention 6.1 クライアントのみの管理に使用される ステートフルなファイアウォール規則のポリシーです [6.0 ファイアウォール規則 ] および [6.0 検疫規則 ] のポリシーは Host Intrusion Prevention 6.0.X クライアントの管理に使用される 従来の 静的なファイアウォール規則のポリシーです [ ファイアウォールオプション ] ポリシーのステートフルなファイアウォールオプションを使用すると [FTP プロトコル検査 ] を有効にしたり [TCP 接続タイムアウト ] や [ 仮想 UDP 接続タイムアウト ] を設定したりできます [ ファイアウォール規則 ] ポリシーの接続別グループが強化されました ネットワークアクセスの条件として DNS サフィックスが追加されました 有線と無線のネットワーク接続が区別されるようになりました 新機能 SE Linux が統合された Red Hat Enterprise 4 上の Linux クライアントで 次の項目がサポートされます epo コンソールを使用した IPS ポリシーの管理 適応モードの適用 32 ビットカーネルおよび 64 ビットカーネルの Solaris 8 9 および 10 上の Solaris クライアントで 次の項目がサポートされます epo コンソールを使用した IPS ポリシーの管理 適応モードの適用 Sun One や Apache などの Web サーバの保護 Entercept 5.1 Solaris 版からのアップグレード機能 10

11 Host Intrusion Prevention の概要本書の使用方法 1 本書の使用方法 このガイドでは 購入いただいた製品の設定および使用方法について次の情報を提供します システム要件およびインストール方法については 設定ガイド を参照してください Host Intrusion Prevention の概要この製品の概要で 新規または変更のあった機能の説明や本書の概要 McAfee 連絡先情報などを含みます 基本概念 Host Intrusion Prevention の基本要素とその動作の説明です epolicy Orchestrator の使用方法 Host Intrusion Prevention および epolicy Orchestrator の使い方についての説明です IPS ポリシー IPS ポリシーを使用した作業の説明です ファイアウォールポリシーファイアウォールポリシーを使用した作業の説明です アプリケーションブロックポリシーアプリケーションブロックポリシーを使用した作業の説明です 全般ポリシー全般ポリシーを使用した作業の説明です メンテナンス Host Intrusion Prevention の保守管理とアップデートの方法を説明します Host Intrusion Prevention クライアントクライアントを使用した作業の説明です よく寄せられる質問 (FAQ) Host Intrusion Prevention に関する よくある質問への答えです カスタムシグニチャの記述カスタムシグニチャの書き方についての付録です 用語集 索引 対象読者 この情報は 社内のホスト侵入検知および防御システムを担当する ネットワーク管理者または IT 管理者を対象としています 11

12 Host Intrusion Prevention の概要本書の使用方法 1 表記規則 本書では次の表記規則を使用しています 太字 オプション メニュー ボタン ダイアログボックスの名前など ユーザインターフェイスのすべての用語に使用します 例 : 対象のアカウント情報を [ ユーザ ] 名と [ パスワード ] に入力します Courier フォルダやプログラムのパス ユーザがそのまま入力するテキスト ( システムプロンプトでのコマンドなど ) に使用します 例 : アプリケーションの既定のディレクトリは次のとおりです C:\Program Files\McAfee\EPO\3.5.0 このコマンドをクライアントコンピュータで実行します C:\SETUP.EXE 青字 Web アドレス (URL) やリンク先に使用します 次の McAfee Web サイトを参照してください < 用語 > 総称的な用語を表すために不等号かっこを使用します 例 : コンソールツリーで < サーバ > を右クリックします 注意 : 同一のコマンドを実行する別の方法の説明など 補足情報です íç ÉqÉìÉg ヒント : ベストプラクティスを得るための提案や 脅威を防御しパフォーマンスや効率を高めるために McAfee が推奨する内容です íçà 警告 : コンピュータシステム 企業 ソフトウェアのインストール またはデータを保護するための重要な警告です åxçê 危険 : ハードウェアを取り扱う場合にけがや事故を防ぐための重要な警告です 12

13 Host Intrusion Prevention の概要関連資料 1 関連資料 特に注記がない限り 製品マニュアルは製品 CD または McAfee ダウンロードサイトから Adobe Acrobat の.PDF ファイル形式 ( バージョン 6.0) で入手できます 標準マニュアル インストールガイド - サポート製品を epolicy Orchestrator 管理ソフトウェアにより配布し 管理する手順について記載されています 製品ガイド - 製品の紹介と機能の説明 ソフトウェアの詳細な設定手順 配布方法 繰り返し実行するタスク および操作手順について記載されています ヘルプ - ソフトウェアアプリケーションの [ ヘルプ ] ボタンからアクセスできる ハイレベルで詳細な情報です クイックリファレンスカード - 基本的な製品機能 頻繁に行う定型タスク およびときどき行う重要なタスクについての情報を記載した便利なカードです 印刷したカードが製品 CD のパッケージに入っています リリースノート - ReadMe 製品情報 解決された問題 既知の問題 製品または製品のマニュアルに対する最新の変更点が記載されています ( ソフトウェアアプリケーションおよび製品 CD にテキストファイルで同梱されています ) 13

14 Host Intrusion Prevention の概要お問い合わせ情報 1 お問い合わせ情報 脅威センター :McAfee Avert Labs Avert Labs 脅威ライブラリ Avert Labs WebImmune およびサンプルの送信 ( ログオン資格情報が必要です ) Avert Labs DAT 通知サービス ダウンロードサイト 製品のアップグレード ( 有効なライセンス番号が必要です ) セキュリティアップデート (DAT エンジン) HotFix およびパッチのリリース セキュリティの脆弱性向け ( 一般に公開 ) 製品向け (ServicePortal アカウントおよび有効なライセンス番号が必要です ) 製品の評価 McAfee ベータ版 テクニカルサポート 知識ベース検索 McAfee 技術サポート ServicePortal( ログイン資格情報が必要です ) カスタマサービス Web 米国 カナダ および中南米のフリーダイヤル : VIRUS NO または 月曜日から金曜日 中央標準時の午前 8 時から午後 8 時 プロフェッショナルサービス 大企業のお客様 : 中小企業のお客様 : 14

15 2 基本概念 McAfee Host Intrusion Prevention は 侵入を防御するホストベースのシステムです ワーム トロイの木馬 バッファオーバフロー 重要なシステムファイルの変更 および権限の拡大などの攻撃を 既知および未知を問わず防御します Host Intrusion Prevention の管理は epolicy Orchestrator コンソールから利用でき ホスト侵入防止 ファイアウォール アプリケーションブロックおよび全般ポリシーを設定 適用できます サーバやデスクトップに Host Intrusion Prevention クライアントを配備すると 独立した保護ユニットとして機能します クライアントは その動作を epolicy Orchestrator にレポートして 新たな攻撃を定義するためのアップデートを取得します この章では 次のトピックにより Host Intrusion Prevention の 4 つの機能および epolicy Orchestrator と連携する方法について説明します IPS 機能 ファイアウォール機能 アプリケーションブロック機能 全般機能 ポリシー管理 配備と管理 IPS 機能 侵入防止システム (Intrusion Prevention System : IPS) 機能により システムコールおよび API コールをすべて監視し 不正な動作を行う可能性のあるコールをブロックします Host Intrusion Prevention では コールを行っているプロセス そのプロセスが実行されているセキュリティコンテキスト アクセス先のリソースを判別します ユーザモードのシステムコールテーブルにあるエントリをリダイレクトして受信するカーネルレベルドライバは 一連のシステムコールを監視します コールが行われると コール要求に対してシグニチャの組み合わせおよび動作規則のデータベースとの比較がドライバにより行われ これによりアクションを許可するか ブロックするか ログへ記録するかが判断されます 15

16 基本概念 IPS 機能 2 シグニチャ規則 シグニチャ規則は トラフィックストリームと照合されるものではなく 文字パターンです たとえば HTTP 要求ではシグニチャ規則により特定の文字列が検索されます 既知の攻撃にある文字列と一致した場合には アクションが発生します シグニチャ規則では既知の攻撃に対する保護を行います シグニチャは たとえば Apache や IIS NES/iPlanet などの Web サーバといった 特定のアプリケーションまたは特定のオペレーティングシステム用に設計されています 大部分のシグニチャはオペレーティングシステム全体を保護しますが 特定のアプリケーションのみを保護するシグニチャもあります 動作規則 イベント 処理 ハードコードされた動作規則では 正当な動作のプロファイルを定義します プロファイルと一致しないものは怪しい動作とみなされて応答が発生します たとえば HTML ファイルにアクセスできるのは Web サーバのみであると動作規則で規定しているとします 他のプロセスから HTML ファイルにアクセスしようとすると アクションが発生します これらの規則により ゼロデイ攻撃とバッファオーバフロー攻撃から保護されます シグニチャあるいは動作規則に対する違反がクライアントにより検知されると IPS イベントが生成されます イベントは [IPS 規則 ] ポリシーの [IPS イベント ] タブに記録されます 管理者は これらのイベントを監視して システム規則違反を表示および解析し イベントの処理を調整するか あるいは例外または信頼できるアプリケーション規則を作成して イベント数を減らし 保護設定を微調整できます 処理とは 特定の重大度にあるシグニチャを認識したときにクライアントが行う動作です クライアントが行う処理には 次の 3 種類があります [ 無視 ] - 処理を行いません イベントはログに記録されず プロセスは防止されません [ ログに記録 ] - イベントはログに記録されますが プロセスは防止されません [ 阻止 ] - イベントはログに記録され プロセスは防止されます たとえば あるクライアントにより [ 情報 ] レベルのシグニチャが認識されると そのシグニチャの発生がログに記録され プロセスはオペレーティングシステムが処理するようにセキュリティポリシーに指定できます また [ 高 ] レベルのシグニチャを認識するとそれを防止するようにも指定できます íç ログ記録は 各シグニチャで直接有効にできます 16

17 基本概念ファイアウォール機能 2 例外規則 例外とは ブロックされた動作に優先する規則です シグニチャが攻撃と定義する動作が ユーザの通常業務の一部の場合や 保護されたアプリケーションでは正当な動作である場合があります シグニチャを無効にするには 正当な動作を許可する例外を作成することができます たとえば 特定のクライアントについてはプロセスを無視するように例外で指定できます これらの例外は 手動で作成することも [ 適応モード ] にクライアントを配置して クライアント例外規則を作成するようにすることもできます 特定のシグニチャを無効にできないようにするには シグニチャを編集して [ クライアント規則の許可 ] オプションを無効にします epolicy Orchestrator コンソールで クライアント例外を追跡して 通常ビューおよび集約ビューに表示できます これらのクライアント規則を使用して新しいポリシーを作成するか または他のクライアントに適用できる既存ポリシーに追加します ファイアウォール機能 Host Intrusion Prevention ファイアウォール機能は コンピュータと 接続しているネットワークまたはインターネットの間でフィルタとして機能します [6.0 ファイアウォール規則 ] ポリシーでは 静的なパケットフィルタ機能を使用してトップダウン方式で規則が照合されます パケットが解析され IP アドレス ポート番号 パケットの種類などの条件でファイアウォール規則に一致すると パケットが許可またはブロックされます 一致する規則が見つからない場合は そのパケットは破棄されます 現在のバージョンの [ ファイアウォール規則 ] ポリシーでは ステートフルパケットフィルタ機能とステートフルパケット検査機能の両方が使用されます その他の機能には次のようなものがあります 検疫モードには クライアントコンピュータを配置して 厳密なファイアウォール規則を適用し 隔離されたクライアントが通信可能な相手および通信できない相手を定義できます 接続別グループを使用すると ネットワークアダプタごとに特定の種類の接続に特別な規則グループを作成できます ファイアウォール規則 ファイアウォール規則は 必要に応じて単純なものから複雑なものまで作成できます Host Intrusion Prevention では 次に基づいた規則作成が可能です 接続の種類 ( ネットワークまたはワイヤレス ) IP プロトコルおよび非 IP プロトコル ネットワークトラフィックの方向 ( 受信 送信 あるいは両方 ) トラフィックの生成元であるアプリケーション 受信者または送信者であるコンピュータで使用しているサービスまたはポート 送信者または受信者であるリモートコンピュータで使用しているサービスまたはポート 発信元および送信先 IP アドレス パケットが送受信された時間または曜日 17

18 基本概念アプリケーションブロック機能 2 ファイアウォールのクライアント規則 IPS 規則同様 [ 適応モード ] あるいは [ 学習モード ] にあるクライアントにより クライアント規則を作成してブロックされた動作を許可できます クライアント規則を追跡して 通常ビューおよび集約ビューに表示できます これらのクライアント規則を使用して新しいポリシーを作成するか または他のクライアントに適用できる既存ポリシーに追加します アプリケーションブロック機能 アプリケーションブロック機能では 使用されているアプリケーションを監視して それらを許可またはブロックできます Host Intrusion Prevention では 2 種類のアプリケーションブロック方法があります アプリケーションの作成 アプリケーションのフック Host Intrusion Prevention によるアプリケーション作成の監視時には 実行しようとしているプログラムが検索されます 何も問題のない場合がほとんどですが たとえばシステムに悪影響を及ぼすプログラムを実行しようとするウィルスもあります ファイアウォール規則同様 ユーザに許可されたプログラムのみ実行できるようにアプリケーション規則を作成して この問題を防止できます Host Intrusion Prevention によりアプリケーションのフックが監視されているときには 他のアプリケーションとバインドまたは フック しようとしているプログラムが検索されます この動作には問題がない場合もありますが システムにウィルスその他の攻撃があることを示す怪しい動作である場合もあります Host Intrusion Prevention は アプリケーションの作成のみ アプリケーションのフックのみ またはその両方を監視するように設定できます アプリケーションブロック機能は ファイアウォール機能と同じような働きをします アプリケーション規則のリストでは 許可またはブロックしたいアプリケーションごとに 1 つの規則を作成します 実行されようとしているアプリケーション または他のアプリケーションにフックしようとしているアプリケーションを検知するたびに Host Intrusion Prevention はそのアプリケーション規則リストを確認して アプリケーションを許可するかブロックするか判断します クライアントのアプリケーションブロックの規則 [ 適応モード ] あるいは [ 学習モード ] にあるクライアントによってクライアント規則を作成し ブロックされたアプリケーションの作成またはアプリケーションのフックを許可することができます これは通常ビューおよび集約ビューの両方に表示されます IPS およびファイアウォールのクライアント規則同様 これらのクライアント規則を使用して新しいポリシーを作成するか または他のクライアントに適用できる既存ポリシーに追加します 18

19 基本概念全般機能 2 全般機能 Host Intrusion Prevention の全般機能により IPS ファイアウォール またはアプリケーションブロック機能に特定しない 共通なポリシーにアクセスできます これには次のようなポリシーが含まれます すべてのポリシー実施の有効化 または無効化 クライアントインターフェイスの表示方法およびクライアントインターフェイスへのアクセス方法の判断 信頼できるネットワークアドレスおよびサブネットの作成と編集 信頼できるアプリケーションの作成と編集により 誤検知イベントの発生を防止 ポリシー管理 ポリシーは Host Intrusion Prevention の設定の集まりで epolicy Orchestrator コンソールから設定し Host Intrusion Prevention クライアントに実施します ポリシーによって 管理対象のシステム上にあるセキュリティソフトウェアを ユーザ環境の必要性にあわせて 確実に設定できます epolicy Orchestrator コンソールにより Host Intrusion Prevention ポリシーを集中的に設定できます ポリシーは Host Intrusion Prevention インストール時にマスターリポジトリに追加された Host Intrusion Prevention NAP ファイルの一部です ポリシーの実施 epolicy Orchestrator コンソールで Host Intrusion Prevention ポリシーを変更すると 管理対象のシステムには 次回のエージェント / サーバ間通信間隔 (ASCI) に変更が反映されます この間隔は 既定では 60 分ごとに発生するように設定されています Host Intrusion Prevention ポリシーは epolicy Orchestrator コンソールから起動コールを実行することにより 直ちに実施できます 19

20 基本概念ポリシー管理 2 ポリシーおよびポリシーカテゴリ 各製品のポリシー情報は カテゴリによってグループ化されています ポリシーカテゴリは ポリシーの特定のサブセットです [ ポリシーカタログ ] で製品名を展開すると 各製品のポリシーカテゴリが表示されます 図 2-1 ポリシーカタログ 名前付きポリシーは 特定のポリシーカテゴリに対して設定した一連のポリシー定義です ポリシーカテゴリごとに 名前が付けられたポリシーを必要な数だけ作成 変更 または削除できます [ ポリシーカタログ ] では 特定のカテゴリ名を展開すると そのカテゴリの名前付きポリシーが表示されます 各ポリシーカテゴリには [ グローバル既定 ] と名前の付いたポリシーがあります このポリシーは 編集することも削除することもできません Host Intrusion Prevention には [IPS 規則 ] と [ 信頼できるアプリケーション ] の 2 つのカテゴリがあり 名前付きポリシーインスタンスを複数割り当てて 適用可能な IPS ポリシーとアプリケーションポリシーのプロファイルを提供できます 図 つの信頼できるアプリケーションポリシーインスタンスのプロファイル ポリシーの継承と割り当て ポリシーは 継承または割り当てによってあらゆる [ ディレクトリ ] コンソールツリーノードに適用されます 継承では ノードのポリシー設定がその親ディレクトリからのものであるかどうかを判断します 既定では 継承はディレクトリ全体を通じて有効です 直接ポリシーを割り当てることで 継承を無効にできます epolicy Orchestrator で Host Intrusion Prevention を管理する場合 継承を考慮せずに ポリシーを作成して適用できます ディレクトリのどこかに新しいポリシーを割り当ててこの継承を無効にすると 子ノードはすべて新しいポリシーを継承します 20

21 基本概念配備と管理 2 ポリシーの所有 利用できるすべてのポリシーには それぞれ割り当てられた所有者が必要です 既定では ポリシーの所有者は そのポリシーを作成したグローバル管理者またはサイト管理者です 所有者を認めることにより グローバル管理者または名前付きポリシーの所有者以外は ポリシーを変更できなくなります あらゆる管理者はカタログ内のあらゆるポリシーを利用できますが 所有者またはグローバル管理者以外はポリシーを変更できません 所有していないポリシーを自分が管理しているディレクトリのノードに割り当て そのポリシーの所有者がポリシーを変更すると このポリシーが割り当てられたすべてのシステムでその変更が受け入れられます ÉqÉìÉg 他の管理者が所有するポリシーを使用してコントロールするには ポリシーを複製し その複製したポリシーを割り当てます ポリシー割り当てのロック グローバル管理者は ディレクトリ内の任意の場所へのポリシー割り当てをロックできます ポリシー割り当てのロックにより 他のユーザは あるポリシーの割り当てを他のポリシーと切り替えられなくなります ポリシー割り当てのロックは ポリシーとともに継承されます グローバル管理者が あるポリシーを設定してディレクトリのトップに割り当てた場合 他のユーザがディレクトリのどこかにある別の名前付きポリシーで置き換えないようにするため ポリシー割り当てのロックは便利です íç ポリシーをロックしても ポリシーの所有者は その名前付きポリシーの設定を変更できます したがって ポリシーの割り当てをロックしようとする場合は 自分が所有するポリシーであることを確認します 配備と管理 Host Intrusion Prevention の配備と管理は epolicy Orchestrator を利用して行います epo コンソールツリーで 属性に基づいてクライアントを階層にグループ化できます たとえば 第 1 レベルを地理的な場所 第 2 レベルを OS プラットフォームや IP アドレスによりグループ化します クライアントは システムの種類 ( サーバかデスクトップか ) 主要なアプリケーションの用途 (Web データベース またはメールサーバ ) 役割の点から見た場所 (DMZ またはイントラネット ) などの Host Intrusion Prevention の設定条件に基づいてグループ化することをお勧めします 共通の使用方法プロファイルに適合するクライアントは コンソールツリーの共通グループに配置できます 使用方法プロファイルにあわせて グループは たとえば Web サーバと名前を付けます 種類 機能 または地理的場所に従ってコンソールツリーでグループ化されたコンピュータでは 管理機能を同じ方針で容易に分割できます Host Intrusion Prevention でも IPS やファイアウォールなどの製品機能に基づいて管理作業を分割できます 21

22 基本概念配備と管理 2 このリリースの Host Intrusion Prevention と epolicy Orchestrator では ポリシーは 複数のノード間で共有可能な独立した存在です 各カテゴリには Host Intrusion Prevention の機能の中で 1 つのポリシーが割り当てられます IPS 規則などのいくつかのカテゴリには複数のポリシーを割り当てることができ これは親ノードから継承する場合も ノードに直接適用する場合もあります この場合 衝突が発生すると Host Intrusion Prevention によってより厳密な規則から先に適用されます グループノードに適切なポリシーを割り当てると epolicy Orchestrator の継承機能により そのノードの下にある各システムは自動的にその親ノードの設定を継承します クライアントのほとんどは少数の使用方法プロファイルに合致するため 何千というコンピュータへの Host Intrusion Prevention クライアントの配備が容易に管理できます 大規模な配備の管理が 少数のポリシー規則のメンテナンスに省力化されます 配備の規模が拡大するにつれ 新たに追加されるシステムは既存のプロファイルに合致するようになるため コンソールツリーの正しいグループのもとに配置できます 事前設定保護 Host Intrusion Prevention では McAfee の既定のポリシー設定による基本的保護が可能です この保護はすぐに利用できるもので 調整は必要なく セキュリティイベントもほとんど生成しません 配備の調整を行う前でも クライアントを最初から大規模に配備できます ワークステーションやラップトップにクライアントがインストールされている多くの環境では この基本的保護で十分です 事前設定 IPS ポリシーやファイアウォールポリシーの中にも より高度な保護を提供するものがあります たとえば サーバのプロファイルは 基本的なワークステーション保護が提供するものより強力な保護を必要とします 事前設定の強力な保護ポリシーを土台として利用し カスタムポリシーを作成することもできます 適応モードと学習モード 保護設定をさらに調整する手段として Host Intrusion Prevention クライアントでは 正当な動作をブロックしてしまうサーバで指示したポリシーに対して クライアント側で例外規則を作成できます クライアント規則は クライアントが [ 適応モード ] または [ 学習モード ] に配置されている場合に作成できます [ 適応モード ] は IPS ファイアウォール およびアプリケーションブロック機能で使用でき ユーザと対話せずにクライアント規則を作成できます [ 学習モード ] は ファイアウォール およびアプリケーションブロック機能で使用でき クライアント規則を作成するかどうかをユーザがシステムに指示する必要があります どちらのモードでも イベントはまず バッファオーバフローのようなもっとも悪質な攻撃について解析されます その動作が業務に必要な通常のものであるとみなされると Host Intrusion Prevention クライアントがクライアント規則を作成し 規則がなければブロックされるはずの操作が可能になります [ 適応モード ] または [ 学習モード ] にクライアントを配置することで 設定の調整が行えます Host Intrusion Prevention では このクライアント規則の任意のもの あるいはすべてを利用でき または何も利用しないことも可能で それらをサーバに委ねられたポリシーに変換できます [ 適応モード ] および [ 学習モード ] はいつでも終了して システムの侵入防止保護をより厳しくできます 22

23 基本概念配備と管理 2 大規模な組織では 業務の途絶を回避することがセキュリティへの配慮に優先する場合が多々あります たとえば クライアントコンピュータの中には定期的に新しいアプリケーションをインストールする必要のあるものがありますが それらの調整を行う時間も人員も足りないかもしれません Host Intrusion Prevention では IPS 保護のために特定のクライアントを [ 適応モード ] に配置できます それらのコンピュータは 新しくインストールされたアプリケーションをプロファイルし 発生したクライアント規則をサーバに送信します 管理者はこれらのクライアント規則を既存のポリシーまたは新しいポリシーに追加してからそのポリシーを他のコンピュータに適用し 新しいソフトウェアを処理することができます 調整 Host Intrusion Prevention を配布する際には 少数の明確な使用方法プロファイルを識別し そのためのポリシーを作成する必要があります 最良の方法はテスト配布を設定し 誤検知と生成されるイベントの数を減らしていくことです このプロセスを調整と呼びます たとえば IPS 規則が厳しいと より広い範囲の違反を対象とするシグニチャをさらに提供し 基本的環境に比べはるかに多くのイベントが生成されます より高度な保護を適用する場合 IPS による保護ポリシーを利用して 衝撃をやわらげることをお勧めします このため 各重大度レベル ( 高 中 低 情報 ) を処理 ( 防止 ログに記録 無視 ) にマッピングする必要があります 最初は高以外の重大度処理を無視に設定すると 高重大度シグニチャのみが適用されます 他のレベルは 調整を進める間に段階的に上げられます 例外規則 信頼できるアプリケーション およびファイアウォール規則を作成して誤検知の数を減らすことができます 例外規則は 特定の状況で セキュリティポリシーを無効にするメカニズムです 信頼できるアプリケーションは 常に許容されるアプリケーションプロセスです ファイアウォール規則は トラフィックを許可するか またパケット伝送を許可するかブロックするかを判断します レポート レポートにより 特定の項目に関するデータを取得し たとえば指定した期間の特定のクライアントによりレポートされた高レベルのイベントなど 取得したデータの特定のサブセットにフィルタできます レポートはスケジュールして 電子メールとして送信できます 23

24 3 epolicy Orchestrator の使用方法 Host Intrusion Prevention の設定および管理には epolicy Orchestrator を使用する必要があります Host Intrusion Prevention は 次の基本的なタスクで構成されています Host Intrusion Prevention サーバファイルおよびクライアントパッケージのインストールと確認 Host Intrusion Prevention インストーラを使用して Host Intrusion Prevention サーバファイル (NAP ファイルなど ) 既定のシグニチャおよび規則を含めたコンテンツ および epolicy Orchestrator リポジトリへのレポートを確認します Host Intrusion Prevention クライアントパッケージを epolicy Orchestrator リポジトリにチェックインします 詳細については Host Intrusion Prevention 6.0 インストールガイド を参照してください Host Intrusion Prevention クライアントの配布 epolicy Orchestrator コンソールを使用して Host Intrusion Prevention クライアントを [ ディレクトリ ] コンソールツリーにあるコンピュータに配布します 詳細については epolicy Orchestrator 3.6 製品ガイド を参照してください Host Intrusion Prevention ポリシーの設定 IPS ファイアウォール アプリケーションブロック およびクライアントに適用する全般ポリシーを設定します 各ポリシーの既定の設定で基本的な保護が提供されますが さらに堅固なセキュリティには 環境に適合するように配布を調整し ポリシーを設定する必要があります 詳細については 本書の該当する章を参照してください ポリシーカタログへの所有者の割り当て 所有権は ポリシーカタログで割り当てます 詳細については epolicy Orchestrator 3.6 製品ガイド を参照してください Host Intrusion Prevention ポリシーアップデート情報のクライアントへの送信 epolicy Orchestrator は アップデート情報を Host Intrusion Prevention クライアントに送信します クライアントがポリシーを実施し イベント情報を収集し その情報を epolicy Orchestrator に返送します クライアントとサーバ間の対話は epolicy Orchestrator エージェントポリシーの設定によって決まります 詳細については epolicy Orchestrator 3.6 製品ガイド を参照してください Host Intrusion Prevention イベントに対して epolicy Orchestrator に通知を設定 詳細については epolicy Orchestrator 3.6 製品ガイド を参照してください epolicy Orchestrator でレポートを実行してイベントおよび保護の結果を表示 Host Intrusion Prevention クライアントの動作は epolicy Orchestrator に送信され データベースに保存されます コンソールを使用して Host Intrusion Prevention 保護に関するレポートを実行します 24

25 epolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 3 epolicy Orchestartor とともに Host Intrusion Prevention を使用する方法の詳細については 次のトピックを参照してください Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 Host Intrusion Prevention の操作 Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 Host Intrusion Prevention の基本的な機能の一部は epolicy Orchestrator の機能で実行されます これらの機能を使用する場合の詳細については epolicy Orchestrator のマニュアルを参照してください Host Intrusion Prevention に固有の領域についての詳細とあわせて 本書にも概要が記載されています epolicy Orchestrator コンソール epolicy Orchestrator コンソールを使用して Host Intrusion Prevention を管理します 詳細については epolicy Orchestrator 3.6 製品ガイド を参照してください epolicy Orchestator コンソールは コンソールツリーおよび詳細情報ペインという 2 つの主要部分に分かれています コンソールツリーは [ ディレクトリ ] で epolicy Orchestrator のノード ( コンピュータ グループ およびサイト ) を選択して Host Intrusion Prevention ポリシーを適用するナビゲーションペインです また ツリーには ポリシーカタログ 通知 およびレポートなど コンソールインターフェイスのその他の主な機能へのリンクも含まれています 詳細情報ペインには コンソールツリーで選択したノードの機能設定が表示されます 図 3-1 epolicy Orchestrator コンソール 25

26 epolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 3 ポリシーの管理 ポリシーとは ユーザが作成 設定 および実施するソフトウェア設定を収集したものです 既定のポリシーを適用することも アクセス許可があるディレクトリの任意のノードにカスタマイズしたポリシーを作成して適用することもできます ポリシーの設定および割り当ては 製品を配布する前でも後でも可能です 各ポリシーカテゴリによって ポリシーが Windows クライアントのみに適用される (Windows) か Windows Solaris および Linux のいずれのクライアントにも適用される ( すべてのプラットフォーム ) かを示します 選択したポリシーは ディレクトリの任意のノードにすべて実施するようにも何も実施しないようにも選択できます ノードを選択すると表示される [ ポリシーの割り当て ] ページでは 製品または製品の機能にポリシーを実施するかどうかを選択できます 図 3-2 [ ポリシーの割り当て ] ページ 26

27 epolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の epolicy Orchestrator の操作 3 [ ポリシーカタログ ] ページでは ポリシーの割り当ておよび所有者を表示できます 図 3-3 ポリシーカタログ ポリシーへの所有者の割り当て [ ポリシーカタログ ] ページから アクセス許可がある Host Intrustion Prevention に対するすべてのポリシーが使用できます ユーザが他のユーザのポリシーを変更できないようにするために 各ポリシーには所有者が割り当てられます グローバル管理者またはポリシーを作成したサイト管理者が所有者になります ポリシーの変更または削除が行えるのは ポリシーの作成者またはグローバル管理者のみです [ ポリシーカタログ ] ページにあるポリシーを適用することはどの管理者でもできますが 所有者またはグローバル管理者以外変更はできません ÉqÉìÉg ディレクトリのセグメントに所有していないポリシーを割り当てる場合 ポリシーの所有者がこれを変更すると このポリシーが割り当てられているすべてのノードにこの変更が反映されます 他の管理者が所有するポリシーを使用するには ポリシーを複製し その複製したポリシーをノードに割り当てます 通知の生成 電子メール ポケベル および SNMP トラップ通知により Host Intrusion Prevention クライアントまたはサーバ自体に発生したイベントについてのアラートを送信できます epolicy Orchestrator サーバが 特定の Host Intrusion Prevention イベントを受信して処理した場合に メッセージ SNMP トラップの送信または外部コマンド実行の規則を設定できます 通知メッセージを生成するイベントのカテゴリや通知の送信頻度を指定するなど 詳細な設定が可能です 27

28 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 レポートの生成 クライアントシステムの Host Intrusion Prevention クライアントは情報をサーバに送信し この情報はレポートデータベースに格納されます レポートやクエリは この格納されている情報に対して行われます IPS レポートとファイアウォールレポートという 2 つのカテゴリに分類される 8 種類の定型レポートがあります 詳細については 130 ページの レポートの実行 を参照してください Host Intrusion Prevention の操作 Host Intrusion Prevention を使用するためのすべての面で 製品に固有の点に関する概要を次に説明します これらの機能を使用する場合の詳細については 本書を参照してください Host Intrusion Prevention サーバのインストール クライアントを配布する前に 管理サーバをインストールする必要があります 詳細な手順については Host Intrusion Prevention インストールガイド を参照してください Host Intrusion Prevention クライアントの配布 Host Intrusion Prevention を配布する際には クライアントにより保護されます 作業環境にあるすべてのシステムをクライアントソフトウェアで保護することが理想的です 次のように段階的なアプローチで配布することをお勧めします クライアント展開の初期計画を決定 社内の全ホスト ( サーバおよびデスクトップ ) に Host Intrusion Prevention クライアントを配布しますが はじめは限定数の代表的なシステムにクライアントをインストールして 設定を調整することをお勧めします 配布の微調整が終了したら さらに多数のクライアントを配布して 初期に展開した中で作成したポリシー 例外 およびクライアント規則を活用します クライアントに対する命名の規則の確立 クライアントは コンソールツリー 特定のレポート およびクライアントの動作により生成されるイベントデータでの名前により識別されます クライアントは インストールするホスト名を引き継ぐことも インストール中に特定のクライアント名を割り当てることもできます クライアントに対して Host Intrusion Prevention の配布作業の関係者にわかりやすい命名規則を確立することをお勧めします クライアントのインストール インストールしたクライアントには IPS ファイアウォール アプリケーションブロック および全般規則ポリシーの既定のセットもインストールされています 規則をアップデートした新しいポリシーは 後でサーバから適用できます クライアントの論理的なグループ分け クライアントは コンソールツリーの階層に適合する任意の基準でグループ分けできます たとえば 配置場所 企業内での機能 またはシステムの特性に従ってクライアントをグループ分けできます 詳細な手順については Host Intrusion Prevention インストールガイド を参照してください 28

29 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 クライアントデータの表示および作業 クライアントをインストールしてグループ分けしたら 配布は完了です 設定した IPS セキュリティポリシーに違反したエージェントの動作により発生するイベントの表示が開始されます クライアントを適応モードに配置した場合 どのクライアントの例外規則が作成されているかを示すクライアント規則が表示されます このデータを解析して 配布の調整を開始します イベントデータの解析については IPS 機能の [IPS イベント ] タブを参照してください イベントを発生させたプロセス イベントの発生時点 およびイベントを発生させたクライアントなど イベントの詳細を探ることができます イベントを解析し 適切に対処することで Host Intrusion Prevention の配布に調整を加え 攻撃に対する対応を強化できます [IPS イベント ] タブには 既定のクライアントベースおよびネットワークベースの侵入防止シグニチャ またカスタムのホストベースシグニチャが表示されます クライアント規則を解析するには [ クライアント規則 ] タブを表示します [ クライアント規則 ] は ファイアウォールおよびアプリケーションブロックの機能でも表示されます 作成中の規則を表示し 規則を集約して最も優勢な共有規則を見つけ 他のクライアントに適用するポリシーにその規則を直接移動できます また レポート機能では イベント クライアントの規則 および Host Intrusion Prevention の設定に基づいて 詳細なレポートを作成できます これらのレポートを使用して チームメンバや管理メンバに環境動作を連絡します 適応モードまたは学習モードへのクライアントの配置 調整プロセスの重要な要素は [ 適応モード ] の Host Intrusion Prevention クライアントを IPS ファイアウォール アプリケーションブロックに また [ 学習モード ] の Host Intrusion Prevention クライアントをファイアウォールとアプリケーションブロックに配置します これらのモードによりクライアントは 管理者ポリシーに対するクライアントの例外規則を作成できます [ 適応モード ] では ユーザと対話せず自動的に実行され [ 学習モード ] では イベント発生時のシステムの対応をユーザが指示する必要があります これらのモードでは まずバッファオーバフローなど最も悪意のある攻撃に対してイベントを解析します 動作が 業務上通常のものであり必要とみなされると クライアントの例外規則が作成されます [ 適応モード ] または [ 学習モード ] で代表的なクライアントを設定することで 設定の調整が行えます 次に Host Intrusion Prevention では クライアントの規則から 任意のものを選択 すべて選択 または何も選択せずに サーバで指示したポリシーに変換できます 調整が完了すると [ 適応モード ] または [ 学習モード ] を終了して システムの侵入防止保護を強化します 少なくとも 1 週間は [ 適応モード ] または [ 学習モード ] でクライアントを実行してください これにより クライアントは通常遭遇するすべての動作に遭遇する時間が得られます バックアップまたはスクリプト処理などスケジュールした動作の時間に実行するようにしてください それぞれの動作が発生するごとに IPS イベントが生成され 例外が作成されます 例外は 正当な動作として区別される動作です たとえば ポリシーでは 特定のスクリプト処理が不当な動作と判断されても エンジニアリンググループのシステムで こうしたタスクを実行することが必要な場合もあります こうしたシステムに対して例外を作成して システムの正常な機能を維持しながら この動作はポリシーにより他のシステムでは実行されないようにします 次に これらの例外をサーバが指示するポリシーの一部として エンジニアリンググループのみに適用します 29

30 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 特定のソフトウェアアプリケーションが 社内の一部の部署では通常業務に必要であり 他の部署では使用しない場合があります たとえば エンジニアリングおよびテクニカルサポートの各部署ではインスタントメッセージを許可しますが 経理部や人事部では使用しない場合があります エンジニアリングおよびテクニカルサポートの各部署では このアプリケーションを信頼できるアプリケーションとしてシステムに確立し ユーザがフルアクセスできるようにできます ファイアウォール機能は コンピュータとネットワークまたはインターネットの間でフィルタとして機能します ファイアウォールは パケットレベルで受信と送信のトラフィックをすべてスキャンします ファイアウォールは 送受信される各パケットを確認しながら 関連動作の一連の基準である ファイアウォール規則のリストをチェックします パケットが規則のすべての基準と一致すると ファイアウォールは規則で指定されたアクションを実行して パケットを通過させるかまたはブロックします ポリシーの設定 ポリシーは Host Intrusion Prevention が保護するネットワークにあるそれぞれのコンピュータに設定した規則です クライアントシステムにある Host Intrusion Prevention クライアントは 定期的にこれらのポリシーのアップデートを受信します ディレクトリのコンソールツリーでノードを選択すると Host Intrusion Prevention で使用できる機能が [ ポリシー ] タブに表示されます 次のような機能があります 全般ポリシー IPS ポリシー ファイアウォールポリシー アプリケーションブロックポリシー 下向き矢印をクリックすると 各機能で使用できるカテゴリが表示されます これらの機能それぞれの詳細については 本書の該当する章を参照してください 30

31 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 ポリシー表示アラート Host Intrusion Prevention ポリシーの詳細を表示すると ポリシーの内容を表示するために必要な署名済み Java アプレットを信頼するように求められる場合があります このアラートが表示された場合 [ はい ]( または [ 常に ]) をクリックして ポリシーの詳細を表示します 図 3-4 Java アプレットのセキュリティ警告 ファイアウォール機能ポリシーには ActiveX コントロールが必要なものがあります こうしたポリシーを開く場合 ポリシーの内容を表示するために必要なコントロールを実行するように求められる場合があります このアラートが表示された場合 [ はい ] をクリックして ポリシーの詳細を表示します 図 3-5 Active X コントロールのセキュリティ警告 31

32 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 微調整 McAfee では Host Intrusion Prevention ソフトウェアをインストールした後 毎日の作業と競合することなく最高のセキュリティが得られるように設定することをお勧めしています Host Intrusion Prevention の既定のポリシーは 非常に広い範囲のカスタマ環境に適合するため ユーザのニーズに合う可能性があります 特定の設定に適合するようにポリシーを微調整するために 次の事項を推奨します Host Intrusion Prevention のセキュリティ設定を注意して定義します システムの特定部分の設定に責任を持っている人を評価して 適切なアクセスを許可します 既定の IPS 保護またはファイアウォール規則ポリシーを変更することで あらかじめ設定された保護のレベルを向上できます 特定シグニチャの重大度レベルを変更します たとえば ユーザの毎日の作業でシグニチャが発生する場合 重大度レベルを低く調整します 詳細については 40 ページの IPS による保護のポリシーの設定 を参照してください 特定のイベントが発生したときに特定の個人にアラートを送信する 通知を設定します たとえば 特定サーバで 重大度 [ 高 ] のイベントを発生させるアクションが実行されたときに通知を送信するようにできます 詳細については 128 ページの イベントの通知機能の設定 を参照してください ヘルプの使用 epolicy Orchestrator と Host Intrusion Prevention の両方で オンラインヘルプが利用できます epolicy Orchestrator のヘルプは epolicy Orchestrator のツールバーおよびコンソールの詳細情報ペインから呼び出します Host Intrusion Prevention のヘルプは Host Intrusion Prevention の [ ポリシー設定 ] ページおよびサポートダイアログボックスから呼び出します Host Intrusion Prevention の [ ヘルプ ] ウィンドウは ヘルプを呼び出したポリシーまたはダイアログボックスについての情報を提供します ページにある [ 関連トピック ] のリンクにより 特定のタスクを実行する方法を説明します 目次 索引 または検索機能を使用して 追加情報にアクセスすることもできます ヘルプの操作手順 目的最初に表示されたページまたはリンクをクリックしたページに移動する 目次 索引 単一のヘルプペインからの検索を表示する 目次のどこに目的のページがあるかを示す 目次の順番にヘルプページを読む 関連した手順のトピックを表示する 操作 ショートカットメニューの [ 戻る ] をクリックします 注 :[ 前へ ] または [ 次へ ] ボタンは使用しないでください これらのボタンは 目次で直線的に並べられたページを移動するために使用します ([ ナビゲーションの表示 ]) をクリックします ([ 目次での場所を表示 ]) をクリックします 注 : ヘルプのみで使用され 目次には表示されないページもあります ([ 前へ ] および [ 次へ ]) をクリックします ([ 関連リンク ]) をクリックします 32

33 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 目的 索引内でアルファベット順に項目を見つける ページを印刷する Web ブラウザにページのブックマークを作成する 検索を実行する 検索後にテキストの強調表示を解除する 操作 左ペインで [ 索引 ] をクリックします ([ 印刷 ]) またはショートカットメニューの [ 印刷 ] をクリックします ([ ブックマーク ]) をクリックします ナビゲーションペインの [ 検索 ] をクリックして 検索する単語 ( 複数可 ) を入力し [ 開始 ] をクリックします ショートカットメニューの [ 更新 ] をクリックします ユーザインターフェイスにあるヘルプ タブまたはダイアログボックスの使用目的の簡単な説明が タブまたはダイアログボックスに表示されます マウスポインタをツールバーの上に移動すると 各ツールバーボタンの説明が表示されます リストにある情報を表すアイコンについては 次の表を参照してください 表 3-1 Host Intrusion Prevention アイコン IPS イベント / シグニチャ 重大度レベル : 情報 重大度レベル : 低 重大度レベル : 中 重大度レベル : 高 重大度レベル : 無効 IPS 例外規則ステータス : 有効 ステータス : 無効 処理 : 許可 処理 : ブロック メモ添付 IPS シグニチャの規則 ネットワーク侵入防止 カスタムホスト侵入防止 ファイアウォール / 検疫 / アプリケーションブロックの規則 33

34 epolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 3 表 3-1 Host Intrusion Prevention アイコン ( 続き ) 方向 : 受信 方向 : 送信 方向 : 送受信アクション : 許可 アクション : ブロック 規則に一致する場合は侵入として扱う 定義されている期間に規則を限定する 34

35 4 IPS ポリシー Host Intrusion Prevention の侵入防止システム (Intrusion Prevention System:IPS) 機能は ホスト侵入防止技術でコンピュータを保護します IPS ポリシーが IPS 保護のオン / オフを切り替え イベントに対する処理レベルを設定し 例外 シグニチャ アプリケーション保護規則 イベント およびクライアントが作成した例外についての詳細を提供します この章では IPS 機能について 次のトピックを説明します 概要 IPS オプションのポリシーの設定 IPS による保護のポリシーの設定 IPS 規則のポリシーの設定 IPS 規則のポリシーの詳細 IPS イベント IPS クライアントの規則 IPS 例外規則の検索 概要 Host Intrusion Prevention クライアントには クライアントコンピュータの動作が害のないものか不正なものかを判断する IPS シグニチャ規則のデータベースがあります 不正な動作を検出すると イベントと呼ばれるアラートが epo コンソールに送信され Host Intrusion Prevention の [IPS 規則 ] ポリシーに表示されます [IPS による保護 ] ポリシーのシグニチャに設定された保護レベルにより イベントが発生した場合にクライアントが実行する動作が決まります 対応つまり処理には 動作の無視 ログ または防止などがあります 正当な動作から発生する誤検知によるイベントは シグニチャ規則に対する例外を作成するか またはアプリケーションを信頼できるアプリケーションとして登録することで 無効にできます 適応モードにあるクライアントは クライアント規則と呼ばれる例外を自動的に作成します 管理者はいつでも手動で例外を作成できます 発生するイベントと作成されるクライアント例外を監視することで IPS 保護の配布を最適に調整する方法を判断できます 35

36 IPS ポリシー概要 4 ホスト IPS (HIPS) とネットワーク IPS (NIPS) のシグニチャ規則 攻撃は 文字のシグニチャパターンに続いて起こる場合があります このシグニチャを識別して 不正な動作を防止できます たとえば Web の URL で 文字列../ を検索するように設定されるシグニチャがあります シグニチャが有効になっていて システムがこの文字列に遭遇すると イベントが発生します ホスト IPS シグニチャとネットワーク IPS シグニチャ両方の シグニチャに基づいた方法は 侵入検知で使用する検知スキームの大部分を占めており Host Intrusion Prevention で使用するメカニズムの 1 つです クライアントごとにシグニチャ規則のデータベースがインストールされており 新しい攻撃の種類が検出されるとアップデートされます シグニチャは 重大度レベルおよび攻撃が及ぼす危険性の記述で分類されます シグニチャは 特定のアプリケーションまたは特定のオペレーティングシステム用に設計されています 大部分はオペレーティングシステム全体を保護しますが 特定のアプリケーションのみを保護するシグニチャもあります Host Intrusion Prevention では 主にホスト IPS シグニチャを提供し それに加えて少数のネットワーク IPS シグニチャを提供します HIPS HIPS による保護は サーバ ワークステーション ノート型 PC など 個々のシステムに装備されます Host Intrusion Prevention クライアントは システムとやりとりされるトラフィックを検査し 攻撃されていないかどうかアプリケーションおよびオペレーティングシステムの動作を調査することによって 保護を行います 攻撃が検出された場合 クライアントは ネットワークセグメントの接続において攻撃をブロックするか または攻撃によって開始される動作を停止するように アプリケーションまたはオペレーティングシステムにコマンドを発行できます たとえば バッファオーバフローは 攻撃によって不正使用されたアドレス空間に挿入された悪意のあるプログラムをブロックすることによって防止されます Internet Explorer のようなアプリケーションによるバックドアプログラムのインストールは アプリケーションの ファイル書き込み コマンドを妨害し拒否することによってブロックされます ホスト IPS の利点 攻撃からの保護だけでなく プログラムのファイル書き込みのブロックなど 攻撃の結果からも保護されます 保護されたネットワーク外部にノート型 PC がある場合 それらが攻撃から保護されます CD メモリスティック フロッピーディスクなどによって持ち込まれるローカルな攻撃から保護されます これらの攻撃は ネットワークの他のシステムに侵入するために ユーザの特権をルートまたは管理者のレベルに上げることを目的としている場合があります 他のセキュリティツールをくぐり抜けた攻撃からの最後の防衛手段となります 内部の攻撃または同じネットワークセグメントに位置するデバイス上の不正を防止します 暗号化データと動作の調査によって保護されているシステムで 暗号化データのストリームが終了した後の攻撃から保護されます ネットワークアーキテクチャとは関係ないため トークンリング FDDI などの古いネットワークや例外的なネットワーク上のシステムの保護が可能です 36

37 IPS ポリシー概要 4 NIPS NIPS による保護も 個々のシステムに装備されます 保護されたシステム間で通信されるすべてのデータおよびネットワークのその他の部分について 攻撃があるかどうか調査されます 攻撃が確認されると 不正データは破棄されるかまたはシステムを通過しないようにブロックされます ネットワーク IPS の利点 ネットワークセグメントの下流に位置するシステムが保護されます サーバおよびサーバに接続するシステムが保護されます ネットワークのサービス拒否攻撃 およびネットワークトラフィックの拒否や低下を引き起こす帯域幅に向けられた攻撃から保護されます 動作規則 動作規則は 正当な動作のプロファイルを定義します 動作がプロファイルと一致しないと イベントが発生します たとえば Web ファイルにアクセスできるのは Web サーバプロセスのみであると規定する規則を設定できます 別のプロセスが Web ファイルにアクセスしようとすると この動作規則によりイベントが発生します Host Intrusion Prevention は シグニチャ規則とハードウェアに組み込まれた動作規則を組み合わせて使用します 攻撃を識別するためのこのハイブリッドな方法では ほとんどの既知の攻撃だけでなく これまでに知られていない攻撃やゼロデイ攻撃も検出できます 事前設定 IPS ポリシー Host Intrusion Prevention IPS 機能には 次の 3 つのポリシーカテゴリがあります [IPS オプション ]: このポリシーは ホストとネットワークの IPS 保護のオン / オフを切り替えます 事前設定ポリシーには [ オン (McAfee 既定 )] [ オフ ] [ 適応 ] が含まれます [IPS による保護 ]: このポリシーは イベントに対する処理を設定します 事前設定ポリシーには [ 基本 (McAfee 既定 )] [ 拡張された保護の準備 ] [ 拡張された保護 ] [ 最大限の保護の準備 ] [ 最大限の保護 ] [ 警告 ] が含まれています [IPS 規則 ]: このポリシーは 1 つまたは複数のポリシーインスタンスを持つことができます 事前設定ポリシーは 既定のポリシー [(McAfee 既定 )] です 37

38 IPS ポリシー IPS オプションのポリシーの設定 4 クイックアクセス IPS 機能には IPS イベント IPS 規則 IPS クライアント規則を監視および管理するためのクイックアクセスへのリンク (*) があります 図 4-1 IPS 機能 * IPS オプションのポリシーの設定 [IPS オプション ] のポリシーは IPS による保護の基本的なオン / オフスイッチであり クライアントを [ 適応モード ] にし 作成された例外を保持するようにクライアントに許可し またネットワーク侵入を自動的にブロックするための手段でもあります 事前定義されたポリシーの 1 つを選択するか または新しいポリシーを作成します IPS オプションのポリシーを設定するには 1 [IPS] 機能を展開し [IPS オプション ] カテゴリのラインで [ 編集 ] をクリックします 2 事前定義されたポリシーを適用するには ポリシーリストでそのポリシーを選択します ポリシー名のアイコンをクリックすると 次のような設定を表示できます ポリシーの選択内容 [( オン (McAfee 既定 ))] [ ホスト IPS を有効にする ] [ ネットワーク IPS を有効にする ] [ ネットワークの侵入者の自動ブロック ] - 10 分間 [ ブロックされたホストの保持 ] [ クライアント規則の保持 ] 38

39 IPS ポリシー IPS オプションのポリシーの設定 4 ポリシーの選択内容 [( オフ )] [ ブロックされたホストの保持 ] [ クライアント規則の保持 ] [( 適応 )] [ ホスト IPS を有効にする ] [ ネットワーク IPS を有効にする ] [ ブロックされたホストの保持 ] [ 適応モードを有効にする ] [ クライアント規則の保持 ] 3 [ 適用 ] をクリックします IPS オプションのポリシーを新しく設定するには 1 [IPS オプション ] カテゴリのラインで [ 編集 ] をクリックし ポリシーリストで [ 新しいポリシー ] を選択します 2 [ 新しいポリシーの作成 ] ダイアログボックスで 複製するポリシーを選択し 新しいポリシーの名前を入力して [OK] をクリックします íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成します 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します [IPS オプション ] ダイアログボックスが表示されます 図 4-2 IPS オプション 3 必要に応じて 次のオプションを選択します 39

40 IPS ポリシー IPS による保護のポリシーの設定 4 オプション名 内容 [ ホスト IPS を有効にする ] ホスト IPS による保護 [ ネットワーク IPS を有効にする ] [ ネットワークの侵入者の自動ブロック ] [ ブロックされたホストの保持 ] [ 適応モードを有効にする ] [ ハイリスクアプリケーションを自動的にアプリケーション保護リストに追加する ] [ クライアント規則の保持 ] ネットワーク IPS による保護 4 [ 適用 ] をクリックして [ 閉じる ] をクリックします 指定した時間内 ホスト上でネットワーク侵入攻撃を自動的にブロックするクライアントです [ 削除されるまで ] を選択してホスト上で送受信されるトラフィックをクライアントでブロックリストから手動で削除されるまでブロックするか [ 次の時間 ( 分 )] を選択して設定した時間 ( 分単位 ) の間ブロックします [ ネットワークの侵入者の自動ブロック ] でパラメータが設定されるまでホスト (IP アドレス ) をブロックするクライアントです 選択しない場合 ホストは次回ポリシーが更新されるまでしかブロックされません 自動的にクライアント規則を作成するクライアントです コードインジェクションに対して無防備でハイリスクなアプリケーションを自動的に保護されたアプリケーションのリストに追加するクライアントです 作成したクライアント規則を保持するクライアントです 5 [IPS オプション ] カテゴリの行で [ 適用 ] をクリックします íç ポリシーは グローバル管理者のみが epolicy Orchestrator の [ ポリシーカタログ ] ページでのみ削除できます IPS による保護のポリシーの設定 [IPS による保護 ] のポリシーでは シグニチャの重大度レベルに対して保護の処理を設定します これらの設定では 攻撃や怪しい動作が検出されたときに どのような動作を行うかをクライアントに指示します 各シグニチャには 次の 4 つの重大度レベルの 1 つが設定されます [ 高 ]( 赤色 )- 明確に識別できるセキュリティ上の脅威や悪意のあるアクションのシグニチャ これらのシグニチャは よく知られた不正特有のものであり 実際は ほとんど動作に関連しません すべてのシステムで これらのシグニチャを防止してください [ 中 ]( オレンジ色 )- アプリケーションがエンベロープ外部で動作する場合の動作のシグニチャ 重要なシステム Web サーバ および SQL サーバでは これらのシグニチャを防止してください 40

41 IPS ポリシー IPS による保護のポリシーの設定 4 [ 低 ]( 黄色 )- アプリケーションおよびシステムリソースがロックされ 変更できない場合の動作のシグニチャ これらのシグニチャを防止すると基本システムのセキュリティが向上しますが 追加の微調整が必要になります [ 情報 ]( 青色 )- アプリケーションおよびシステムリソースが変更され 害のないセキュリティリスクを示すかまたは重要なシステム情報にアクセスしようとする可能性がある場合の動作のシグニチャ このレベルのイベントは 正常なシステム動作中に発生し 通常は攻撃を示すものではありません これらのレベルは システムに対する潜在的な危険度を示すものであり これにより 異なるレベルの潜在的な有害性に対して特定の処理を定義できます すべてのシグニチャに対して 重大度のレベルと処理を変更できます たとえば 怪しい動作が損傷の原因となる可能性がほとんどない場合 [ 無視 ] を処理として選択できます 動作の危険度が高い場合は [ 防止 ] を処理として設定できます [IPS による保護 ] ポリシーには事前定義されたポリシーがいくつかあり その中から選択できます 事前定義されたポリシーが 選択する必要なオプションの組み合わせでない場合は 新しいポリシーを作成して必要なオプションを選択してください [IPS による保護 ] ポリシーのダイアログボックスで選択での選択は 選択されたポリシーによって異なります [IPS による保護 ] ポリシーを設定するには 1 [IPS] 機能を展開し [IPS による保護 ] カテゴリのラインで [ 編集 ] をクリックします 2 事前定義されたポリシーを適用するには ポリシーリストでそのポリシーを選択します ポリシー名のアイコンをクリックすると 次のような設定を表示できます ポリシーの選択 [( 基本的な保護 (McAfee 既定 ))] 3 [ 適用 ] をクリックします 内容 重大度レベルが高のシグニチャを防止し それ以外は無視します [( 拡張された保護 )] 重大度レベルが高および中のシグニチャを防止し それ以外は無視します [( 最大限の保護 )] 重大度レベルが高 中 および低のシグニチャを防止し それ以外はログに記録します [( 拡張された保護の準備 )] 重大度レベルが高のシグニチャを防止し 中のシグニチャのログを記録し それ以外は無視します [( 最大限の保護の準備 )] 重大度レベルが高および中のシグニチャを防止し 低のシグニチャのログを記録し それ以外は無視します [( 警告 )] 重大度レベルが高のシグニチャのログを記録し それ以外は無視します IPS による保護のポリシーを新しく作成するには 1 [IPS 重大度 ] カテゴリのラインで [ 編集 ] をクリックし ポリシーリストで [ 新しいポリシー ] を選択します 2 [ 新しいポリシーの作成 ] ダイアログボックスで 複製するポリシーを選択し 新しいポリシーの名前を入力して [OK] をクリックします íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成します 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 41

42 IPS ポリシー IPS による保護のポリシーの設定 4 [IPS による保護 ] ダイアログボックスが表示されます 図 4-3 IPS による保護 3 重大度レベルごとに 次のような処理の種類を選択します 項目高中低情報 オプション名イベントを許可し ログを記録しない場合は [ 無視 ] を選択します イベントを許可し ログを記録する場合は [ ログ ] を選択します イベントを防止し ログを記録する場合は [ 防止 ] を選択します イベントを許可し ログを記録しない場合は [ 無視 ] を選択します イベントを許可し ログを記録する場合は [ ログ ] を選択します イベントを防止し ログを記録する場合は [ 防止 ] を選択します イベントを許可し ログを記録しない場合は [ 無視 ] を選択します イベントを許可し ログを記録する場合は [ ログ ] を選択します イベントを防止し ログを記録する場合は [ 防止 ] を選択します イベントを許可し ログを記録しない場合は [ 無視 ] を選択します イベントを許可し ログを記録する場合は [ ログ ] を選択します 4 [ 適用 ] をクリックして [ 閉じる ] をクリックします 5 [IPS による保護 ] カテゴリのラインで [ 適用 ] をクリックします íç ポリシーは グローバル管理者のみが epolicy Orchestrator の [ ポリシーカタログ ] ページでのみ削除できます 42

43 IPS ポリシー IPS 規則のポリシーの設定 4 IPS 規則のポリシーの設定 多くのポリシーカテゴリと異なり IPS 規則のポリシーには複数のポリシープロファイルがあります ポリシーのこのような拡張的な使用により クライアントの使用法 場所 またはクライアントをインストールするシステムの種類を記述する複数のポリシーを作成し 侵入防止手段をより簡単に適用できます たとえば IIS サーバには 通常の既定のポリシー サーバのポリシー および IIS のポリシーを適用できます IIS サーバのポリシーおよび IIS のポリシーは IIS サーバとして稼動しているシステムを対象として設定するポリシーです 既存のポリシーを適用できるだけでなく 使用可能なポリシーが防御手段のニーズを満たしていない場合に 新しいポリシーを簡単に作成することもできます IPS 規則のポリシーを割り当てるには 1 [IPS] 機能を展開し [IPS 規則 ] ポリシー名のラインで [ 編集 ] をクリックします 2 既存のポリシーを適用するには ポリシーリストでそのポリシーを選択します ポリシー名をクリックして ポリシーの詳細を表示します 3 [ 適用 ] をクリックします 4 別のポリシーインスタンスを追加するには [IPS 規則 ] セクションの上部で [ 追加ポリシーの割り当て ] をクリックします 新しいポリシーの行が表示されます 5 ステップ 1 ~ 3 を繰り返します 新しい IPS 規則のポリシーを作成するには 1 次のいずれかを行います [IPS 規則 ] ポリシー名行の [ 編集 ] をクリックします IPS 規則リストの上部で [ 追加ポリシーの割り当て ] をクリックします 2 ポリシーリストで [ 新しいポリシー ] を選択します 3 [ 新しいポリシーの作成 ] ダイアログボックスで 複製するポリシーを選択し 新しいポリシーの名前を入力して [OK] をクリックします 4 [IPS 規則 ] タブの編集で 必要に応じて以下を指定します 例外 (44 ページの 例外規則 を参照 ) シグニチャ (47 ページの シグニチャ を参照 ) アプリケーション保護の規則 (54 ページの アプリケーション保護規則 を参照 ) 5 [ 閉じる ] をクリックして [IPS 規則 ] ポリシーダイアログボックスを閉じます 6 [IPS 規則 ] ポリシー名行の [ 適用 ] をクリックします íç ポリシーは グローバル管理者のみが epolicy Orchestrator の [ ポリシーカタログ ] ページでのみ削除できます 43

44 IPS ポリシー IPS 規則のポリシーの詳細 4 IPS 規則のポリシーの詳細 IPS 規則のポリシーを使用すると IPS の設定を定義する 1 つ以上のポリシーを作成および適用できます ポリシーは 一般的な使用法 場所 またはアクセス権や特権に基づきます たとえば IIS サーバにグローバルポリシー サーバクライアントポリシー および IIS ポリシーを割り当てることができます 各ポリシーには 次のような詳細があります 例外規則 シグニチャ アプリケーション保護規則 使用可能な IPS ポリシーは IPS 規則の [ ポリシー設定 ] ダイアログボックスのポリシーリストにすべて表示されます 選択したノードに適用されたポリシーは 太字で表示されます 選択したノードに適用された すべての例外規則 シグニチャ および監視 / 除外規則の組み合わせを表示するには [ 有効なポリシー ] をクリックします IPS 規則の [ ポリシー設定 ] ダイアログボックスから 次のような IPS ポリシー関連の機能にアクセスすることもできます IPS イベント IPS クライアントの規則 IPS 例外規則の検索 例外規則 攻撃だと解釈される動作が 実際にはユーザの作業手順の正常な一部である場合があります これを誤検知といいます 誤検知を防ぐには その動作に対して例外を作成します 例外機能を使用すると 誤検知を除去し コンソールに送られる不要なデータを最小限に抑え アラートを本当のセキュリティ上の脅威として捉えることができます たとえば 検査のプロセス中 クライアントが [Outlook エンベロープ - 怪しい実行可能モジュール ] のシグニチャを認識したとします このシグニチャは Outlook 電子メールのアプリケーションが Outlook の通常のリソースであるエンベロープ外部のアプリケーションを変更しようとしていることを示しています したがって たとえば Notepad.exe など 通常は電子メールに関連しないアプリケーションを Outlook が変更しようとしている可能性があるため このシグニチャによって発生したイベントがアラートの原因になります この場合 トロイの木馬が仕掛けられたと疑う正当な理由がある可能性があります しかし イベントを開始したプロセス ( たとえば Outlook.exe によるファイルの保存 ) が通常どおり電子メール送信を担当しているのであれば この動作を許可する例外を作成する必要があります [IPS 規則 ] ダイアログボックスの [ 例外 ] タブで 例外のリストを参照して例外を作成および変更できます 44

45 IPS ポリシー IPS 規則のポリシーの詳細 4 図 4-4 [IPS 規則 ] - [ 例外 ] タブ 例外規則の作成 例外規則を作成する場合 例外を定義し その例外を適用するシグニチャを指定する必要があります 完全に新しい例外を作成するか 既存の例外の複製に基づいて作成するか またはイベントに基づいて作成することができます 例外を作成するには 1 次のいずれかを行います [ 例外規則 ] タブで ショートカットメニューまたはツールバーの [ 作成 ] をクリックします 空白の [ 新しい例外 ] ダイアログボックスが表示されます [ 例外規則 ] タブで 既存の例外を選択し ショートカットメニューまたはツールバーの [ 複製 ] をクリックします 事前入力された [ 例外の複製 ] ダイアログボックスが表示されます [IPS イベント ] タブで 例外を作成するイベントを選択し ショートカットメニューまたはツールバーの [ 例外の作成 ] をクリックします 例外を作成するポリシーを選択し [OK] をクリックします 事前入力された [ 新しい例外 ] ダイアログボックスが表示されます 45

46 IPS ポリシー IPS 規則のポリシーの詳細 4 図 4-5 [ 新しい例外 ] ダイアログボックス 2 各タブに適切なデータを入力し 次のボタンのいずれかをクリックします 変更を保存してダイアログボックスを閉じる場合は [OK] をクリックします 変更を保存して 別の例外規則を作成するためにダイアログボックスを開いたままにする場合は [ 適用 ] をクリックします 変更をキャンセルしてダイアログボックスを閉じる場合は [ キャンセル ] をクリックします 詳細を参照する場合は [ ヘルプ ] をクリックします 例外規則の編集 既存の例外の詳細を表示して編集できます 例外規則を編集するには 1 例外を選択し ショートカットメニューまたはツールバーの [ プロパティ ] をクリックするか または例外をダブルクリックします [ 例外のプロパティ ] ダイアログボックスが表示されます 2 各タブでデータを変更し [OK] をクリックします 詳細を参照する場合は ダイアログボックスで [ ヘルプ ] をクリックします 46

47 IPS ポリシー IPS 規則のポリシーの詳細 4 例外規則の有効化と無効化 使用していない例外を削除する代わりに それらの例外を一時的に無効にし 後で有効にして使用することができます 例外を無効または有効にするには [ 例外規則 ] タブで 規則を選択し ショートカットメニューまたはツールバーの [ 有効 / 無効にする ] をクリックします 選択した例外のステータスが 選択に応じて変更されます 例外規則の削除 例外を完全に削除するには [ 例外規則 ] タブで 削除する例外を選択し ショートカットメニューまたはツールバーの [ 削除 ] をクリックします 例外が [ 例外 ] タブから削除されます 別のポリシーへの例外規則の移動 [ 例外規則 ] タブで あるポリシーから別のポリシーに 例外を簡単に移動できます 例外規則を別のポリシーに移動するには 1 移動する例外規則を選択し ショートカットメニューまたはツールバーの [ 他のポリシーへの移動 ] をクリックします 2 [ ポリシーの選択 ] リストで ポリシーを選択し [OK] をクリックします 選択したポリシーに 例外規則のコピーが表示されます シグニチャ シグニチャは セキュリティ上の脅威 攻撃手法 およびネットワーク侵入を記述します 各シグニチャには 既定の重大度レベルがあり このレベルによって攻撃の潜在的な危険性が示されます [ 高 ]( 赤色 )- 明確に識別できるセキュリティ上の脅威や悪意のあるアクションから保護するシグニチャ これらのシグニチャの大部分は よく知られた不正特有のものであり 実際は ほとんど動作に関連しません すべてのホストで これらのシグニチャを防止してください [ 中 ]( オレンジ色 )- 高レベルよりも実際に動作に関連し アプリケーションがアプリケーション環境の外部で動作するのを防止するためのシグニチャ (Web サーバおよび Microsoft SQL Server 2000 を保護するクライアントに関連します ) 重要なサーバでは 微調整した後 これらのシグニチャを防止しなければならない場合があります [ 低 ]( 黄色 )- 実際に動作にさらに関連するシグニチャであり アプリケーションを遮断します 遮断とは アプリケーションおよびシステムリソースを変更できないように それらを制限することです 黄色のシグニチャを防止すると基本システムのセキュリティが向上しますが 追加の微調整が必要になります [ 情報 ]( 青色 )- 害のないセキュリティリスクが発生するかまたは重要なシステム情報がアクセスされる可能性のある システム設定の変更を示します このレベルのイベントは 正常なシステム動作中に発生し 通常は攻撃を示すものではありません 47

48 IPS ポリシー IPS 規則のポリシーの詳細 4 シグニチャの種類 IPS 規則のポリシーには 次の 3 種類のシグニチャがあります [ ホストシグニチャ ] - Host Intrusion Prevention の既定のシグニチャ (Host Intrusions Prevention Signatures:HIPS) [ カスタムホストシグニチャ ] - ユーザが作成するカスタム HIPS [ ネットワークシグニチャ ] - Network Intrusion Prevention の既定のシグニチャ (Network Intrusion Prevention Signatures:NIPS) ホストシグニチャホストベースの侵入防止シグニチャ (HIPS) は システム操作を行う動作への攻撃を検出および防止するもので ファイル レジストリ サービス HTTP などの種類に関する規則を含みます これらのシグニチャは Host Intrusion Prevention のセキュリティエキスパートによって開発され 製品に含まれています 各シグニチャには 説明と既定の重大度レベルがあります 適切な特権レベルを持っていれば 管理者は シグニチャの重大度レベルを変更したり クライアントグループに対してシグニチャを無効にしたりできます ホストベースのシグニチャは 呼び出されると IPS イベントを生成し それらのイベントは [IPS イベント ] タブに表示されます カスタムホストシグニチャカスタムシグニチャは ニーズに合わせて保護を追加するために作成できる ホストベースのシグニチャです たとえば 重要なファイルを使用して新しいディレクトリを作成する場合に カスタムシグニチャを作成してそのディレクトリを保護できます ネットワークシグニチャネットワークベースの侵入防止シグニチャ (NIPS) は ホストシステム上に到達する既知のネットワークベースの攻撃を検出および防止します ネットワークベースのシグニチャは コンソールでホストベースのシグニチャと同じシグニチャリストに表示されます 独自のアイコンが [ 種類 ] 列に表示されます ネットワークベースのシグニチャは [ シグニチャのプロパティ ( 全般 )] ダイアログボックスに [ ネットワーク IPS] として指定されます 各シグニチャには 説明と既定の重大度レベルがあります 適切な特権レベルを持っていれば 管理者は シグニチャの重大度レベルを変更したり シグニチャを無効にしたりできます 有効なポリシーによってシグニチャが [ ログ ] または [ 防止 ] の処理に関連している場合でも ネットワークベースの各シグニチャには ログの記録を無効にするオプションがあります ただし [ 防止 ] 処理の場合 イベントのログは記録されなくても操作は防止されます ネットワークベースのシグニチャに対して例外を作成することはできますが オペレーティングシステムユーザ プロセス名などの追加パラメータ属性を指定することはできません 詳細には IP アドレスなどのネットワーク特有のパラメータが含まれており それらのパラメータを指定できます ネットワークベースのシグニチャによって生成されたイベントは [IPS イベント ] タブにホストベースのイベントとともに表示され ホストベースのイベントと同じ動作が示されます íç ネットワークベースのカスタムシグニチャはサポートされていません 48

49 IPS ポリシー IPS 規則のポリシーの詳細 4 シグニチャの表示 Host Intrusion Prevention では [ シグニチャ ] タブにシグニチャの 3 つの表示があります 既定のリストには アクティブなシグニチャのみが含まれています 無効なシグニチャのみを表示することも アクティブなシグニチャと無効なシグニチャを組み合わせて表示することもできます 図 4-6 [IPS 規則 ] - [ シグニチャ ] タブ シグニチャの表示を変更するには シグニチャのリストを右クリックし 目的の表示を選択します オプション名 アクティブなシグニチャの表示無効なシグニチャの表示 すべてのシグニチャの表示 表示 IPS 規則のポリシーに対してアクティブなシグニチャのみが表示されます これが既定の表示です 重大度レベルが無効に設定されているシグニチャのみが表示されます アクティブなシグニチャと無効なシグニチャを組み合わせて表示します ホストシグニチャとネットワークシグニチャの変更 [IPS 規則 ] ポリシーの [ シグニチャ ] タブで 既定のシグニチャを表示および変更できます この機能を使用すると シグニチャが誤検知の原因となっている場合にシグニチャの重大度レベルを変更できます 既定のシグニチャを変更するには 1 変更するシグニチャをダブルクリックします [ シグニチャのプロパティ ] ダイアログボックスが表示されます 2 [ 全般 ] タブで [ 重大度レベル ] [ クライアント例外の許可 ] または [ ログのステータス ] の設定を変更し 変更内容を記述する注記を [ 注 ] フィールドに入力します 49

50 IPS ポリシー IPS 規則のポリシーの詳細 4 3 [ 説明 ] タブで シグニチャの保護対象とシグニチャの内容を確認します リンクがある場合は リンクをクリックしてブラウザのページを開き セキュリティ上の脅威に関する詳細情報を確認します 4 [OK] をクリックします íç シグニチャを選択して [ 重大度レベルの変更 ] をクリックすると 複数のシグニチャの重大度レベルをまとめて変更できます 表示されるダイアログボックスで [ 変更済み ] を選択すると 新しい重大度レベルがシグニチャに適用され [ 既定 ] を選択すると シグニチャは既定の重大度レベルに戻ります [OK] をクリックして変更を保存します 重大度レベルの設定には 高 中 低 情報 および無効があります カスタムシグニチャの記述 Host Intrusion Prevention を使用すると 独自のシグニチャを作成および管理し それらのシグニチャを複数のポリシーで共有することができます カスタムシグニチャを作成すると 環境に対する柔軟性が拡張されるため 詳しい知識があるユーザのみにお勧めします 詳細については 172 ページの カスタムシグニチャの記述 を参照してください シグニチャを作成するには 次の 2 つの方法があります [ シグニチャ作成ウィザード ] - 最も簡単な作成方法ですが シグニチャが保護する操作を変更することはできません [ 標準モード ] - 詳細を指定する方法であり シグニチャが保護する操作を追加または削除できます ウィザードを使用したシグニチャの作成シグニチャを作成するのが初めての場合は シグニチャ作成ウィザードを使用することをお勧めします ウィザードには 2 つのダイアログボックスがあり シグニチャについて必要な情報を入力できますが シグニチャが保護する操作を変更 追加 または削除することはできないため 操作に関する指定はありません ウィザードを使用してシグニチャを作成するには 1 [ シグニチャ ] ツールバーで [ シグニチャ作成ウィザード ] をクリックします 2 [ シグニチャ作成ウィザード - 手順 1/2] ダイアログボックスで 名前と説明を入力し プラットフォームと重大度レベルを選択して [ 次へ ] をクリックします 50

51 IPS ポリシー IPS 規則のポリシーの詳細 4 図 4-7 シグニチャ作成ウィザード - 手順 1/2 3 [ シグニチャ作成ウィザード - 手順 2/2] ダイアログボックスで 変更されないように保護する項目を選択して 詳細を入力し [ 完了 ] をクリックします 図 4-8 シグニチャ作成ウィザード - 手順 2/2 新しいシグニチャがリストに表示され カスタムシグニチャのアイコンが表示されます 51

52 IPS ポリシー IPS 規則のポリシーの詳細 4 標準モードを使用したシグニチャの作成 この方法は 詳しい知識があるユーザのみが使用してください この方法を使用すると 変更 追加 削除の操作など シグニチャが保護する操作を選択できます 完全に新しい例外を作成するか 既存のカスタムシグニチャに基づいて作成するか または既存のカスタムシグニチャの複製に基づいて作成することができます 標準モードでシグニチャを作成するには 1 次のいずれかを行います [ シグニチャ ] タブで ショートカットメニューまたはツールバーの [ 作成 ] をクリックします 空白の [ 新しいカスタムシグニチャ ] ダイアログボックスが表示されます [ シグニチャ ] タブで カスタムシグニチャを選択し ショートカットメニューまたはツールバーの [ 複製 ] をクリックします 事前入力された [ カスタムシグニチャの複製 ] ダイアログボックスが表示されます 2 [ 全般 ] タブで 名前を入力し プラットフォーム 重大度レベル ログのステータス およびクライアント規則の作成を許可するかどうかを選択します 図 4-9 [ 新しいカスタムシグニチャ ] - [ 全般 ] タブ 3 [ 説明 ] タブで シグニチャの保護対象の説明を入力します この説明は シグニチャが呼び出されたときに [IPS イベント ] ダイアログボックスに表示されます 4 [ サブ規則 ] タブで [ 標準方法 ] または [ エキスパート向けの方法 ] のいずれかを選択して規則を作成します 52

53 IPS ポリシー IPS 規則のポリシーの詳細 4 図 4-10 [ 新しいカスタムシグニチャ ] -[ サブ規則 ] タブ. 標準方法の使用 標準方法では シグニチャの規則に設定できる種類の数が制限されます 1 [ 追加 ] をクリックします [ 新しい標準規則 ] ダイアログボックスが表示されます 2 [ 全般 ] タブで シグニチャの名前を入力し 種類を選択します 3 [ 操作 ] タブで 選択した規則を呼び出す操作を指定します 4 [ パラメータ ] タブで 規則に特定のパラメータを含めるか または規則から特定のパラメータを除外します 5 [ 規則の構文 ] タブで 作成しているシグニチャに対して生成された規則の構文を確認します 6 [OK] をクリックします 規則がコンパイルされ 構文が検証されます エラーが発生し 規則の検証が正常終了しなかった場合は エラー内容を示すダイアログボックスが表示されます エラーを修正して 規則を再度検証できます エキスパート向けの方法の使用エキスパート向けの方法は 詳しい知識のあるユーザのみが使用することをお勧めします この方法では シグニチャの規則に設定できる種類の数は制限されず 規則の構文を設定できます 規則を作成する前に 規則の構文をよく理解してください 172 ページの カスタムシグニチャの記述 を参照してください 1 [ カスタムシグニチャ ] ダイアログボックスの [ 規則 ] タブで [ エキスパート ] を選択します 2 [ 追加 ] をクリックします [ 新しいエキスパート規則 ] ダイアログボックスが表示されます 3 [ 全般 ] タブで [ 規則名 ] フィールドに規則の名前を入力し [ 注 ] フィールドに注記を入力します 4 [ 規則の構文 ] タブで 規則を入力します 規則は ANSI 形式の TCL 構文で書き込まれます 詳細については 172 ページの カスタムシグニチャの記述 を参照してください 5 [OK] をクリックします 規則がコンパイルされ 構文が検証されます エラーが発生し 規則 ( 複数可 ) の検証が正常終了しなかった場合は エラー内容を示すダイアログボックスが表示されます エラーを修正して 規則を再度検証できます 53

54 IPS ポリシー IPS 規則のポリシーの詳細 4 5 [ 適用 ] をクリックして新しい設定を適用し [OK] をクリックします íç 1 つのシグニチャに対して複数の規則を作成できます カスタムシグニチャの編集 カスタムシグニチャを編集して シグニチャに含まれる規則またはその他のデータを追加 削除 または変更できます カスタムシグニチャを編集するには 1 [ シグニチャ ] タブで 編集するカスタムシグニチャをダブルクリックします [ カスタムシグニチャのプロパティ ] ダイアログボックスが表示されます 2 必要に応じて各タブで変更を行います 詳細を参照する場合は ダイアログボックスで [ ヘルプ ] をクリックします 3 [OK] をクリックして変更を保存します カスタムシグニチャの削除 作成と編集だけでなく カスタムシグニチャを削除することもできます カスタムシグニチャを削除した場合 [IPS イベント ] タブで このシグニチャによって発生したすべての既存のイベントの名前にシグニチャ ID が付加されます カスタムシグニチャを削除するには 1 [ シグニチャ ] タブで 削除するカスタムシグニチャを選択し ショートカットメニューまたはツールバーの [ 削除 ] をクリックします 2 削除を確認するダイアログボックスが表示されるので [OK] をクリックします アプリケーション保護規則 アプリケーション保護規則は プロセスフックなどの互換性および安定性の問題の緩和に役立ちます 定義され生成されたプロセスリストに対するユーザレベルの API フックを許可またはブロックします カーネルレベルのファイルおよびレジストリフックには影響しません Host Intrusion Prevention では 許可またはブロックされたプロセスの静的リストを提供しています このリストはコンテンツのアップデートリリースで更新されます さらに プロセス解析が有効な場合 フックを許可されたプロセスを動的にリストに追加できます この解析は次の場合に毎回実行されます クライアントが起動して実行中のプロセスが列挙される場合 プロセスが開始される場合 epolicy Orchestrator サーバによりプロセスが監視しているリストがアップデートされる場合 ネットワークポートを待ち受けるプロセスのリストがアップデートされる場合 54

55 IPS ポリシー IPS 規則のポリシーの詳細 4 この解析では そのプロセスがブロックされたリストに含まれるかどうかを最初に確認します 含まれない場合は 許可されたリストを確認します 含まれない場合 プロセスがネットワークポートを待ち受けているか サービスとして実行されているかを解析により確認します それにも含まれない場合は ブロックされます ポートを待ち受けているかサービスとして実行されている場合は フックが許可されます 図 4-11 アプリケーション保護規則解析 IPS コンポーネントは 実行中のプロセスに情報キャッシュを保持しており フック情報を追跡します ファイアウォールコンポーネントは プロセスがネットワークポートを待ち受けているかどうか判断し IPS コンポーネントにエクスポートされた API を呼び出し 監視リストに追加される情報を API に渡します API が呼び出されると IPS コンポーネントは対応するエントリを実行中のプロセスリストで見つけます まだフックされておらず静的ブロックリストの一部にもなっていないプロセスは これでフックされます ファイアウォールから PID( プロセス ID) が出力され これがプロセスのキャッシュ検索のためのキーになります IPS コンポーネントにエクスポートされた API によっても 現在フックされているプロセスをクライアント UI で取得でき これはプロセスがフックまたはフックを解除されるたびにアップデートされます すでにフックされているプロセスは 今後フックできなくなることを指定したアップデートされたプロセスリストがコンソールから送信されると フックが解除されます プロセスフックリストがアップデートされると 実行中のプロセスの情報キャッシュにリストされたすべてのプロセスが アップデートされたリストと比較されます リストにより あるプロセスがフックされる必要があるのにフックされていないことがわかると そのプロセスはフックされます リストにより あるプロセスがフックされてはいけないのにフックされていることがわかると そのプロセスはフック解除されます 55

56 IPS ポリシー IPS 規則のポリシーの詳細 4 プロセスフックリストは [ アプリケーション保護規則 ] タブで表示 編集できます IPS 規則のポリシーとは異なり クライアントユーザインターフェイスには フックされたすべてのアプリケーションプロセスのリストが表示されます 図 4-12 [IPS 規則 ] - [ アプリケーション保護規則 ] アプリケーション保護規則を作成するには 1 次のいずれかを行います [ アプリケーション保護規則 ] タブで ツールバーまたはショートカットメニューの [ 作成 ] をクリックします [ 新しいアプリケーション保護規則 ] ダイアログボックスが表示されます [ アプリケーション保護規則 ] タブでアプリケーションを選択し ツールバーまたはショートカットメニューの [ 複製 ] をクリックします 事前入力された [IPS アプリケーション保護規則の複製 ] ダイアログボックスが表示されます 2 [ 全般 ] タブで 名前とステータス およびアプリケーションが監視されているかどうかを入力します 詳細については [ ヘルプ ] をクリックしてください 56

57 IPS ポリシー IPS 規則のポリシーの詳細 4. 図 4-13 [ 新しい信頼できるアプリケーション ] ダイアログボックス - [ 全般 ] タブ 3 [ プロセス ] タブで 規則を適用するプロセスを指示します 詳細については [ ヘルプ ] をクリックしてください. 図 4-14 [ 新しい信頼できるアプリケーション ] ダイアログボックス - [ プロセス ] タブ 4 [OK] をクリックします 57

58 IPS ポリシー IPS イベント 4 アプリケーション保護規則の編集 監視ステータスを監視から除外に またはその反対に変更して 既存のアプリケーション規則のプロパティを表示 編集できます アプリケーション規則のプロパティを編集するには 1 [ アプリケーション保護規則 ] タブでアプリケーションを選択し ツールバーまたはショートカットメニューの [ プロパティ ] をクリックするか または選択した信頼できるアプリケーションをダブルクリックします [ アプリケーション保護規則のプロパティ ] ダイアログボックスが表示されます 2 2 つのタブでデータを変更し [OK] をクリックします アプリケーション保護規則の有効化と無効化 使用していないアプリケーション規則を 削除せずに一時的に無効にしておき 後で有効にして使用することができます アプリケーション規則を無効または有効にするには 1 [ アプリケーション保護規則 ] タブで 無効にしたい有効な規則 または有効にしたい無効な規則を選択します 2 ツールバーまたはショートカットメニューで [ 無効にする ] または [ 有効にする ] をクリックします 操作に従い [ アプリケーション保護規則 ] タブのアプリケーションステータスが変化します アプリケーション保護規則の削除 アプリケーション保護規則を恒久的に削除するには [ アプリケーション保護規則 ] タブで選択してから ツールバーまたはショートカットメニューの [ 削除 ] をクリックします タブから規則が削除されます IPS イベント IPS イベントは シグニチャで定義されているセキュリティ違反が検出されたときに発生します たとえば Host Intrusion Prevention はアプリケーションの開始をその操作のシグニチャに対して比較しますが そこで攻撃が示される場合があります 一致が検出されると イベントが生成されます 一致しない場合は 多くはシグニチャに対する例外によるものか またはアプリケーションが信頼できるアプリケーションとして指定されている場合であり イベントは生成されません Host Intrusion Prevention が IPS イベントを認識すると [IPS イベント ] タブで 4 つの重大度レベルの基準 ([ 高 ] [ 中 ] [ 低 ] または [ 情報 ]) のいずれかによって そのイベントにフラグが設定されます íç 同じ操作によって 2 つのイベントが発生する場合 より高いレベルの処理が実行されます 58

59 IPS ポリシー IPS イベント 4 生成されたイベントのリストから 許可できるイベントと怪しいイベントを判断することができます イベントを許可するには システムを次のように設定します [ 例外 ] - シグニチャ規則に優先する規則 イベント固有の例外の作成については 116 ページの 信頼できるアプリケーションポリシーの作成と適用 を参照してください [ 信頼できるアプリケーション ] - シグニチャ規則によってブロックされる動作をする内部アプリケーションのうち 許可される内部アプリケーション イベント固有の信頼できるアプリケーションの作成については 116 ページの 信頼できるアプリケーションポリシーの作成と適用 を参照してください このような微調整を行うと 表示されるイベントを最小限に抑えることができるため 発生した重大なイベントの分析に より多くの時間をかけることができます イベントの表示 IPS イベントを解析するために Host Intrusion Prevention では イベントを 3 つの状態 ([ 未開封 ] [ 開封済み ] または [ 非表示 ]) のいずれかに設定でき これらのイベントを複数の画面の 1 つにフィルタすることができます IPS イベントを表示するには 1 コンソールツリーで IPS イベントを表示するノードを選択します 2 ポリシーのペインで IPS 機能上部の [IPS イベント ] クイックアクセスリンクをクリックするか または [IPS 管理 ] ウィンドウが開いている場合は [IPS イベント ] タブをクリックします 図 4-15 [IPS イベント ] タブ クライアントに関連する イベントビューの設定に従って抽出されたすべてのイベントを含むリストが表示されます 既定では すべてのイベントは表示されません イベントビューの設定に関する詳細については 60 ページの イベントビューの設定 を参照してください 59

60 IPS ポリシー IPS イベント 4 イベントビューの設定 既定では すべてのイベントは表示されません 既定では 過去 30 日間に発生したイベントのみが表示されます 特定の日数のイベントまたは特定の日時より前に発生したイベントを表示するように ビューを設定できます イベントビューを変更するには 1 [IPS イベント ] タブで ショートカットメニューまたはツールバーの [ イベントビューの設定 ] をクリックします [ イベントビューの設定 ] ダイアログボックスが表示されます 図 4-16 [ イベントビューの設定 ] ダイアログボックス 2 表示するイベントの日数を入力します 3 指定する日時より前に発生したイベントを表示するには [ 次の日付より前のイベント ] を選択して 日時を入力します 4 [OK] をクリックします イベントのフィルタ 表示するイベントを決定するには イベントの状態を選択します ショートカットメニューで 以下の中から適切なものを選択してください [ すべてのイベントを表示 ] - すべてのイベントが表示されます 開封済みイベントは標準の文字スタイル 未開封イベントは太字 非表示イベントは灰色で表示され 集約された非表示のイベントは薄い青で表示されます [ 開封済みイベントと未開封イベントを表示 ] - 開封済みイベントおよび未開封イベントがすべて表示されますが 非表示イベントは表示されません [ 未開封イベントを表示 ] - すべての未開封イベントが表示されます これらのイベントは太字で表示されます このビューには 開封済みイベントと非表示イベントは表示されません [ 開封済みイベントを表示 ] - すべての開封済みイベントが表示されます これらのイベントは標準の文字スタイルで表示されます このビューには 未開封イベントと非表示イベントは表示されません [ 非表示イベントを表示 ] - すべての非表示イベントが表示されます これらのイベントは灰色で表示されます 60

61 IPS ポリシー IPS イベント 4 イベントの状態の設定 イベントは 表示をフィルタしやすいように 次の 3 つの状態のいずれかに設定されます [ 未開封 ] - すべてのイベントの既定の設定 イベントが確認されていないことを示します これらのイベントは太字で表示されます [ 開封済み ] - イベントが確認され [ 開封済み ] が設定されています これらのイベントは標準の文字スタイルで表示されます [ 非表示 ] - 標準のイベントビューから削除されたイベントです これらのイベントは [ 開封済み ] または [ 未開封 ] が設定されない限り [ 非表示イベント ] または [ すべてのイベント ] のビュー画面にのみ 灰色で表示されます íç イベントに状態を設定する場合 それらのイベントの状態は 同じ管理サーバに接続しているすべてのユーザに対して設定されます イベントを開封済みに設定するには 1 [IPS イベント ] タブで 開封済みに設定するイベントを選択します 2 ショートカットメニューまたはツールバーの [ 開封済みに設定 ] ボタンをクリックします イベントの書式が太字から標準の文字スタイルに変更されます イベントを未開封に設定するには 1 [IPS イベント ] タブで 未開封に設定するイベントを選択します 2 ショートカットメニューまたはツールバーの [ 未開封に設定 ] をクリックします イベントの書式が標準の文字スタイルから太字に変更されます イベントを非表示にするには 1 [IPS イベント ] タブで 非表示にするイベントを選択します 2 ショートカットメニューまたはツールバーの [ 非表示 ( 非表示に設定 )] をクリックします 選択されたイベントが現在のビューから削除されます 3 非表示イベントを表示するには ショートカットメニューまたはツールバーの [ 非表示イベントを表示 ] をクリックします 非表示ビューからイベントを削除するには 1 ツールバーまたはショートカットメニューで [ 非表示イベントを表示 ] をクリックします 非表示イベントが表示されます 2 非表示ビューから削除するイベントを選択します 3 [ 開封済みに設定 ] または [ 未開封に設定 ] をクリックします 選択されたイベントが [ 非表示 ] 状態から削除されます 4 ショートカットメニューの [ 開封済みイベントと未開封イベントを表示 ] または [ すべてのイベントを表示 ] をクリックします 61

62 IPS ポリシー IPS イベント 4 類似イベントのマーク 大量の IPS イベントを表示できるようにするには 表示するイベントの数または表示方法を制限する必要があります これは特定のイベントを 1 つずつ開封済み 未開封 または非表示に設定することで実行できますが この作業は面倒なものです [ 類似イベントを開封 / 未開封 / 非表示に設定 ] オプションを使用すると 一連の条件に一致するすべての既存の類似イベントを 1 つの操作で設定できます ただし この操作を行った後に発生する新しいイベントは 自動的には設定されません 一致条件は イベントに関連する属性に基づいて設定します 一致条件には 次のいずれかまたはすべての条件が含まれます エージェント シグニチャ ユーザ プロセス 重大度レベル 類似イベントを設定するには 1 イベントを選択して ショートカットメニューまたはツールバーの [ 類似イベントをマーク ] をクリックします [ 類似イベントをマーク ] ダイアログボックスが表示されます 図 4-17 [ 類似イベントをマーク ] ダイアログボックス 2 [ イベントを次の種類に設定 ] リストで イベントの 3 つの状態 ([ 未開封 ] [ 開封済み ] または [ 非表示 ]) のいずれかを選択します 62

63 IPS ポリシー IPS イベント 4 3 イベントを設定する条件として使用する各属性の横のチェックボックスをオンにします チェックボックスの横にあるパラメータの値が自動的に選択されます 別のパラメータを選択する場合は [ 選択 ] をクリックします [ 選択リスト ] ダイアログボックスが表示されるので パラメータを選択して [OK] をクリックします 4 元のダイアログボックスに戻った後 [OK] をクリックします 選択した条件に一致するイベントが 選択した状態に変更されます íç 特定の条件を選択しないで [OK] をクリックすると すべてのイベントが影響を受けます イベントの詳細の表示 [IPS イベントのプロパティ ] ダイアログボックスに 選択したイベントの情報が表示されます 例外や信頼できるアプリケーションの作成 またはイベントに基づく既存の例外の検索が可能なため この情報の表示はシステムを微調整するのに役立ちます イベントの詳細を表示するには イベントをダブルクリック またはイベントを選択して ショートカットメニューまたはツールバーの [ プロパティ ] をクリックします [IPS イベントのプロパティ ] ダイアログボックスが表示されます このダイアログボックスには 4 つのタブ ([ 全般 ] [ 説明 ] [ 詳細 ] および [ サマリ ]) があります 詳細を参照する場合は ダイアログボックスで [ ヘルプ ] をクリックします 図 4-18 [IPS イベント ] ダイアログボックス - [ 全般 ] タブ 63

64 IPS ポリシー IPS イベント 4 イベントベースの例外と信頼できるアプリケーションの作成 特定の状況では 攻撃だと解釈される動作が 実際にはユーザの作業手順の正常な一部である場合があります このようなことが発生した場合 この動作に対して 例外規則を作成するかまたは信頼できるアプリケーションの規則を作成できます イベントベースの例外または信頼できるアプリケーションは イベントが再び発生しないようにそのイベントから直接作成するか または特定のイベントを参照せずに作成することができます 特定のイベントを参照せずに作成する方法については 44 ページの 例外規則 および 116 ページの 信頼できるアプリケーションポリシーの作成と適用 を参照してください イベントベースの例外または信頼できるアプリケーションを作成すると 誤検知が除去され 通知があった場合には確実に重要な情報として捉えることができます 例たとえば 検査のプロセス中 クライアントが電子メールアクセスについてのシグニチャを認識する可能性があります 特定の状況では このシグニチャによって発生したイベントがアラームの原因になります ハッカーによって 通常は電子メールアプリケーション用である TCP/IP ポート 25 を使用するトロイの木馬アプリケーションがインストールされた可能性があり この動作は TCP/IP ポート 25 の動作 (SMTP) シグニチャによって検出されます その一方で 正常な電子メールトラフィックも このシグニチャに一致します このシグニチャを確認した場合は イベントを開始したプロセスを調査してください Notepad.exe など プロセスが電子メールに正常に関連しているものでない場合 トロイの木馬が仕掛けられたと疑う正当な理由がある可能性があります イベントを開始したプロセスが通常どおり電子メール送信を担当しているのであれば (Eudora Netscape Outlook など ) そのイベントに対して例外を作成してください また たとえば 多数のクライアントが起動プログラムについてのシグニチャを呼び出しており それらのシグニチャが次のようなレジストリキーの値の変更または作成を示す可能性もあります HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce これらのキーに保存されている値は コンピュータの起動時に開始されるプログラムを示すため このシグニチャの認識は 誰かがシステムを改ざんしようとしていることを示している可能性があります 一方 従業員が RealAudio をコンピュータにインストールしているなど 害のない動作を示している可能性もあります RealAudio のインストールによって RealTray の値がレジストリキー Run に追加されます 承認されたソフトウェアをユーザがインストールするたびにイベントが発生するのを回避するには これらのイベントに対して例外を作成します クライアントは このような承認されたソフトウェアのインストールに対してイベントを生成しなくなります イベントベースの例外を作成するには 1 イベントを選択し ショートカットメニューまたはツールバーの [ 例外の作成 ] をクリックします 事前入力された [ 新しい例外 ] ダイアログボックスが表示されます 2 44 ページの 例外規則 の指示に従って 例外を作成します 64

65 IPS ポリシー IPS クライアントの規則 4 イベントベースの信頼できるアプリケーションを作成するには 1 イベントを選択し ショートカットメニューまたはツールバーの [ 信頼できるアプリケーションの作成 ] をクリックします 事前入力された [ 信頼できるアプリケーションの作成 ] ダイアログボックスが表示されます ページの 信頼できるアプリケーションポリシーの作成と適用 の指示に従って 信頼できるアプリケーションを作成します 関連する例外の検索 イベントは 誤検知つまり正当な操作が誤って侵入のように見える場合があります 誤検知は 例外を作成して将来的に同様のイベントをログに記録しないようにできますが 類似したイベントに対してすでに複数の例外を作成してある場合があります 新しい例外を作成する代わりに 既存の例外を編集して誤検知イベントに適用できます 例外を整理して数を少なくしておけば 管理も簡単になります [ 関連する例外の検索 ] 機能を使用すると イベントの 1 つまたは複数の属性と一致する既存の例外を検索できます たとえば イベントのシグニチャと一致する例外 プロセスと一致する例外 または両方と一致する例外を検索できます また イベントが発生したクライアントにすでに配布してある例外や イベントと関連付けられたユーザに適用されている可能性がある例外を検索することもできます 関連する例外を検索するには 1 関連する例外を検索する [IPS イベント ] タブにあるイベントを選択し ショートカットメニューまたはツールバーの [ 関連する例外の検索 ] をクリックします [IPS 例外規則の検索 ] 検索条件ダイアログボックスが表示され プロセス シグニチャ およびユーザ情報が事前入力されています 2 適用する各条件に対してチェックボックスを選択します [ 編集 ] をクリックすると 値を編集できます 3 [OK] をクリックします [IPS 例外の検索 ] タブに検索結果が表示されます この検索機能の詳細については 68 ページの IPS 例外規則の検索 を参照してください IPS クライアントの規則 クライアントが適応モードである場合 クライアントの例外規則が自動的に作成されます これにより 例外規則が作成されていないと管理者が指定したポリシーによってブロックされる操作が許可されます クライアント UI ポリシーオプションでクライアント規則の手動作成が有効になっている場合 クライアント規則は手動で作成することもできます 自動作成したクライアント規則と手動作成したクライアント規則の両方が [IPS クライアントの規則 ] タブに表示されます 代表となる 1 つのクライアントで生成されたクライアント例外規則の一部またはすべてを 特定の IPS 規則のポリシーの全般的 [ 例外規則 ] タブに昇格し 配布の調整を簡略化することができます 65

66 IPS ポリシー IPS クライアントの規則 4 通常ビュー クライアント例外規則は [ 通常ビュー ] および [ 集約ビュー ] に表示されます [ 通常ビュー ] では 規則のリストの並び替えとフィルタを行うことにより 特定の例外を検索して詳細を表示できます また クライアント規則は [IPS 規則 ] ポリシーのサーバ側の例外規則に移行できます 図 4-19 [IPS クライアントの規則 ] - [ 通常ビュー ] クライアント規則を IPS 規則のポリシーに移行するには 1 [ 通常ビュー ] タブでクライアント例外規則を選択して [ 例外規則の作成 ] をクリックします 2 クライアント規則を移行するポリシーを選択して [OK] をクリックします 3 事前入力された [ 例外規則 ] ダイアログボックスで 情報を確認または編集して [OK] をクリックします 新しい例外規則は 移行プロセスで選択した [IPS 規則 ] ポリシーの [ 例外規則 ] タブに表示されます 詳細については 44 ページの 例外規則 を参照してください 66

67 IPS ポリシー IPS クライアントの規則 4 集約ビュー [ 集約ビュー ] では シグニチャ ユーザ プロセス ステータス 処理 およびノードに基づいてクライアント規則の例外を集約して すべてのクライアントで作成された 類似した例外規則の回数を特定できます [IPS クライアントの規則 ] タブに表示される例外を管理するには [ 集約ビュー ] 機能を使用します このビューを使用すると 同じ属性を持つ複数の例外をまとめることにより 1 つの集約された例外だけを表示できるとともに 例外が発生した回数を管理できます ユーザは この情報を使用して配布を微調整することができ 必要に応じて クライアント例外規則の一部を管理者に委任された例外規則に転送して 特定のシステム環境に対する誤検知を抑えることができます 集約された例外は 青いテキストで表示され [ カウント ] 列に回数が表示されます 例外を集約するには 例外の表示中に集約条件を選択してください 図 4-20 [IPS クライアントの規則 ] - プロセスに基づく [ 集約ビュー ] クライアント規則を集約するには 1 [IPS クライアントの規則 ] タブの [ 集約ビュー ] タブをクリックします 2 [ クライアント規則の集約 ] ダイアログボックスで クライアント規則の例外を集約する条件を選択します [ シグニチャ ] [ ユーザ ] [ プロセス ] [ 有効 ] [ 処理 ] および [ ノード ] の各オプションがあります 3 [OK] をクリックします シグニチャのリストおよびそれぞれに対して作成された例外規則の数が表示されます 4 行を選択して [ 個々の規則の表示 ] をクリックすると 選択した行に関連する各例外規則の詳細が表示されます [ 通常ビュー ] タブに戻り 集約された各規則の詳細が表示されます 67

68 IPS ポリシー IPS 例外規則の検索 4 IPS 例外規則の検索 [IPS 例外規則の検索 ] タブで IPS 規則のポリシーの例外を検索できます この検索機能を使用すると シグニチャの規則に対して例外が必要であるかどうかを決定できます また 複製の例外規則を削除するか またはブロックされたプロセスを許可する信頼できるアプリケーションの作成を決定することによって 例外を管理できます 検索条件には イベントを発生させたプロセス イベントを発生させる原因となったシグニチャ 例外規則によって影響を受けたユーザが含まれます 検索に関連する例外規則が見つかると 例外規則全体の数を最小限に抑えるために このリストを管理するように促されます これを行うには 特定のプロセスまたはシグニチャに対してすでに作成されているために不要である規則を削除するか または 1 つの例外を複製および編集して複数の類似した例外と置き換えます また [IPS 例外規則の検索 ] を使用すると 例外を完全に削除する代わりに無効にしたり プロファイルに一致する例外を検索して他の IPS ポリシーにコピーしたりできます 例外を検索して例外のリストを管理するには 1 [IPS 例外規則の検索 ] タブで [ 検索 ] をクリックします [IPS 例外規則の検索 ] ダイアログボックスが表示されます 図 4-21 IPS 例外規則の検索 2 適切な条件を選択して 次のいずれかを行います すべてのプロセスに対して検索を行う場合は [ すべて ]( 既定 ) を選択します 特定のプロセスを指定する場合は [ 特定 ] を選択し [ 編集 ] をクリックします [ 特定の [ 条件 ] の検索 ] ダイアログボックスで 使用できるリストから 選択したリストに項目を移動し [OK] をクリックします 68

69 IPS ポリシー IPS 例外規則の検索 4 3 [OK] をクリックします 検索条件に一致する例外のリストが表示されます 図 4-22 [IPS 例外規則の検索 ] タブ íç 複数の条件を選択した場合 表示される結果は 選択した条件のいずれか 1 つ以上に一致したものであり すべての条件に一致したものではありません たとえば 2 つの特定のプロセスを選択した場合 表示される例外はいずれか一方または両方のプロセスに一致する例外であり 表示されないのは 両方のプロセスに一致しなかった例外のみです 4 リストから例外を選択し ショートカットメニューまたはツールバーのコマンドを使用して 有効 / 無効の切り替え 他のポリシーへの移動 複製して新しい例外の作成 または削除が行えます 詳細については 44 ページの 例外規則 を参照してください 69

70 5 ファイアウォールポリシー Host Intrusion Prevention のファイアウォール機能は すべてのネットワークトラフィックをフィルタして 正当なトラフィックはファイアウォールを通過させ その他はブロックすることで コンピュータを保護します これは ファイアウォール規則を適用することによって実行されます 現在のリリースでは 新たに追加されたステートフルフィルタ機能とステートフル検査機能でバージョン 6.1 クライアントを管理できます 従来の静的なファイアウォール規則 (HIP 6.0 規則 ) は バージョン 6.0 のクライアントにしか使用できません 静的な規則からステートフルな規則への移行の便宜を図るため ファイアウォール規則移行ユーティリティが用意されています この章では 次のトピックにより ファイアウォール機能について説明します 概要 ファイアウォールオプションのポリシーの設定 ファイアウォール規則ポリシーの設定 検疫オプションポリシーの設定 検疫規則のポリシーの設定 70

71 ファイアウォールポリシー概要 5 概要 Host Intrusion Prevention ファイアウォールは ネットワーク接続されたコンピュータを データ アプリケーション またはオペレーティングシステムを侵害する侵入から保護します ファイアウォールは ネットワークアーキテクチャの複数の層で動作することによってコンピュータを保護します 各層では 異なる条件を使用してネットワークトラフィックを制限します このネットワークアーキテクチャは 7 層の OSI (Open System Interconnection) モデル上に構築され 各層は特定のネットワークプロトコルを処理します 図 5-1 ネットワーク層とプロトコル HIP 6.0 規則 Host Intrusion Prevention 6.0 のファイアウォールは 基本的にネットワーク層 ( 第 3 層 ) とトランスポート層 ( 第 4 層 ) で動作し ネットワークパケットを送信先に転送します これらの層で ファイアウォールは静的なパケットフィルタ機能を使用してトップダウン方式で規則を照合します パケットが解析され IP アドレス ポート番号 パケットの種類などの条件でファイアウォール規則に一致すると パケットが許可またはブロックされます 一致する規則が見つからない場合は そのパケットは破棄されます 特に UDP プロトコルと ICMP プロトコルでは 双方向のファイアウォール規則が必要です 71

72 ファイアウォールポリシー概要 5 HIP 6.1 規則 Host Intrusion Prevention 6.1 のファイアウォールでは ステートフルパケットフィルタ機能とステートフルパケット検査機能の両方を備えたステートフルファイアウォールが導入されています ステートフルパケットフィルタ機能ステートフルパケットフィルタ機能は OSI ネットワークスタックのトランスポート層 ( 第 4 層 ) 以下の層で TCP/UDP/ICMP プロトコル情報をステートフルに追跡します 検査されたパケットが既存のファイアウォール規則と一致した場合 そのパケットは許可され 状態テーブルにエントリが作成されます 状態テーブルは 以前に静的な規則セットと一致した接続を動的に追跡し TCP/UDP/ICMP プロトコルの現在の接続状態を反映します 検査されたパケットが状態テーブルの既存のエントリと一致した場合 そのパケットはそれ以上の検査を行うことなく許可されます 接続が閉じるかタイムアウトになると 状態テーブルから対応するエントリが削除されます ステートフルパケット検査機能ステートフルパケット検査機能とは ネットワークスタックのアプリケーション層 ( 第 7 層 ) でコマンドにステートフルパケットフィルタを適用して追跡する処理です この組み合わせにより コンピュータの接続状態を強力に定義します アプリケーションレベルのコマンドにアクセスすることにより エラーなしで FTP DHCP および DNS プロトコルを検査し 保護することができます íç Host Intrusion Prevention 6.0 クライアントは Host Intrusion Prevention 6.1 のサーバやクライアントが混在する環境でも 静的なファイアウォールのみを使用します ステートフルなファイアウォールを使用するには クライアントをバージョン 6.0 から 6.1 にアップグレードする必要があります アップグレードを支援するため 既存の静的な規則をステートフルな規則に変換できるファイアウォール規則移行ユーティリティが用意されています 詳細については 81 ページの カスタム 6.0 ファイアウォール規則から 6.1 規則への移行 を参照してください 状態テーブル ステートフルなファイアウォール機能の 1 つに 許可規則によって作成されたアクティブな接続に関する情報を動的に保存する状態テーブルがあります このテーブル内の各エントリでは 次の情報に基づいて接続を定義します プロトコル : サービスが別のサービスと通信するためのあらかじめ定義された方式で TCP UDP ICMP プロトコルなどがあります ローカルおよびリモートコンピュータの IP アドレス : 各コンピュータには一意の IP アドレスが割り当てられています IP アドレスは 4 つのオクテットをドット区切りの 10 進表記 ( など ) で表した 32 ビット数値です ローカルおよびリモートコンピュータのポート番号 : コンピュータは指定された番号のポートを使用してサービスの送受信を行います たとえば 通常 HTTP サービスはポート 80 FTP サービスはポート 21 を使用します ポート番号の範囲は 0 ~ です プロセス ID (PID): 接続のトラフィックに関連付けられたプロセスの一意の識別子 タイムスタンプ : 接続に関連付けられたパケットを最後に送受信した時間 72

73 ファイアウォールポリシー概要 5 タイムアウト : ファイアウォールオプションポリシーで設定された制限時間 ( 秒 ) この時間を過ぎても接続と一致するパケットを受信しなかった場合 そのエントリはテーブルから削除されます TCP 接続のタイムアウトは 接続が確立されていない場合のみ適用されます 方向 : エントリが作成されたトラフィックの方向 ( 受信または送信 ) 接続の確立後 エントリが状態テーブル内の接続パラメータと一致すると 単方向の規則であっても双方向トラフィックが許可されます 状態テーブルの機能 ファイアウォール規則セットが変更されると 新しい規則セットによってすべてのアクティブな接続がチェックされます 一致する規則がない場合 接続エントリが状態テーブルから破棄されます アダプタに新しい IP アドレスが割る当てられると ファイアウォールは新しい IP 設定を認識し 状態テーブル内の無効なローカル IP アドレスのエントリをすべて破棄します プロセスが終了すると そのプロセスに関するすべてのエントリが状態テーブルから削除されます ファイアウォール規則のしくみ ファイアウォール規則では ネットワークトラフィックの処理方法を決定します 各規則には トラフィックが満たす必要がある一連の条件が定義されており それぞれにトラフィックを許可またはブロックするアクションが関連付けられています 規則の条件と一致するトラフィックが見つかると 関連付けられたアクションが実行されます 規則は優先順位に従って適用されます ファイアウォール規則リストの最上位にある規則が最初に適用されます íç ドメインベースの規則とワイヤレス規則では 優先順位の扱いが異なります リモートアドレスをドメイン名またはワイヤレス 接続として指定している規則は 規則リスト内の位置にかかわらず最初に適用されます トラフィックが規則の条件と一致すると Host Intrusion Prevention はトラフィックを許可またはブロックします 規則リストにあるその他の規則は適用しません トラフィックが最初の規則の条件と一致しない場合 Host Intrusion Prevention はリストにある次の規則を調べます このようにして トラフィックに一致する規則が見つかるまでファイアウォール規則リストを照合していきます 一致する規則がない場合 ファイアウォールは自動的にトラフィックをブロックします [ 学習モード ] が有効な場合は アクションの実行を促すメッセージを表示し [ 適応モード ] が有効な場合は トラフィックに許可規則を作成します トラフィックがリスト内の複数の規則に一致することもありますが その場合 優先順位により リストで最初に一致した規則のみが適用されます 73

74 ファイアウォールポリシー概要 5 ファイアウォール規則リストの順序付け ファイアウォール規則のポリシーを作成またはカスタマイズする場合 最も細かい規則をリストの最上位に置き 全般的な規則ほど下位に置きます これにより トラフィックが適切にフィルタされ 全般的な規則に阻まれて細かい規則が適用されないということがなくなります たとえば IP アドレス から届いた HTTP 要求だけは通過させ それ以外のすべての HTTP 要求をブロックするという場合 次の 2 つの規則を作成する必要があります 許可規則 :IP アドレス からの HTTP トラフィックを許可 これは 最も細かい規則です ブロック規則 :HTTP サービスを使用するすべてのトラフィックをブロック これは より全般的な規則です 細かい許可規則を 全般的なブロック規則よりもファイアウォール規則リストの上位に配置する必要があります これにより ファイアウォールがアドレス からの HTTP 要求を捕捉したときに 最初に一致するのが このトラフィックの通過を許可する規則ということになります 全般的なブロック規則を細かい許可規則より上位に置くと からの HTTP 要求は 例外的な通過規則を適用される前に ブロック規則の網にかかってしまいます そのため 実際にはこのアドレスからの HTTP 要求を許可したくても トラフィックはブロックされます ステートフルフィルタ機能のしくみ ステートフルフィルタ機能では 手動で設定するファイアウォール規則セットと 動的に管理されるファイアウォール規則セット ( すなわち状態テーブル ) という 2 つの規則セットでパケットを処理します 手動設定の規則には 次の 2 つのアクションを定義できます 許可 - パケットが許可され 状態テーブルにエントリが作成されます ブロック- パケットがブロックされ 状態テーブルにエントリが作成されません 状態テーブルのエントリはネットワーク処理に応じて処理され ネットワークスタックの状態が反映されます 状態テーブル内の各規則には 1 つのアクション ( 許可 ) しかないので 状態テーブル内の規則と一致するパケットはすべて自動的に許可されます フィルタプロセスには以下の手順が含まれます 1 ファイアウォールが 状態テーブル内のエントリと受信パケットを比較します パケットがテーブル内のエントリのいずれかと一致した場合 パケットはただちに許可されます 一致するエントリがなかった場合 手動設定のファイアウォール規則リストが参照されます íç プロトコル ローカルアドレス ローカルポート リモートアドレスおよびリモートポートが一致する場合 パケットが状態テーブルエントリと一致すると見なされます 2 パケットが許可規則と一致する場合 そのパケットは許可され 状態テーブルにエントリが作成されます 3 パケットがブロック規則と一致する場合 そのパケットはブロックされます 74

75 ファイアウォールポリシー概要 5 4 パケットが設定可能な規則のいずれとも一致しない場合 そのパケットはブロックされます 図 5-2 ステートフルフィルタプロセス ステートフルパケット検査機能のしくみ ステートフルパケット検査機能では ステートフルフィルタ機能をアプリケーションレベルのコマンドへのアクセスと組み合わせ FTP DHCP および DNS などのプロトコルを保護します FTP では コマンド用の制御接続と情報用のデータ接続という 2 つの接続を使用します クライアントが FTP サーバに接続すると制御チャネルが確立され FTP の送信先ポート 21 に到達すると 状態テーブルにエントリが作成されます ファイアウォールがポート 21 で開いている接続を検出すると [ ファイアウォールオプション ] ポリシーで FTP 検査のオプションが設定されている場合 FTP 制御チャネルを介して受信したパケットでステートフルパケット検査が実行されます 制御チャネルが開いている場合 クライアントは FTP サーバと通信しています ファイアウォールはその接続で送信されたパケットの PORT コマンドを解析し 状態テーブル内に 2 番目のエントリを作成してデータ接続を許可します FTP サーバがアクティブモードの場合はサーバがデータ接続を開き パッシブモードの場合はクライアントが接続を開始します サーバが最初のデータ転送コマンド (LIST) を受信すると クライアントに対するデータ接続を開いてデータを転送します 転送が完了すると データチャネルが閉じます 制御接続と 1 つ以上のデータ接続の組み合わせをセッションと呼びます FTP の動的な規則をセッション規則と呼ぶ場合もあります 制御チャネルエントリが状態テーブルから削除されるまで セッションは確立されたままです セッションの制御チャネルが削除された場合 テーブルの定期的なクリーンアップ時にデータ接続もすべて削除されます 75

76 ファイアウォールポリシー概要 5 ステートフルなプロトコル追跡 ステートフルファイアウォールによって監視される接続の種類と それらがどのように処理されるかを以下の表に示します プロトコル UDP ICMP TCP DNS 処理方法静的な規則と一致することが検出され 規則のアクションが許可の場合 UDP 接続が状態テーブルに追加されます ファイアウォールでは認識されないアプリケーションレベルのプロトコルを転送する汎用 UDP 接続は 接続のアイドル時間が指定されたタイムアウト時間を超えない限り状態テーブルに残ります メッセージの種類が ICMP Echo Request と ICMP Echo Reply の場合のみ追跡されます その他の ICMP 接続は 汎用 UDP 接続と同様に管理されます 注 : 信頼性が高いコネクション型の TCP プロトコルとは対照的に UDP と ICMP は信頼性の低いコネクションレス型のプロトコルです これらのプロトコルを保護するため ファイアウォールでは汎用 UDP および ICMP 接続を仮想接続と見なし 接続のアイドル時間がその接続で指定されたタイムアウト時間を超えない限り保持します 仮想接続のタイムアウトは [ ファイアウォールオプション ] ポリシーで設定されます TCP プロトコルは 3 ウェイハンドシェイク で動作します クライアントコンピュータが新しい接続を開始すると 新しい接続であることを示す SYN ビットが設定されたパケットを送信先に送信します 送信先は SYN-ACK ビットが設定されたパケットをクライアントに送信することによって応答します 次に クライアントが ACK ビットが設定されたパケットを送信することによって応答し ステートフル接続が確立されます 送信パケットはすべて許可されますが 受信パケットは確立された接続に含まれるもののみ許可されます ただし ファイアウォールが最初に TCP プロトコルを照会し 静的な規則と一致する既存のすべての接続を追加する場合は例外です 静的な規則と一致しない既存の接続はブロックされます [ ファイアウォールオプション ] ポリシーで設定された TCP 接続のタイムアウトは 接続が確立されていない場合のみ適用されます TCP 接続の 2 番目のタイムアウトまたは強制タイムアウトは 確立された TCP 接続にのみ適用されます このタイムアウトはレジストリ設定で制御され 既定値は 1 時間です 4 分ごとにファイアウォールが TCP スタックを照会し TCP によって報告されない接続は破棄されます 照会元のローカルポートに対してのみ DNS 応答を許可し UDP 仮想接続タイムアウト時間内に照会されたリモート IP アドレスからのみ DNS 応答を送信するように 照会と応答を照合します 以下の場合に受信 DNS 応答が許可されます 状態テーブルの接続が期限切れでない場合 応答が要求送信元と同じリモート IP アドレスおよびポートから送信された場合 76

77 ファイアウォールポリシー概要 5 プロトコル DHCP 処理方法 正当な照会についてのみパケットが返されるように 照会と応答を照合します これにより 次の場合に受信 DHCP 応答が許可されます 状態テーブルの接続が期限切れでない場合 応答トランザクション ID が要求のいずれかと一致する場合 FTP ファイアウォールは ポート 21 で開かれた TCP 接続でステートフルパケット検査を実行します 検査は このポートで開かれた制御チャネルの最初の接続でのみ行われます FTP 検査は 新しい情報を転送するパケットでのみ実行されます 再転送されたパケットは無視されます 方向 ( クライアント / サーバ ) とモード ( アクティブ / パッシブ ) に応じて動的な規則が作成されます - クライアント FTP アクティブモード : 受信ポートコマンドの解析後 ポートコマンドが RFC 959 に準拠している場合 ファイアウォールは動的な受信規則を作成します サーバがデータ接続を開始するか 規則が期限切れになると この規則は削除されます - サーバ FTP アクティブモード : 受信ポートコマンドの解析後 ファイアウォールは動的な送信規則を作成します - クライアント FTP パッシブモード :FTP クライアントからの PASV コマンドを以前に確認しており その PASV コマンドが RFC 959 に準拠している場合 FTP サーバによって送信された PASV コマンド応答を読み込むと ファイアウォールは動的な送信規則を作成します クライアントがデータ接続を開始するか 規則が期限切れになると この規則は削除されます - サーバ FTP パッシブモード : ファイアウォールは動的な受信規則を作成します ファイアウォール規則グループおよび接続別グループ 管理を容易にするため 規則をグループ化することができます 通常の規則グループの場合 その中で規則の扱いが変わることはなく 上位が下位に優先して適用されます Host Intrusion Prevention では 規則の扱いに影響する規則グループを定義することもできます このグループは接続別グループと呼ばれます 接続別グループ内の規則は 特定の条件が満たされた場合のみ処理されます 接続別グループでは 有線接続 無線接続 または特定パラメータによる不特定の接続を使用してネットワークに接続する場合のみ適用される規則を管理できます また これらのグループはネットワークアダプタを認識できるので 複数のネットワークアダプタを搭載したコンピュータでは 規則を特定のアダプタにのみ適用させることもできます ネットワークアダプタごとに 許可される接続のパラメータとして以下のいずれかまたはすべてを指定できます IP アドレス DNS サフィックス ゲートウェイ IP/MAC ペア DHCP IP/MAC ペア URL 解決のための照会先 DNS サーバ 使用する WINS サーバ 77

78 ファイアウォールポリシー概要 5 1 つの接続に適用される接続別グループが 2 つある場合は 通常の優先順位に基づいて 規則リストで適用可能な最初の接続別グループが使用されます 最初の接続別グループに一致する規則がない場合 規則処理を続行し 次のグループの規則と照合します 接続別グループのパラメータがアクティブな接続に一致する場合 その接続グループ内の規則が適用対象となります 接続グループ内の規則は 規則の集まりであることには変わりなく その中では通常の優先順位が使用されます 捕捉したトラフィックと一致しない規則は無視されます ネットワークアダプタで以下の条件がすべて満たされている場合 接続が許可されます 接続の種類が [LAN] の場合または 接続の種類が [ ワイヤレス (802.11)] の場合 または 接続の種類が [ 任意 ] で DNS サフィックスリストまたは IP アドレスリストが作成されている場合 [IP アドレスのリストを確認する ] が選択されており アダプタの IP アドレスがリストエントリのいずれかと一致する場合 [DNS サフィックスのリストを確認する ] が選択されており アダプタの DNS サフィックスがリストエントリのいずれかと一致する場合 (DNS 名の照合では大文字と小文字が区別されます ) [ デフォルトゲートウェイのリストを確認する ] が選択されており デフォルトアダプタのゲートウェイ IP/MAC ペアがリストエントリの少なくとも 1 つと一致する場合 [DHCP サーバのリストを確認する ] が選択されており アダプタの DHCP サーバ IP/MAC ペアがリストエントリの少なくとも 1 つと一致する場合注 :MAC アドレスはオプションであり 指定されている場合のみ使用されます [ プライマリ DNS サーバのリストを確認する ] が選択されており アダプタの DNS サーバの IP アドレスがリストエントリのいずれかと一致する場合 [ セカンダリ DNS サーバのリストを確認する ] が選択されており アダプタの DNS サーバの IP アドレスがリストエントリのいずれかと一致する場合 [ プライマリ WINS サーバのリストを確認する ] が選択されており アダプタのプライマリ WINS サーバの IP アドレスがリストエントリの少なくとも 1 つと一致する場合 [ セカンダリ WINS サーバのリストを確認する ] が選択されており アダプタのセカンダリ WINS サーバの IP アドレスがリストエントリの少なくとも 1 つと一致する場合 78

79 ファイアウォールポリシー概要 5 ファイアウォールの [ 学習モード ] および [ 適応モード ] ファイアウォール機能を有効にすると Host Intrusion Prevention はコンピュータが送受信するネットワークトラフィックを継続的に監視し ファイアウォール規則のポリシーに基づいて トラフィックを許可またはブロックします 既存の規則と一致しないトラフィックは ファイアウォールの [ 学習モード ] または [ 適応モード ] が有効でなければ 自動的にブロックされます [ 学習モード ] は 受信のみ 送信のみ または両方に対して有効にできます [ 学習モード ] で不明なネットワークトラフィックが捕捉されると [ 学習モード ] アラートが表示されます アラートダイアログボックスには 既存の規則と一致しないトラフィックを [ 許可 ] または [ ブロック ] するように促すメッセージが表示されます そして その一致しないトラフィックに対応する動的規則が自動的に作成されます [ 適応モード ] では Host Intrusion Prevention は自動的に許可規則を作成して 既存のブロック規則と一致しないすべてのトラフィックを許可し 一致しないトラフィックに対して自動的に動的許可規則を作成します セキュリティ上の理由で [ 学習モード ] でも [ 適応モード ] でも 受信する ICMP トラフィックに対して明示的に許可規則を作成している場合を除き 受信する ping はブロックされます また ホスト上で開いていないポートへの受信トラフィックは トラフィックに対して明示的に許可規則を作成している場合を除き ブロックされます たとえば ホストが telnet サービスを開始する前は ポート 23 (telnet) への受信 TCP トラフィックは このトラフィックをブロックする明示的な規則が存在しなくてもブロックされます 明示的な許可規則は 希望する任意のトラフィックに作成できます Host Intrusion Prevention は [ 学習モード ] または [ 適応モード ] により 作成したすべての規則を表示し これらの規則を保存して 管理規則に移行できるようにします ステートフルフィルタ機能 ステートフルファイアウォールで [ 適応モード ] または [ 学習モード ] が適用されている場合 フィルタ処理が少し異なり 受信パケットを処理する新しい規則を状況に応じて作成できます このフィルタ処理は以下のように実行されます 1 ファイアウォールが受信パケットを状態テーブル内のエントリと比較し 一致が検出されない場合 静的規則リストを調べます ここでも一致が検出されない場合 次に進みます 2 状態テーブルにエントリは作成されませんが TCP パケットの場合 保留リストに入れられます それ以外の場合 パケットは破棄されます 3 新しい規則が許可された場合 単方向の静的許可規則が作成されます TCP パケットの場合は 状態テーブルにエントリが作成されます 4 新しい規則が許可されない場合 そのパケットは破棄されます 79

80 ファイアウォールポリシー概要 5 検疫ポリシーと規則 長時間の不在の後でクライアントがネットワークに戻った場合 クライアントに最新のポリシー ソフトウェアアップデート および DAT ファイルのすべてが揃っていることを epolicy Orchestrator が確認するまで 検疫ポリシーによってクライアントはネットワークとの通信を制限されます íç Host Intrusion Prevention は epolicy Orchestrator が管理するすべてのアプリケーションに検疫規則を適用します epolicy Orchestrator を使用して VirusScan Enterprise を使用するクライアントを管理する場合 戻ってきたクライアントがアップデートタスクで最新の DAT ファイルが取得できないなど VirusScan Enterprise タスクの実行に失敗すると Host Intrusion Prevention はそのクライアントを検疫します 最新ではないポリシーやファイルは セキュリティホールの原因になり システムが攻撃にさらされる可能性があります epolicy Orchestrator がポリシーやファイルをアップデートするまでユーザを検疫することで 不要なセキュリティリスクを避けることができます たとえば 検疫ポリシーは 企業ネットワークから数日間離れたときに ポリシーやファイルが最新でなくなる可能性があるノートパソコンに役立ちます 検疫オプションポリシーを有効にすると epolicy Orchestrator と Host Intrusion Prevention の両方が関係します epolicy Orchestrator は ユーザが必要な最新情報をすべて持っているかどうかを検出します Host Intrusion Prevention は クライアントが必要なポリシーやファイルをすべて取得するまで 検疫を適用します íç ユーザが VPN ソフトウェアを使用してネットワークに接続する場合 VPN 経由で接続して認証を受けるために必要なトラフィックが検疫規則に許可されることを確認します 検疫オプションポリシーを設定する場合 検疫された IP アドレスおよびサブネットのリストを指定します これらのアドレスを割り当てられたユーザがネットワークに戻ると Host Intrusion Prevention によって検疫されます 検疫オプションポリシーがクライアントに適用されると Host Intrusion Prevention は epolicy Orchestrator エージェントを使用して クライアントに最新のポリシーおよびファイルがあるかどうかを判断します これには epolicy Orchestrator のタスクがすべて正しく実行されたかどうかのチェックが含まれます ユーザが最新の状態であれば Host Intrusion Prevention はただちにクライアントを検疫から解放します 1 つ以上の epolicy Orchestrator タスクが実行されていない場合 ユーザは最新の状態ではないため Host Intrusion Prevention は自動的に検疫を解除しません epolicy Orchestrator エージェントがポリシーおよびファイルをアップデートしている間 クライアントは数分間検疫される場合があります Host Intrusion Prevention は 検疫オプションポリシーの設定に従い 検疫を継続するか停止するかを決定します 検疫の適用を継続するように Host Intrusion Prevention を設定すると クライアントが検疫される時間が延長されます 検疫ポリシーにより Host Intrusion Prevention は 検疫されたクライアントが通信できる相手を限定する 厳密なファイアウォール検疫規則セットを適用します íç 検疫モードでは ファイアウォールが有効になっている必要があります [ 検疫モード ] が有効でも ファイアウォールが有効でなければ 検疫の効果は発揮されません 80

81 ファイアウォールポリシー概要 5 カスタム 6.0 ファイアウォール規則から 6.1 規則への移行 Host Intrusion Prevention ファイアウォール規則移行ユーティリティを使用して カスタム 6.0 のファイアウォール規則ポリシーを 対応するバージョン 6.1 のポリシーに移行します 移行されたポリシーは [ ファイアウォール規則 ] または [ 検疫規則 ] に表示され 名前の先頭に [Migrated] が追加されます また 対応する 6.0 ポリシーと同じクライアントに自動的に適用されます 次の 2 つの方法のいずれかによって 6.0 のファイアウォール規則を移行できます [ 変換 ] は ステートフルファイアウォール機能を利用できるように規則を変更します [ コピー ] は 規則を変更せずにコピーします どちらの方法を使用した場合も 移行されたファイアウォール規則ポリシーは 対応する 6.0 ポリシーと同じクライアントに自動的に適用されます íç バージョン 6.0 のクライアントでは [6.0 ファイアウォール規則 ] ポリシーと [6.0 検疫規則 ] ポリシーのみが認識され バージョン 6.1 のクライアントでは [ ファイアウォール規則 ] ポリシーと [ 検疫規則 ] ポリシーのみが認識されます 規則を移行するには 1 インストールされた McAfee epo フォルダにある移行ユーティリティのリンクをダブルクリックします (C:\Program Files\McAfee\ePO\3.6.x\Host IPS Firewall Rule Migrator) 2 epo グローバル管理者のユーザ名とパスワードを入力し [ ログイン ] をクリックします 3 移行方法を選択して ([ 変換 ] または [ コピー ]) [ 移行 ] をクリックします 4 移行が完了したら [ ファイアウォール規則 ] と [ 検疫規則 ] で新しいポリシーのリストを確認し 必要に応じて名前や割り当てを変更します 事前設定ファイアウォールポリシー Host Intrusion Prevention ファイアウォール機能には 次の 4 つのポリシーカテゴリがあります [ ファイアウォールオプション ]: ファイアウォール保護のオン / オフを切り替えます 事前設定ポリシーには [ オフ (McAfee 既定 )] [ オン ] [ 適応 学習 ] が含まれます [6.0 ファイアウォール規則 ](6.0 クライアントのみ ): ファイアウォールの規則を定義します 事前設定ポリシーには [ 最小 (McAfee 既定 )] [ 学習開始レベル ] [ クライアント - 高 ] [ クライアント - 中 ] [ サーバ - 高 ] [ サーバ - 中 ] が含まれます [ ファイアウォール規則 ](6.1 クライアントのみ ): ファイアウォールの規則を定義します 事前設定ポリシーには [ 最小 (McAfee 既定 )] [ 学習開始レベル ] [ クライアント - 高 ] [ クライアント - 中 ] [ サーバ - 高 ] [ サーバ - 中 ] が含まれます [ 検疫オプション ]: 検疫モードのオン / オフを切り替えます 事前設定ポリシーは [ 無効 (McAfee 既定 )] です [6.0 検疫規則 ](6.0 クライアントのみ ): 検疫中に適用するファイアウォールの規則を定義します この事前設定ポリシーが 既定のポリシー [(McAfee 既定 )] です [ 検疫規則 ](6.1 クライアントのみ ): 検疫中に適用するファイアウォールの規則を定義します この事前設定ポリシーが 既定のポリシー [(McAfee 既定 )] です 81

82 ファイアウォールポリシーファイアウォールオプションのポリシーの設定 5 クイックアクセス ファイアウォール機能には ファイアウォール規則とファイアウォールクライアントの規則を監視および管理するためのクイックアクセスへのリンク (*) があります 図 5-3 ファイアウォール機能 * ファイアウォールオプションのポリシーの設定 ファイアウォールオプションポリシーを使用すると ファイアウォールの有効 / 無効の切り替え およびクライアントへの [ 適応モード ] または [ 学習モード ] の適用ができます 設定済みの 4 種類のポリシーから選択するか または新しいポリシーを作成して適用できます ファイアウォールオプションポリシーを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ ポリシー ] タブで [Host Intrusion Prevention ファイアウォール ] 機能を展開します 3 [ ファイアウォールオプション ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 4 次のいずれかを行います 設定済みポリシーをリストから 1 つ選択して [ 適用 ] をクリックします オプション名設定の内容 [ オフ ](McAfee 既定 ) すべて無効にする [ オン ] [ ファイアウォールを有効にする ] [ 通常の保護を有効にする ] [ クライアント規則を保持する ] [ 適応 ] [ ファイアウォールを有効にする ] [ 適応モードを有効にする ] [ クライアント規則を保持する ] [ 学習 ] [ ファイアウォールを有効にする ] [ 学習モードを有効にする ] [ 受信 ] および [ 送信 ] [ クライアント規則を保持する ] 82

83 ファイアウォールポリシーファイアウォールオプションのポリシーの設定 5 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成できます 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 5 複製するポリシーを選択し 新しいポリシーに名前を入力して [OK] をクリックします [ ファイアウォールオプション ] ダイアログボックスが表示されます 図 5-4 ファイアウォールオプション 6 適切な設定を選択します 詳細については [ ヘルプ ] をクリックしてください 7 [ 適用 ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 8 [ 適用 ] をクリックします 83

84 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 ファイアウォール規則ポリシーの設定 ファイアウォール規則は システムの動作を決定し ネットワークトラフィックを傍受したときに トラフィックを許可またはブロックします 適切な設定の [ ファイアウォール規則 ] ポリシーを適用して ファイアウォール規則を作成および管理します [ ファイアウォール規則 ] ポリシーでは 次の機能が使用できます 新しいファイアウォール規則のポリシーの作成 ファイアウォール規則の表示および編集 新しいファイアウォール規則またはファイアウォールグループの作成 ファイアウォール規則またはグループの削除 ファイアウォールクライアントの規則の表示 新しいファイアウォール規則のポリシーの作成 ノード固有ではない新しいポリシーを追加するには [ ポリシーカタログ ] でポリシーを作成します 詳細については 124 ページの ポリシーカタログ を参照してください ノードに特有な新しいポリシーを追加するには このセクションの説明に従います ファイアウォール規則のポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ ポリシー ] タブで ファイアウォール機能を展開します 3 [ ファイアウォール規則 ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 4 次のいずれかを行います 設定済みポリシーをリストから 1 つ選択して [ 適用 ] をクリックします 84

85 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 ポリシーの選択 保護の内容 最小 ( 既定 ) 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック Host Intrusion Prevention は その他すべての ICMP トラフィックは許可します ユーザと同じサブネットにあるコンピュータからの Windows ファイル共有の要求は許可し それ以外のファイル共有の要求はブロック ( 信頼できるネットワークポリシーで [ ローカルサブネットを自動的に含める ] を選択しておく必要があります ) Windows ドメイン ワークグループ およびコンピュータの参照を許可 通信量の多い受信および送信 UDP トラフィックをすべて許可 BOOTP DNS および Net Time UDP ポートを使用するトラフィックを許可 学習開始レベル 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック Host Intrusion Prevention は その他すべての ICMP トラフィックは許可します ユーザと同じサブネットにあるコンピュータからの Windows ファイル共有の要求は許可し それ以外のファイル共有の要求はブロック ( 信頼できるネットワークポリシーで [ ローカルサブネットを自動的に含める ] を選択しておく必要があります ) Windows ドメイン ワークグループ およびコンピュータの参照を許可 BOOTP DNS および Net Time UDP ポートを使用するトラフィックを許可 クライアント - 中 IP ネットワーキング ( 送信 ping トレースルート および受信 ICMP メッセージを含む ) に必要な ICMP トラフィックのみ許可 Host Intrusion Prevention は その他すべての ICMP トラフィックをブロックします クライアント - 高 IP 情報 ( 自 IP アドレス ネットワーク時間など ) にアクセスする UDP トラフィックを許可 この保護レベルでは 上位 UDP ポート (1024 以上 ) のトラフィックも許可します Windows のファイル共有は ローカルサブネットのみで許可 ローカルサブネット外を参照することはできず この保護ブロックはユーザのサブネット外からコンピュータのファイルへのアクセスをブロックします ( 信頼できるネットワークポリシーで [ ローカルサブネットを自動的に含める ] を選択しておく必要があります ) 攻撃にさらされている場合 または攻撃される可能性が高い場合に この保護レベルを使用します この保護レベルでは システムから最小限の送受信しか許可しません 適切なネットワーキングに必要な ICMP トラフィックのみ許可 この保護ブロックは 送受信 ping ともにブロックします IP 情報 ( 自 IP アドレス ネットワーク時間など ) にアクセスする UDP トラフィックのみを許可 Windows ファイル共有をブロック 85

86 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 ポリシーの選択サーバ - 中 サーバ - 高 保護の内容 ネットワークサーバにはこの保護レベルを使用します サーバとクライアント間の通信を円滑にする ICMP トラフィックを許可 この保護ブロックは その他すべての ICMP トラフィックをブロックします IP 情報にアクセスするために必要な UDP トラフィックを許可 この保護では 上位 UDP ポート (1024 以上 ) のトラフィックも許可します インターネットに直接接続され 攻撃のリスクが高いサーバにこの保護レベルを使用します ユーザがカスタマイズした規則セットを作成する場合 この保護レベルを基準にしてください サーバとクライアント間の通信を円滑にする特定の ICMP トラフィックを許可 Host Intrusion Prevention は その他すべての ICMP トラフィックをブロックします IP 情報にアクセスするために必要な UDP トラフィックを許可 Host Intrusion Prevention は その他すべての UDP トラフィックをブロックします [ 新しいポリシー ] を選択して 新しいポリシーを作成します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます 図 5-5 [ 新しいポリシーの作成 ] ダイアログボックス 5 複製するポリシーを選択し 新しいポリシーに名前を入力して [OK] をクリックします [ ファイアウォール規則 ] ダイアログボックスが表示されると ポリシーリストペインで新しいポリシーが選択されています 図 5-6 [ ファイアウォール規則 ] タブ 86

87 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 6 次のいずれかを行います 規則またはグループを追加します (88 ページの 新しいファイアウォール規則またはファイアウォールグループの作成 を参照 ) 規則を編集します ( ファイアウォール規則の表示および編集を参照 ) 規則を削除します (91 ページの ファイアウォール規則またはグループの削除 を参照 ) 7 [ 閉じる ] をクリックします 新しいポリシーの名前がポリシーリストに表示されます 8 [ 適用 ] をクリックします íç [ ポリシーの追加 ] または [ ポリシーの複製 ] をクリックして [ ファイアウォール規則 ] ダイアログボックス内から新しいポリシーを作成することもできます ファイアウォール規則の表示および編集 規則の詳細を表示したり 規則を編集してオプションを変更することができます [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで規則を表示および編集できます ファイアウォール規則を表示および編集するには 1 [ ファイアウォール規則 ] タブで [ ポリシー ] リストにあるポリシーを選択して 詳細情報ペインで表示または編集する規則を選択します 2 ショートカットメニューまたはツールバーの [ プロパティ ] をクリックします [ ファイアウォール規則 ] ダイアログボックスが表示されます 3 この規則の設定を変更します 詳細については [ ヘルプ ] をクリックしてください 4 [OK] をクリックして変更を保存します 87

88 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 新しいファイアウォール規則またはファイアウォールグループの作成 新しい規則は 最初から作成することも 既存の規則を複製してそれを編集して作成することもできます また 規則セットのグループ 接続別グループを作成したり 定義済み規則を追加したりすることもできます [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで新しい規則およびグループを作成します ファイアウォール規則を作成するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで [ 追加 ] 次に [ 新しい規則 ] をクリックします [ ファイアウォール規則 ] ダイアログボックスが表示されます 図 5-7 [ 新しいファイアウォール規則 ] ダイアログボックス 2 適切な設定を選択します 3 [OK] をクリックします íç 定義済み規則や規則グループをポリシーに追加して規則を作成することもできます [ 追加 ] 次に [ 定義済み規則 ] をクリックします [ 定義済み規則の選択 ] ダイアログボックスで 追加するグループまたは個々の規則を選択して [OK] をクリックします 88

89 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 新しい規則グループを作成するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで [ 追加 ] 次に [ 新しいグループ ] をクリックします [ ファイアウォールグループ ] ダイアログボックスが表示されます 図 5-8 [ 新しいファイアウォール規則グループ ] ダイアログボックス 2 [ 名前 ] フィールドに このグループの名前を入力します 3 [OK] をクリックして グループを追加します これで このグループ内に新しい規則を作成 またはファイアウォール規則リストから既存の規則を移動することができます 接続別グループを作成するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで [ 追加 ] 次に [ 新しい接続別グループ ] をクリックします [ 新しい接続別グループ ] ダイアログボックスが表示されます 図 5-9 [ 新しい接続別グループ ] ダイアログボックス 2 [ 名前 ] フィールドに このグループの名前を入力します 3 [ 接続の種類 ] で このグループ内の規則を適用する接続の種類 ([LAN] [ ワイヤレス (802.11)] [ 任意 ]) を選択します 89

90 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 4 [ 接続情報 ] チェックボックスをオンにしてグループを定義し 対応する [ リストの編集 ] をクリックして 1 つ以上のアドレスまたは DNS サフィックスを追加します íç 接続の種類として [ 任意 ] を選択した場合 [IP アドレスのリストを確認する ] または [DNS サフィックスのリストを確認する ] のいずれかを選択し 対応するリストを編集する必要があります クライアントと同じサブネットにある DHCP サーバに対してのみ DHCP サーバの MAC アドレスを指定します リモート DHCP サーバは IP アドレスのみで識別します 5 [OK] をクリックします これで このグループ内に新しい規則を作成 またはファイアウォール規則リストから既存の規則を移動することができます ファイアウォール規則リストに 3 つの接続別グループすべてが同じアイコンで表示され 括弧内に接続の種類が示されます 接続別グループの詳細については 77 ページの ファイアウォール規則グループおよび接続別グループ を参照してください 定義済み規則を追加するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで [ 追加 ] 次に [ 定義済み規則 ] をクリックします [ 定義済み規則の選択 ] ダイアログボックスが表示されます 図 5-10 [ 定義済み規則の選択 ] ダイアログボックス 2 1 つ以上のグループまたはグループ内の規則を選択します 3 [OK] をクリックして 選択したグループおよび規則を追加します 90

91 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 ファイアウォール規則またはグループの削除 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで規則およびグループを削除します ファイアウォール規則またはグループを削除するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブを選択して 削除する規則またはグループを選択します 2 [ 削除 ] をクリックします 3 リストからすべての項目を削除するには [ はい ] をクリックします ファイアウォールクライアントの規則の表示 [ ファイアウォールクライアントの規則 ] タブには クライアントのシステムで作成したすべてのファイアウォール規則が表示されます [ 通常ビュー ] には複製を含むすべての規則が表示され [ 集約ビュー ] には 指定したものと同じ特性を持つグループの規則が表示されます すべてのファイアウォールクライアントの規則を表示するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォールクライアントの規則 ] タブを選択して [ 通常ビュー ] タブをクリックします 図 5-11 [ ファイアウォールクライアントの規則 ] - [ 通常ビュー ] 91

92 ファイアウォールポリシーファイアウォール規則ポリシーの設定 5 2 ビューを変更するには 次のいずれかを行います 目的 規則の詳細を表示 規則をポリシーに移動 規則のリストをスクロール 規則のリストをフィルタリング 操作 規則を選択して [ プロパティ ] をクリックします 規則を選択して [ ポリシーに追加 ] をクリックします ツールバーのナビゲーションボタンをクリックします [ フィルタの設定 ] をクリックします [ アプリケーションフィルタの設定 ] ダイアログボックスで 1 つまたは複数のチェックボックスを選択し 対応するフィールドに値を入力してフィルタを設定します 集約されたファイアウォールクライアントの規則を表示するには 1 [ ファイアウォール規則 ] ポリシーの [ ファイアウォールクライアントの規則 ] タブを選択して [ 集約ビュー ] タブをクリックします まだ表示されていない場合 [ 列の選択 ] をクリックして [ ファイアウォール規則の集約 ] ダイアログボックスを表示します 図 5-12 [ ファイアウォールクライアントの規則 ] - [ 集約ビュー ] 2 1 つまたは複数のチェックボックスをオンにして 表示するクライアント規則を集約する条件を決め [OK] をクリックします 集約したファイアウォール規則の詳細を表示するには [ 集約ビュー ] タブで 集約された規則を選択し [ 個々の規則の表示 ] をクリックします 集約された規則にある個々の規則がすべて [ 通常ビュー ] タブに表示されます 92

93 ファイアウォールポリシー検疫オプションポリシーの設定 5 検疫オプションポリシーの設定 検疫オプションポリシーでは 検疫モードの有効 / 無効の切り替え 検疫通知メッセージの作成 検疫ネットワークの定義 および失敗オプションの設定が可能です 検疫オプションポリシーを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 ファイアウォール機能を展開し [ 検疫オプション ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成できます 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 4 複製するポリシーを選択して 新しいポリシーの名前を入力し [OK] をクリックします [ 検疫オプション ] ダイアログボックスが表示されます 図 5-13 検疫オプション 5 適切な設定を選択します 6 [ 適用 ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 7 [ 適用 ] をクリックします 93

94 ファイアウォールポリシー検疫規則のポリシーの設定 5 検疫規則のポリシーの設定 [ 検疫規則 ] ポリシーは [ 検疫モード ] が有効な場合に適用されるファイアウォール規則の特殊なセットです 適切な設定の [ 検疫規則 ] ポリシーを適用して 検疫規則を作成および管理します íç ユーザが VPN ソフトウェアを使用してネットワークに接続する場合 VPN 経由で接続して認証を受けるために必要なトラフィックが検疫規則に許可されることを確認します 通常のファイアウォール機能を使用して [ 検疫モード ] に必要な VPN 関連規則を判断することができます ファイアウォールの [ 学習モード ] または [ 適応モード ] を有効にしてから VPN ソフトウェアを使用して接続します Host Intrusion Prevention は 自動的に該当する VPN 規則を生成します この規則は検疫規則に複製できます [ 検疫規則 ] ポリシーでは 次の機能が使用できます 新しい検疫規則のポリシーの作成 検疫規則の表示および編集 新しい検疫規則またはグループの作成 検疫規則またはグループの削除 新しい検疫規則のポリシーの作成 ノード固有ではない新しいポリシーを追加するには [ ポリシーカタログ ] でポリシーを作成します 詳細については 124 ページの ポリシーカタログ を参照してください ノードに特有な新しいポリシーを追加するには このセクションの説明に従います 検疫規則のポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 ファイアウォール機能を展開し [ 検疫規則 ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 次のいずれかを行います 設定済みポリシーをリストから 1 つ選択して [ 適用 ] をクリックします [ 新しいポリシー ] を選択して 新しいポリシーを作成します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます 4 複製するポリシーを選択し 新しいポリシーに名前を入力して [OK] をクリックします [ 検疫規則 ] ダイアログボックスが表示されると ポリシーリストペインで新しいポリシーが選択されています 94

95 ファイアウォールポリシー検疫規則のポリシーの設定 5 図 5-14 [ 検疫規則 ] ダイアログボックス 5 次のいずれかを行います 規則を追加します (96 ページの 新しい検疫規則またはグループの作成 を参照 ) 規則を編集します ( 検疫規則の表示および編集を参照 ) 規則を削除します (96 ページの 検疫規則またはグループの削除 を参照 ) 6 [ 閉じる ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 7 [ 適用 ] をクリックします íç [ ポリシーの追加 ] または [ ポリシーの複製 ] をクリックして [ 検疫規則 ] ダイアログボックス内から新しいポリシーを作成することもできます 検疫規則の表示および編集 規則の詳細を表示したり 規則のオプションを編集することができます [ 検疫規則 ] ダイアログボックスで規則を表示および編集します 検疫規則を表示および編集するには 1 [ ポリシー ] リストでポリシーを選択して 詳細情報ペインで表示または編集する規則を選択します 2 [ プロパティ ] をクリックします [ 検疫規則 ] ダイアログボックスが表示されます 3 この規則の設定を変更します 4 [OK] をクリックして変更を保存します 95

96 ファイアウォールポリシー検疫規則のポリシーの設定 5 新しい検疫規則またはグループの作成 新しい規則は 最初から作成することも 既存の規則を複製してそれを編集して作成することもできます また 規則セットのグループを作成したり 定義済み規則を追加したりすることもできます [ 検疫規則 ] ダイアログボックスで 新しい規則およびグループを作成します 検疫規則を作成するには 1 [ 検疫規則 ] ポリシーの [ 検疫規則 ] タブで [ 追加 ] 次に [ 新しい規則 ] をクリックします [ ファイアウォールの検疫規則 ] ダイアログボックスが表示されます 2 適切な設定を選択します 3 [OK] をクリックします íç 定義済み規則や規則グループをポリシーに追加して規則を作成することもできます [ 追加 ] 次に [ 定義済み規則 ] をクリックします [ 定義済み規則の選択 ] ダイアログボックスで 追加するグループまたは個々の規則を選択して [OK] をクリックします 新しい規則グループを作成するには 1 [ 検疫規則 ] ポリシーの [ 検疫規則 ] タブで [ 追加 ] 次に [ 新しいグループ ] をクリックします [ ファイアウォールの検疫規則グループ ] ダイアログボックスが表示されます 2 [ 名前 ] フィールドに このグループの名前を入力します 3 [OK] をクリックして グループを追加します これで このグループ内に新しい規則を作成 またはファイアウォールの検疫規則リストから既存の規則を移動することができます 定義済み規則を追加するには 1 [ 検疫規則 ] ポリシーの [ 検疫規則 ] タブで [ 追加 ] 次に [ 定義済み規則 ] をクリックします [ 定義済み規則の選択 ] ダイアログボックスが表示されます 2 1 つ以上のグループまたはグループ内の規則を選択します 3 [OK] をクリックして 選択したグループおよび規則を追加します 検疫規則またはグループの削除 [ 検疫規則 ] ダイアログボックスで 規則およびグループを削除します 検疫規則またはグループを削除するには 1 [ 検疫規則 ] ポリシーの [ 検疫規則 ] タブで 削除する規則またはグループを選択します 2 [ 削除 ] をクリックします 3 リストからすべての項目を削除するには [ はい ] をクリックします 96

97 6 アプリケーションブロックポリシー Host Intrusion Prevention のアプリケーションブロック機能は アプリケーション群を管理して 実行 ( アプリケーション作成 ) または他のアプリケーションとのバインド ( アプリケーションフック ) を許可することができます この章では アプリケーションブロック機能について 次のトピックを説明します 概要 アプリケーションブロックのオプションポリシーの設定 アプリケーションブロックの規則ポリシーの設定 概要 アプリケーションブロック機能では アプリケーションブロックの有効 / 無効の切り替え およびアプリケーションブロック規則の設定が行えます アプリケーションブロックでは アプリケーション作成のブロック アプリケーションフックのブロック または両方を設定できます また 手動 または [ 適応モード ] か [ 学習モード ] により クライアント上で作成されたアプリケーションブロックの規則を継続するかどうかも指示できます アプリケーション作成 特定のプログラム または未知のプログラムの実行を防止するには アプリケーション作成をブロックします たとえば トロイの木馬による攻撃は ユーザが知らない間にコンピュータ上で不正なアプリケーションを実行する場合があります アプリケーション作成をブロックすると 特定の正当なアプリケーションしか実行されなくなるため これらの攻撃が成功することを防止できます また自動の [ 適応モード ] または対話的な [ 学習モード ] をどちらか有効にして 許可するプリケーション群を動的に構築できます 97

98 アプリケーションブロックポリシー概要 6 アプリケーションフック アプリケーションフックをブロックすると 未知のアプリケーションが他のアプリケーションにバインドすることを防止します この種類のフックはカーネルレベルの API で発生し 正当なアプリケーションで必要な場合もありますが 攻撃を示す場合もあります たとえば 不正なアプリケーションが電子メールのアプリケーションにフックして 自分自身を電子メールで送信しようとするかもしれません アプリケーションフックをブロックすることでこれらの攻撃を防ぐことができ また特定のアプリケーションのみが他のプログラムにバインドできるように設定できます また自動の [ 適応モード ] または対話的な [ 学習モード ] をどちらか有効にして 他のアプリケーションにフックしようとしている未知のアプリケーションを処理することもできます アプリケーションブロックポリシーの事前設定 アプリケーションブロック機能には 次の 2 つのポリシーカテゴリがあります [ アプリケーションブロックのオプション ]: アプリケーション作成およびアプリケーションフックのブロックのオン / オフを切り替えます 事前設定ポリシーには [ オフ (McAfee 既定 )] [ オン ] [ 適応 学習 ] が含まれます [ アプリケーションブロックの規則 ]: アプリケーションブロックの設定を定義します 事前設定ポリシーが 既定 [(McAfee 既定 )] です クイックアクセス アプリケーションブロック機能には アプリケーションブロックの規則およびアプリケーションブロックのクライアントの規則を監視および管理するためのクイックアクセスへのリンク (*) があります 図 6-1 アプリケーションブロック機能 * 98

99 アプリケーションブロックポリシーアプリケーションブロックのオプションポリシーの設定 6 アプリケーションブロックのオプションポリシーの設定 アプリケーションブロックのオプションポリシーには 4 つの設定済みポリシーがあり その中から選択できます または 新しいポリシーを作成してそれを適用することもできます アプリケーションブロックのオプションポリシーを適用するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ アプリケーションブロック ] 機能を展開し [ アプリケーションブロックのオプション ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 次のいずれかを行います 設定済みポリシーをリストから 1 つ選択し [ 適用 ] をクリックします ポリシーの選択設定の内容 [ オフ ](McAfee 既定 ) すべての設定が無効になります [ オン ] アプリケーション作成のブロック 通常の保護 アプリケーションフックのブロック 通常の保護 [ 適応 ] アプリケーション作成のブロック [ 適応モード ] アプリケーションフックのブロック [ 適応モード ] [ 学習 ] アプリケーション作成のブロック [ 学習モード ] アプリケーションフックのブロック [ 学習モード ] [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成できます 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 4 複製するポリシーを選択し 新しいポリシーに名前を入力して [OK] をクリックします [ アプリケーションブロックのオプション ] ダイアログボックスが表示されます 99

100 アプリケーションブロックポリシーアプリケーションブロックのオプションポリシーの設定 6 図 6-2 アプリケーションブロックのオプション 5 適切な設定を選択します 6 [ 適用 ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 7 [ 適用 ] をクリックします 100

101 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 アプリケーションブロックの規則ポリシーの設定 規則に従い アプリケーションブロック機能がさまざまなアプリケーションを扱う方法を判断します [ アプリケーションブロックの規則 ] ポリシーに適切な設定を適用して 規則を作成し 管理します [ アプリケーションブロックの規則 ] ポリシーにより 次にアクセスできます 新しいアプリケーションブロックの規則ポリシーの作成 アプリケーションブロックの規則の表示と編集 新しいアプリケーションブロックの規則の作成 アプリケーションブロックの規則の削除 アプリケーションのクライアント規則の表示 新しいアプリケーションブロックの規則ポリシーの作成 ノードに特有ではない新しいポリシーを追加するには ポリシーをポリシーカタログに作成します 詳細については 122 ページの [ ポリシー ] タブ を参照してください ノードに特有な新しいポリシーを追加するには このセクションの説明に従います アプリケーションブロックの規則ポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ アプリケーションブロック ] 機能を展開し [ アプリケーションブロックの規則 ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます 図 6-3 [ 新しいポリシーの作成 ] ダイアログボックス 4 複製するポリシーを選択して 新しいポリシーの名前を入力し [OK] をクリックします ポリシーリストのペインで新しいポリシーが選択された状態で [ アプリケーションブロックの規則 ] ダイアログボックスが表示されます 101

102 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 図 6-4 [ アプリケーションブロックの規則 ] ダイアログボックス 5 次のいずれかを行います 規則を追加します (103 ページの 新しいアプリケーションブロックの規則の作成 を参照 ) 規則を編集します ( アプリケーションブロックの規則の表示と編集を参照 ) 規則を削除します (104 ページの アプリケーションブロックの規則の削除 を参照 ) 6 [ 閉じる ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 7 [ 適用 ] をクリックします íç [ アプリケーションブロックの規則 ] ダイアログボックスで [ ポリシーの追加 ] または [ ポリシーの複製 ] ボタンを使用して新しいポリシーを作成することもできます アプリケーションブロックの規則の表示と編集 規則の詳細を表示 または規則を編集して無効化 規則のカスタマイズ またアプリケーションオプションの変更ができます 規則の表示と編集は アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブで行います アプリケーションブロック規則を表示して編集するには 1 [ アプリケーションブロックの規則 ] タブで [ ポリシー ] リストにあるポリシーを選択して 詳細情報ペインで表示または編集する規則を選択します 2 [ プロパティ ] をクリックします [ アプリケーション規則 ] ダイアログボックスが表示されます 3 この規則の設定を変更します 各設定の詳細については 103 ページの 新しいアプリケーションブロックの規則の作成 を参照してください 4 [OK] をクリックして変更を保存します 102

103 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 新しいアプリケーションブロックの規則の作成 新しい規則は 最初から作成することも 既存の規則を複製してそれを編集して作成することもできます 新しい規則は [ アプリケーションブロックの規則 ] ダイアログボックスの [ アプリケーション規則 ] タブで作成します 新しいアプリケーションブロック規則を作成するには 1 アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブで [ 追加 ] をクリックします íç 既存の規則を選択して [ 複製 ] をクリックし その規則を編集して保存することで新しい規則を作成することもできます [ アプリケーション規則 ] ダイアログボックスが表示されます 図 6-5 [ アプリケーション規則 ] ダイアログボックス 2 この規則を適用するアプリケーションを [ アプリケーション ] リストから選択します このリストにアプリケーションが表示されない場合は [ 参照 ] をクリックしてアプリケーションの実行ファイルを選択します 3 [ カスタマイズ ] をクリックして 規則のアプリケーションを照合する方法を設定し 次のいずれかを選択します [ アプリケーションの指紋 ]: クライアントのアプリケーションがサーバで参照されるアプリケーションと同じバージョンの場合のみ 一致するサーバにあるアプリケーションのハッシュを計算します [ パスを最初に照合し 一致したら指紋を照合する ]: アプリケーションが最初に起動されるとき ユーザが指定したパスに基づいて照合されます これが一致したら クライアントで指紋が計算されます その後は アプリケーションの指紋のみに基づいて一致する規則が決まります [ 常にパスを照合し 指紋は照合しない ]: アプリケーションが最初に起動されるとき ユーザが指定したパスにのみ基づいて照合されます íç [ 参照 ] をクリックすると epo サーバ上のアプリケーションに移動できます ほとんどの場合 [ カスタマイズ ] をクリックし 適切なオプションを選択して クライアントシステムの正しいアプリケーションが適用されていることを確認します 4 [ アプリケーションオプション ] を選択します 103

104 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 オプション名 [ アプリケーション規則をアクティブにする ] [ アプリケーションの作成を許可する ] [ 他のアプリケーションをフックすることをアプリケーションに許可する ] 操作内容 この規則を有効にします アプリケーションの実行を許可します アプリケーションが他のアプリケーションにバインドすることを許可します 5 [OK] をクリックして 新しい規則を [ アプリケーション規則 ] リストに追加します アプリケーションブロックの規則の削除 規則の削除は アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブで行います アプリケーションブロックの規則を削除するには 1 アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブで 1 つまたは複数の削除する規則を選択します 2 [ 削除 ] をクリックします 3 [ 確認 ] ダイアログボックスで [ はい ] をクリックし リストから規則を削除します ÉqÉìÉg 規則を削除すると その規則は完全に失われます 規則を編集して [ アクティブ ] チェックボックスの選択を解除し 規則を無効にすることをお勧めします アプリケーションのクライアント規則の表示 [ アプリケーションブロックのクライアントの規則 ] タブには クライアントシステム上で作成されたすべての規則が表示され アプリケーションを許可またはブロックできます [ 通常ビュー ] では 複製を含むすべての規則を表示します [ 集約ビュー ] では 規則を類似した特性を持つグループにまとめて表示します アプリケーションのクライアント規則をすべて表示するには 1 アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブをクリックして [ 通常ビュー ] をクリックします 104

105 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 図 6-6 [ 通常ビュー ] タブ 2 ビューを変更するには 次のいずれかを行います 目的 規則の詳細を表示規則をポリシーに移動 規則のリストをスクロール 規則のリストをフィルタリング 操作 規則を選択して [ プロパティ ] をクリックします 規則を選択して [ ポリシーに追加 ] をクリックします ツールバーのナビゲーションボタンをクリックします [ フィルタの設定 ] をクリックします [ アプリケーションフィルタの設定 ] ダイアログボックスで 1 つまたは複数のチェックボックスを選択し 対応するフィールドに値を入力してフィルタを設定します 集約されたアプリケーションのクライアント規則を表示するには 1 アプリケーションブロックの規則ポリシーの [ アプリケーションブロックの規則 ] タブをクリックして [ 集約ビュー ] をクリックします 2 [ アプリケーション規則の集約 ] ダイアログボックスが表示されていない場合は [ 列の選択 ] をクリックして表示させます 105

106 アプリケーションブロックポリシーアプリケーションブロックの規則ポリシーの設定 6 図 6-7 [ 集約ビュー ] タブ 3 1 つ以上のオプションを選択して クライアント規則を集約する基準を決定し [OK] をクリックします 集約されたアプリケーションのクライアント規則の詳細を表示するには [ 集約ビュー ] タブで 集約規則を選択して ショートカットメニューまたはツールバーの [ 個々の規則の表示 ] をクリックします 集約された規則にある個々の規則がすべて [ 通常ビュー ] タブに表示されます 106

107 7 全般ポリシー Host Intrusion Prevention の全般機能により 1 つの機能に特定されない共通のポリシーにアクセスできます この章では 次のトピックにより 全般機能について説明します 概要 ポリシー実施の設定 クライアント UI ポリシーの設定 信頼できるネットワークポリシーの設定 信頼できるアプリケーションポリシーの設定 概要 全般ポリシーは IPS およびファイアウォール設定に適用され 個別の IPS ポリシーやファイアウォールポリシーに優先します [ ポリシー実施 ] ポリシーは Host Intrusion Prevention 管理ポリシーをクライアントに実施するかどうかを切り替える基本のスイッチです [ クライアント UI] ポリシーでは Host Intrusion Prevention クライアントが稼働するクライアントコンピュータで使用できるオプションを決定します これは クライアントアイコンをシステムトレイに表示するかどうか 侵入アラートの種類 クライアントインターフェイスにアクセスするパスワードなどです [ 信頼できるネットワーク ] ポリシーは 通信しても安全な IP アドレスおよびサブネットのリストです 信頼できるネットワークには サブネット 個々の IP アドレス または IP アドレスの範囲を指定できます 信頼できるネットワークに設定すると IPS 例外や追加のファイアウォール規則を作成する必要がなくなるか または必要が減少します [ 信頼できるアプリケーション規則 ] ポリシーは 安全で 既知の脆弱性がなく あらゆる操作の実行が許可されているアプリケーションのリストです 信頼できるアプリケーションに設定すると IPS 例外および追加のファイアウォール規則やアプリケーションブロックの規則を作成する必要がなくなるか または必要が減少します [IPS 規則 ] ポリシー (43 ページの IPS 規則のポリシーの設定 を参照してください ) 同様 このポリシーカテゴリにも複数のポリシーインスタンスを含めることができます 107

108 全般ポリシー概要 7 [ 信頼できるネットワーク ] ポリシーと [ 信頼できるアプリケーション ] ポリシーを設定すると 誤検知を削減または排除できるため 配布の調整に役立ちます 図 7-1 全般機能 事前設定全般ポリシー 全般機能には 次の 4 つのポリシーカテゴリがあります [ ポリシー実施 ]: 管理ポリシーの適用のオン / オフを切り替えます 事前設定ポリシーには [ 実施あり (McAfee 既定 )] [ 実施なし ] が含まれます [ クライアント UI]:Host Intrusion Prevention クライアントユーザインターフェイスへのアクセスを定義します 事前設定ポリシーは 既定のポリシー [(McAfee 既定 )] です [ 信頼できるネットワーク ]: 信頼できるネットワークを設定します 事前設定ポリシーは 既定のポリシー [(McAfee 既定 )] です [ 信頼できるアプリケーション ]: 信頼できるアプリケーションを定義します 事前設定ポリシーは 既定のポリシー [(McAfee 既定 )] です 108

109 全般ポリシーポリシー実施の設定 7 ポリシー実施の設定 このポリシーは ポリシー実施のオン / オフを切り替える基本のスイッチです このポリシーは削除も編集もできず 新しいポリシーを作成することもできません ポリシーの設定を変更するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ 全般 ] 機能を展開し [ ポリシー実施 ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 [ 実施なし ] または [ 実施あり ] を選択します 既定の [ 実施あり ] では 管理ポリシーのクライアントへの適用を許可します [ 実施なし ] では 管理ポリシーが適用されないようにします íç [ 実施なし ] を選択してもクライアントやそのホストに対する保護が無効になることはなく ただポリシーのアップデートがクライアントに適用できなくなります 図 7-2 ポリシー実施 4 [ 適用 ] をクリックします クライアント UI ポリシーの設定 [ クライアント UI] ポリシーは Host Intrusion Prevention で保護されている Windows クライアントコンピュータで使用可能なオプションを決定します アイコンの表示設定 侵入イベントの処理 管理者アクセスやクライアントユーザアクセスなどが含まれます このポリシーのオプションにより 次のような 3 種類の典型的ユーザの要望を満たすことができます 通常ユーザ Host Intrusion Prevention クライアントをデスクトップまたはラップトップにインストールしている 平均的なユーザです [ クライアント UI] ポリシーにより このユーザは次の操作を実行できます Host Intrusion Prevention クライアントアイコンをシステムトレイに表示して クライアントユーザインターフェイスを起動できます ポップアップ侵入アラートを受け取るか ポップアップの表示後 これを無効にできます IPS ファイアウォール およびアプリケーションブロックの規則を追加で作成できます 109

110 全般ポリシークライアント UI ポリシーの設定 7 切断ユーザおそらくラップトップを使用しており 一定期間 Host Intrusion Prevention に接続していないユーザです Host Intrusion Prevention に技術的な問題がある場合や または Host Intrusion Prevention と対話しない操作が必要な場合もあります [ クライアント UI] ポリシーにより このユーザは 特定のコンピュータ用の有効期限があるパスワードを取得して管理タスクを実行したり 保護機能のオン / オフを切り替えることができます 管理者ユーザすべてのコンピュータの IT 管理者で 管理者に委任されたあらゆるポリシーを変更し 特別な操作をクライアントコンピュータで行う必要があります [ クライアント UI] ポリシーにより このユーザは 無期限の管理者パスワードを取得して管理タスクを実行できます 切断ユーザと管理ユーザの両者が行う管理タスクには 次のようなものがあります IPS ファイアウォール アプリケーションブロックのオプションポリシーを有効または無効にします ある種の正当な動作がブロックされる場合 IPS ファイアウォール アプリケーションブロックの規則を追加します íç epolicy Orchestrator コンソールから管理ポリシーの変更を行っても パスワードの期限が切れるまでは実施されません この間に作成されたクライアント規則は 管理規則の許可があれば保持されます クライアント UI ポリシーの作成と適用 既定のクライアント UI の設定が希望に合わない場合 新しいポリシーを作成して適切なオプションを選択します その上でポリシーを 1 台のコンピュータまたはコンピュータのグループに適用できます [ クライアント UI] ポリシーを設定するには 1 新しいポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ 全般 ] 機能を展開し [ クライアント UI] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成します 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 4 複製するポリシーを選択して 新しいポリシーの名前を入力し [OK] をクリックします [ クライアント UI] ダイアログボックスが表示されます 110

111 全般ポリシークライアント UI ポリシーの設定 7 図 7-3 [ クライアント UI] - [ 表示オプション ] タブ 5 必要に応じて設定を変更します 詳細については [ ヘルプ ] をクリックしてください パスワードの詳細についてはパスワードの設定を トレイアイコンコントロールの詳細については 113 ページの トレイアイコンコントロール を参照してください 6 [OK] をクリックして変更を保存します クライアントインターフェイスによる操作の詳細については 137 ページの Host Intrusion Prevention クライアント を参照してください パスワードの設定 [ クライアント UI] ポリシーでは クライアント UI がクライアントコンピュータに表示された場合 そのロックを解除するために必要なパスワードを作成します このポリシーがクライアントに適用されると パスワードがアクティブになります 次の 2 種類のパスワードを使用できます 管理者パスワードは 管理者が設定し ポリシーがクライアントに適用されている限り有効です クライアント UI は 閉じるまでロックされたままです クライアント UI を再び開くには 管理者パスワードを再入力します 管理者パスワードを作成して適用するには ディレクトリツリーでサイト グループ またはコンピュータを選択します 有効期限のあるパスワードは 自動的に作成され 特定のコンピュータにのみ適用されて有効期限が設定されます クライアント UI は 有効期限のあるパスワードが有効である限り クライアント UI が閉じられた場合でもロックされたままです 有効期限のあるパスワードを作成して適用するには ディレクトリツリーでコンピュータを選択します 111

112 全般ポリシークライアント UI ポリシーの設定 7 íç クライアントがロックされているかどうかに関わらず ポリシーはクライアントが閉じられている場合のみクライアントに実施されます パスワードを利用して [ クライアント UI] のロックを解除する方法の詳細については 139 ページの ユーザインターフェイスのロックの解除 を参照してください 管理者パスワードを作成するには 1 [ クライアント UI] ポリシーで [ 詳細オプション ] タブをクリックします 図 7-4 [ クライアント UI] - [ 詳細オプション ] タブ 2 [ パスワード ] テキストボックスにパスワードを入力します パスワードは 10 文字以上にする必要があります 3 [ パスワードの確認入力 ] テキストボックスにパスワードを再入力します 4 [ 適用 ] をクリックします íç クライアント側で管理者パスワードを使用する場合は 必ず [ 管理者パスワード ] チェックボックスをオンにします 112

113 全般ポリシークライアント UI ポリシーの設定 7 有効期限のあるパスワードを作成するには 1 [ クライアント UI ポリシー ] ダイアログボックスで [ 詳細オプション ] タブをクリックし [ 有効期限のあるパスワードを計算する ] をクリックします [ 有効期限のあるパスワード ] ダイアログボックスが表示されます 図 7-5 [ 有効期限のあるパスワード ] ダイアログボックス 2 パスワードの有効期限が切れる日付と時刻を入力し [ パスワードの計算 ] をクリックします [ パスワード ] テキストボックスに暗号化されたパスワードが表示されます トレイアイコンコントロール ブロックされている正当なアプリケーションやネットワークサイトにアクセスする Host Intrusion Prevention 機能を 一部のユーザで一時的にオフにする必要がある場合などに Host Intrusion Prevention のトレイアイコンを使用して パスワードが必要なクライアント UI を開かずに機能を無効にすることができます トレイアイコンメニューの使用方法の詳細については 138 ページの システムトレイのアイコン を参照してください Windows UI のトレイアイコンコントロールを有効にするには 1 [ 表示オプション ] タブの [ トレイアイコンを表示する ] を選択します 2 [ 詳細オプション ] タブの [ トレイアイコンからの機能の無効化を許可する ] を選択し いずれかまたはすべての機能を選択して無効にします ポリシーがクライアントに適用されると Host Intrusion Prevention アイコンがシステムトレイに表示され メニューが拡張されてオプションの無効化および復元機能が追加されます 無効化された機能は メニューコマンドによって復元されるか 機能を有効にするように設定された新しいポリシーがクライアントに適用されるまで無効のままです íç 以下の点に注意してください ISP を無効にすると ホスト IPS とネットワーク IPS の保護が両方とも無効になります アプリケーションブロックを無効にすると アプリケーション作成のブロックとアプリケーションフックのブロックの保護が両方とも無効になります クライアント UI が開いている場合 メニューコマンドは無効です 113

114 全般ポリシー信頼できるネットワークポリシーの設定 7 信頼できるネットワークポリシーの設定 [ 信頼できるネットワーク ] ポリシーにより ユーザが信頼できると判断したネットワークアドレスおよびサブネットのリストを保持できます [ 信頼できるネットワーク ] ポリシーでは 次の操作を実行できます 信頼できるネットワークのオプションを設定します 信頼できるネットワークリストで アドレスまたはサブネットを追加または削除します íç 1 つの信頼できるネットワークが ネットワーク IPS に対して特定の IPS アドレスを信頼し 別の信頼できるネットワークが ファイアウォール規則などのネットワーク IPS に対する同じ IPS アドレスを信頼しない場合 最初にリストされたエントリが優先します 信頼できるネットワークのオプションを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソールツリーで選択します 2 [ 全般 ] 機能を展開し [ 信頼できるネットワーク ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 3 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます íç 事前設定ポリシーの詳細を表示するには ポリシーのダイアログボックスの最下部にある [ 複製 ] をクリックして 新しい複製ポリシーを作成します 新しいポリシーの名前を入力し ポリシーを直ちに現在のノードに割り当てるかどうかを指定します 4 複製するポリシーを選択し 新しいポリシーに名前を入力して [OK] をクリックします [ 信頼できるネットワーク ] ダイアログボックスが表示されます 114

115 全般ポリシー信頼できるネットワークポリシーの設定 7 図 7-6 信頼できるネットワーク 5 次のいずれかを行います オプション名 6 [ 適用 ] をクリックしてダイアログボックスを閉じます 新しいポリシーの名前がポリシーリストに表示されます 7 [ 適用 ] をクリックします 操作内容 [ 追加 ] 信頼できるネットワークアドレスをリストに追加します アドレスの種類 ( 単一 範囲 サブネット ) を選択してから 適切なアドレスを入力し ネットワーク IPS で信頼できると設定するかどうかを選択します [ 編集 ] 選択した信頼できるネットワークアドレスのデータを変更します [ 削除 ] 選択した信頼できるネットワークアドレスを削除します [ ローカルサブネットを自動的に含める ] [ ローカルサブネットを自動的に含めない ] 同じサブネット上にあるユーザであれば リストに入っていなくても 自動的に信頼できるものとして扱います 同じ信頼できるサブネット上にあるユーザも リストにあるユーザ以外は 信頼できるものとして扱いません 115

116 全般ポリシー信頼できるアプリケーションポリシーの設定 7 信頼できるアプリケーションポリシーの設定 [ 信頼できるアプリケーション ] ポリシーでは 信頼できるアプリケーションのリストを作成できます これらのアプリケーションのリストが設定された プロファイルに基づくポリシーを 1 つ以上実施すると ほとんどの誤検知を削減または排除できます 信頼できるアプリケーションポリシーの作成と適用 信頼できるアプリケーションを定義する [ 信頼できるアプリケーション ] ポリシーを作成して適用します 最初から新しいポリシーを作成することも 既存のポリシーに基づいて作成することもできます 新しいポリシーを作成するには 1 [ 全般 ] 機能を展開し [ アプリケーション規則 ] ラインで [ 編集 ] をクリックします ポリシー名のリストがアクティブになります 2 [ 新しいポリシー ] を選択します [ 新しいポリシーの作成 ] ダイアログボックスが表示されます 3 複製するポリシーを選択して 新しいポリシーの名前を入力し [OK] をクリックします [ 信頼できるアプリケーション ] タブが表示されます 図 7-7 [ 信頼できるアプリケーション ] タブ 4 必要に応じて設定を変更します 詳細については [ ヘルプ ] をクリックしてください 5 [ 閉じる ] をクリックして変更を保存します 116

117 全般ポリシー信頼できるアプリケーションポリシーの設定 7 信頼できるアプリケーションの作成 配布の調整では 誤検知を減らすための 1 つの方法として IPS 例外の規則を作成できます 数千ものクライアントに対応する場合や 時間やリソースが限られている場合 この方法は必ずしも現実的ではありません より良い解決方法は 信頼できるアプリケーションのリストを作成することです 信頼できるアプリケーションとは 特定の環境下で安全であるとわかっているアプリケーションです たとえば バックアップアプリケーションの実行時には頻繁に誤検知が発生する可能性があります これを避けるには バックアップアプリケーションを信頼できるアプリケーションに設定します íç 信頼できるアプリケーションは バッファオーバフローや不正な使用といった一般的な問題に対する脆弱性があります このため 信頼できるアプリケーションであっても監視を続け 不当な使用を防止するためのイベントを起動することができます 信頼できるアプリケーションを作成するには 1 [ 信頼できるアプリケーション ] タブで 次のいずれかを行います ショートカットメニューまたはツールバーの [ 作成 ] をクリックします [ 新しい信頼できるアプリケーション ] ダイアログボックスが表示されます リストでアプリケーションを選択し ツールバーまたはショートカットメニューの [ 複製 ] をクリックします 入力済みの [ 信頼できるアプリケーションの複製 ] ダイアログボックスが表示されます íç イベントに基づいて信頼できるアプリケーションを作成することもできます 詳細については 64 ページの イベントベースの例外と信頼できるアプリケーションの作成 を参照してください 2 [ 全般 ] タブで 名前 ステータスと IPS ファイアウォール アプリケーションのフックでアプリケーションが信頼できるかどうかを入力します 詳細については [ ヘルプ ] をクリックしてください 図 7-8 [ 新しい信頼できるアプリケーション ] ダイアログボックス - [ 全般 ] タブ 117

118 全般ポリシー信頼できるアプリケーションポリシーの設定 7 3 [ プロセス ] タブで 信頼できるアプリケーションを適用するプロセスを選択します 詳細については [ ヘルプ ] をクリックしてください 図 7-9 [ 新しい信頼できるアプリケーション ] ダイアログボックス - [ プロセス ] タブ 4 [OK] をクリックします 信頼できるアプリケーションの編集 既存の信頼できるアプリケーションのプロパティを表示および編集できます 信頼できるアプリケーションのプロパティを編集するには 1 [ 信頼できるアプリケーション ] タブで 信頼できるアプリケーションをダブルクリックします [ 信頼できるアプリケーションのプロパティ ] ダイアログボックスが表示されます 2 [ 全般 ] タブおよび [ プロセス ] タブで 修正するデータがあれば修正し [OK] をクリックします 信頼できるアプリケーションの有効化と無効化 使用していない信頼できるアプリケーションは 削除せずに一時的に無効にして 後で有効にすることができます 信頼できるアプリケーションを有効または無効にするには 1 [ 信頼できるアプリケーション ] タブで 無効または有効にする信頼できるアプリケーションを選択します 2 ツールバーまたはショートカットメニューで [ 無効にする ] または [ 有効にする ] をクリックします 操作により [ 信頼できるアプリケーション ] タブのアプリケーションステータスが変化します 118

119 全般ポリシー信頼できるアプリケーションポリシーの設定 7 信頼できるアプリケーションの削除 信頼できるアプリケーションを恒久的に削除するには [ 信頼できるアプリケーション ] タブでアプリケーションを選択してから ツールバーまたはショートカットメニューの [ 削除 ] をクリックします 119

120 8 メンテナンス この章では 配布した Host Intrusion Prevention のメンテナンスと微調整に必要な作業を 次のトピックにより説明します 配布の微調整 ポリシーのメンテナンスとタスク サーバタスクの実行 イベントの通知機能の設定 レポートの実行 アップデート 配布の微調整 既定の設定でクライアントを配布したら セキュリティを微調整して強化し 最適な保護を得ることができます 配布の微調整には 次の内容が含まれます IPS イベントの分析 例外規則と信頼できるアプリケーション規則の作成 クライアント例外規則の作成 新しいポリシーの作成と適用 IPS イベントの分析 IPS イベントは シグニチャで定義されているセキュリティ違反が検出されたときに発生します イベントは [IPS イベント ] タブに重大度レベル ( 高 中 低 または情報 ) とともに表示され 重大度が処理に割り当てられます íç 1 つの操作で 2 つのイベントが発生する場合は より強力な処理を持つイベントが適用されます 120

121 メンテナンス配布の微調整 8 生成されたイベントのリストから リスクがないことを示すイベントと怪しい動作を示すイベントを判断します イベントを許可するには システムを次のように設定します [ 例外 ] - シグニチャ規則に優先する許可規則またはブロック規則 [ 信頼できるアプリケーション ] - シグニチャ規則によってブロックされる動作をする内部アプリケーションのうち 許可される内部アプリケーション この微調整により 誤検知を最小限に抑えることができるので 重大なイベントの分析により多くの時間を割くことができます 詳細については 58 ページの IPS イベント を参照してください 例外規則と信頼できるアプリケーション規則の作成 IPS イベントのリストを分析した後 それぞれの誤検知イベントに対する例外規則または信頼できるアプリケーション規則をユーザプロファイルごとに作成します こうすることでイベントのリストを最小限に抑えられ 悪意ある攻撃をよく理解できるようになり そうした攻撃に対してシステムを確実に保護することができます [IPS イベント ] タブから 特定のイベントに基づいて例外規則や信頼できるアプリケーション規則を作成できます 詳細については 64 ページの イベントベースの例外と信頼できるアプリケーションの作成 を参照してください クライアント例外規則の作成 例外規則を作成する簡単な方法は クライアントを適応モードに配置し そのクライアントが自動的に悪意のない動作を許可するクライアント例外規則を作成することを許可します すべてのクライアント規則は [IPS 規則 ] ポリシーの [ クライアント規則 ] タブに表示されます [ ファイアウォール規則 ] ポリシーと [ アプリケーションブロックの規則 ] ポリシーには [ 適応モード ] または [ 学習モード ] により作成されたクライアント規則が表示されます 最も頻繁に生成される規則を取得するには 類似した規則をグループ化する クライアント規則の集約ビューを使用します その後 取得した規則を管理者ポリシーに移動できます クライアント規則の作成に関する詳細については 次の項目を参照してください 65 ページの IPS クライアントの規則 84 ページの ファイアウォール規則ポリシーの設定 101 ページの アプリケーションブロックの規則ポリシーの設定 新しいポリシーの作成と適用 新しい例外規則と信頼できるアプリケーションを作成した後 それらの規則を適切な場所で既存のポリシーに追加します 例外と信頼できるアプリケーションの作成を必要としたポリシーに基づいて 新しい IPS および信頼できるアプリケーションポリシーを作成することもできます 新しいポリシーの作成と適用に関する詳細については 次の項目を参照してください 43 ページの IPS 規則のポリシーの設定 84 ページの ファイアウォール規則ポリシーの設定 101 ページの アプリケーションブロックの規則ポリシーの設定 121

122 メンテナンスポリシーのメンテナンスとタスク 8 ポリシーのメンテナンスとタスク epolicy Orchestrator では Host Intrusion Prevention のポリシーとタスクを表示して管理するためにコンソールツリー上に次の 2 つの場所を用意しています コンソールツリーで選択したノードの [ ポリシー ] タブ ポリシーカタログページ [ ポリシー ] タブ [ ポリシー ] タブを使用して 選択したノードに関連するポリシー情報の表示 変更 または作成を行います 詳細については 次の項目を参照してください 35 ページの IPS ポリシー 70 ページの ファイアウォールポリシー 97 ページの アプリケーションブロックポリシー 107 ページの 全般ポリシー ポリシーの継承と割り当て [ ポリシー ] タブでは ポリシーの継承のロックとロック解除 壊れた継承の表示とリセット およびノードからノードへのポリシーの割り当てのコピーが行えます カスタムポリシーの割り当てをロックするには 1 コンソールツリーでグループまたはコンピュータを選択し [ ポリシー ] タブをクリックします 2 Host Intrusion Prevention 機能を展開し ノードに割り当てられたポリシーを表示します 3 カスタムポリシーの [ 編集 ] をクリックします 4 [ ロック ] を選択し [ 適用 ] をクリックします íç 名前付きポリシーをロックできるのは管理者のみです 特定のノードの下の壊れた継承を表示してリセットするには 1 コンソールツリーでグループまたはコンピュータを選択し [ ポリシー ] タブをクリックします 2 Host Intrusion Prevention 機能を展開し ノードに割り当てられたポリシーを表示します 図 8-1 ポリシーの継承 122

123 メンテナンスポリシーのメンテナンスとタスク 8 [ 継承先 ] の下の数字は このポリシーの継承が壊れている先のノード数です íç これはポリシーが壊れているノード数であって ポリシーを継承していないシステム数ではありません たとえば 特定の 1 グループノードのみがポリシーを継承していない場合は グループ内のシステム数にかかわらず 1 は継承していません と表示されます 3 継承していない子ノードの数を示している 青いテキストをクリックします [ 壊れた継承の表示 ] ページが表示され ノード名がリストされます 図 8-2 [ 壊れた継承の表示 ] ページ 4 これらの任意のノードの継承をリセットするには そのノード名の横のチェックボックスを選択してから [ 継承のリセット ] をクリックします ノードのポリシーの割り当てをコピーして貼り付けるには 1 コンソールツリーで ポリシーの割り当てのコピー元にするグループまたはコンピュータを選択し [ ポリシー ] タブをクリックします 2 [ ポリシー割り当てのコピー ] をクリックします 3 ポリシーの割り当てをコピーする対象の機能を選択し [OK] をクリックします 4 コンソールツリーでグループまたはコンピュータを選択し [ ポリシー割り当ての貼り付け ] をクリックします 5 [OK] をクリックし 割り当ての上書きを確認します 123

124 メンテナンスポリシーのメンテナンスとタスク 8 ポリシーカタログ コンソールツリーの [ ポリシーカタログ ] ノードを使用すると 特定のノードを参照しなくてもポリシーの表示 作成 および編集が行えます ポリシー情報の表示 [ ポリシーカタログ ] を使用すると Host Intrusion Prevention のポリシー 割り当て および所有者をすべて表示できます 作成したすべてのポリシーを表示するには 1 コンソールツリーで [ ポリシーカタログ ] を選択します 2 Host Intrusion Prevention を展開して ポリシーカテゴリを表示します 図 8-3 Host Intrusion Prevention の [ ポリシーカタログ ] 3 ポリシーカテゴリを展開して そのカテゴリのポリシーを表示します 図 8-4 IPS 規則カテゴリのポリシー ポリシーが割り当てられているノードを表示するには 1 [ ポリシーカタログ ] ページで [Host Intrusion Prevention] を展開してから ポリシーカテゴリを展開します 2 対象の名前付きポリシーの行の [ 割り当て ] の下の ポリシーが割り当てられているノード数を示す青いテキスト [1 個の割り当て ] などをクリックします [ 割り当ての表示 ] ページに ポリシーを割り当てられている各ノードの [ ノード名 ] と [ ノードの種類 ] が表示されます このリストには 割り当てポイントのみが表示され ポリシーが継承されているノードは表示されません 124

125 メンテナンスポリシーのメンテナンスとタスク 8 図 8-5 ポリシーの割り当ての表示 3 ノード名をクリックして そのノードの [ ポリシーの割り当て ] ページを表示します ポリシーの設定と所有者を表示するには 1 [ ポリシーカタログ ] ページで [Host Intrusion Prevention] を展開してから ポリシーカテゴリを展開します 名前付きポリシーの所有者が [ 所有者 ] の下に表示されます 2 ポリシー名をクリックすると 設定が表示されます ポリシーの実施が無効な割り当てを表示するには 1 [ ポリシーカタログ ] ページで [ 実施 ] の横の青いテキストをクリックします このテキストは実施が無効になっている割り当ての数を示しています [ ポリシーの実施が無効な割り当てを表示 ] ページが表示されます 2 リストの任意のノードをクリックして そのノードの [ ポリシーの割り当て ] ページを開きます ポリシー情報の編集 [ ポリシーカタログ ] ページから 新しい名前付きポリシーを作成できます 既定では 名前付きポリシーはどのノードにも割り当てられません 125

126 メンテナンスポリシーのメンテナンスとタスク 8 ポリシーを編集するには 1 [ ポリシーカタログ ] ページで [Host Intrusion Prevention] を展開してから ポリシーカテゴリを展開します 2 次のいずれかを行います 目的 ポリシーの作成 ポリシー名の変更 ポリシーの複製 ポリシーの削除 ポリシーの所有者の割り当て ポリシーのエクスポート すべてのポリシーのエクスポート ポリシーのインポート 操作 [ 新しいポリシーの定義 ] をクリックし 名前を付け 設定を編集します [ 名前の変更 ] をクリックし ポリシーの名前を変更します ( 既定のポリシーには使用できません ) [ 複製 ] をクリックし ポリシーの名前を変更し 設定を編集します [ 削除 ] をクリックします ( 既定のポリシーには使用できません ) 注 : ポリシーを削除した場合 そのポリシーが適用されていたすべてのノードは このカテゴリのポリシーを親ノードから継承します ポリシーを削除する前に ポリシーが割り当てられているすべてのノードを調べ 親ノードからポリシーを継承させたくない場合は 異なるポリシーを割り当てます ディレクトリレベルで適用されているポリシーを削除した場合は このカテゴリの既定のポリシーが適用されます ポリシーの所有者をクリックし リストから別の所有者を選択します ( 既定のポリシーには使用できません ) [ エクスポート ] をクリックした後 ポリシーに名前を付けて適切な場所に保存します (XML ファイル ) [ すべてのポリシーをエクスポート ] をクリックした後 ポリシーの XML ファイルに名前を付けて適切な場所に保存します ポリシーカタログ上部の [ ポリシーのインポート ] をクリックし ポリシーの XML ファイルを選択してから [OK] をクリックします これらの機能の詳細については epolicy Orchestrator 製品ガイド またはオンラインヘルプを参照してください 126

127 メンテナンスサーバタスクの実行 8 サーバタスクの実行 Host Intrusion Prevention では クライアントのセキュリティレベルの管理やメンテナンスを行うサーバタスクを利用できます 次のような機能があります ユーザドメインリストの更新 ( ディレクトリゲートウェイ ) イベントのアーカイブとデータベースからの削除 (Event Archiver) 管理を容易にするためのクライアントプロパティの変換 (Property Translator) サーバタスクの実行に関する詳細な情報については epolicy Orchestrator のオンラインヘルプまたは製品ガイドを参照してください ディレクトリゲートウェイ ディレクトリゲートウェイサーバタスクは クライアントが実行されているドメインのリストを更新します 更新されたリストは IPS 例外規則の作成時に必要になります これは データベースにリストされたドメインに対してのみ例外規則が実施されることによります ドメインは追加や削除が繰り返されるので 例外が正しく適用されるようにリストを定期的に更新する必要があります このタスクを実行するには 更新するドメインを表示されたリストの中から選択し 必要なドメインユーザ名とパスワードの資格情報を入力します 適切なディレクトリサーバが照会され ドメインの更新が行われます 環境の規模に応じて 毎日または毎週このタスクをスケジュールします 大規模な配布の場合は もっと頻繁に更新する必要があります Event Archiver Event Archiver サーバタスクは データベースからイベントをアーカイブして データベースを最適化するタスクです 長い期間が経過すると Host Intrusion Prevention から数千のイベントが発生し データベースのサイズは大幅に増加します 定期的に古いイベントをアーカイブおよび削除してデータベースのサイズを管理することで アプリケーションは正常な機能を維持できます このタスクを実行するには アーカイブファイルのディレクトリパスの場所と アーカイブの対象となるイベントの最小日数を入力します 現在の日付の名前が付いた XML ファイルが 指定した場所に圧縮形式で作成され 該当するイベントはデータベースから削除されます Property Translator Property Translator サーバタスクは epolicy Orchestrator に格納されている Host Intrusion Prevention データを変換して Host Intrusion Prevention でのデータの順序付け グループ化 およびフィルタに対応できます このタスクは 15 分ごとに自動的に実行される設定になっています 変更しないでください ただし 必要に応じて無効にすることはできます íç 実行の頻度を 15 分以外に変更するには 元のタスクを無効にして 新しいサーバタスクを作成して新しい頻度を設定します 127

128 メンテナンスイベントの通知機能の設定 8 イベントの通知機能の設定 通知のしくみ 通知機能を使用すると Host Intrusion Prevention クライアントまたはサーバ自体でイベントが発生した場合に 通知を受け取ることができます 受信した特定のイベントを epolicy Orchestrator サーバが処理した場合に 電子メール SMS ポケットベルメッセージ または SNMP トラップを送信させたり あるいは外部コマンドを実行させることができます 通知メッセージを生成するイベントのカテゴリや通知の送信頻度を指定できます 詳細については epolicy Orchestrator のオンラインヘルプまたは製品ガイドを参照してください Host Intrusion Prevention の環境でイベントが発生すると イベントは epolicy Orchestrator サーバに送信されます 通知規則は 影響を受けたシステムを含むグループまたはサイトに関連しており このイベントに対して適用されます 規則の条件が一致すると 規則の規定に従い 通知メッセージの送信または外部コマンドの実行が行われます ディレクトリのレベルごとに個別に規則を設定することができます 集約とスロットルに基づいたしきい値を設定して 通知メッセージを送信するタイミングを設定することもできます epolicy Orchestrator には 有効にしてすぐに使用できる既定の規則が用意されています 既定の規則を有効にする前に 次の項目を行います 1 通知メッセージを送信する電子メールサーバを指定します 2 受信者の電子メールアドレスが正しく設定されていることを確認します 規則の作成 さまざまなイベントカテゴリに対して規則を作成できます 次のような規則があります 検出され ブロックされたアクセス保護規則違反 検出されたが ブロックされなかったアクセス保護規則違反 [ 検疫モード ] に置かれたコンピュータ フィルタまたはブロックされた電子メールのコンテンツ 検出された侵入 検出された非準拠のコンピュータ 正常動作 ポリシーの実施に失敗 リポジトリのアップデートまたは複製に失敗 ソフトウェアの配布に失敗 ソフトウェアの配布に成功 ソフトウェアの障害またはエラー 不明なカテゴリ アップデート / アップグレードに失敗 アップデート / アップグレードに成功 すべての規則は 次のような同じ基本的方法で作成されます 1 規則の内容を説明 2 規則にフィルタを設定 3 規則にしきい値を設定 4 送信メッセージとデリバリの種類を作成 128

129 メンテナンスイベントの通知機能の設定 8 Host Intrusion Prevention の通知 Host Intrusion Prevention は 次の製品固有の通知カテゴリをサポートします 検出して処理されたホストへの侵入 検出して処理されたネットワークへの侵入 ブロックされたアプリケーション [ 検疫モード ] に置かれたコンピュータ 通知は ホスト ( またはネットワーク )IPS シグニチャのすべてに対して設定するか いずれに対しても設定しないかのどちらかになります Entercept 5.x では シグニチャ ID のセットまたは個別の重大度レベルに基づいて通知をサポートしていました Host Intrusion Prevention では 単独の IPS シグニチャ ID の指定を 通知規則設定の [ 脅威の名前 ] または [ 規則名 ] フィールドとしてサポートします イベントのシグニチャ ID 属性を脅威の名前に内部でマッピングすることで IPS シグニチャを一意に識別する規則が作成されます メッセージの件名や本文で許可される Host Intrusion Prevention パラメータの特定マッピングには 次の項目が含まれます パラメータ ホストおよびネットワーク IPS イベントの値 ブロックされたアプリケーションイベントの値 検疫イベントの値 ReceivedThreatNames シグニチャ ID なし なし SourceComputers リモート IP アドレス コンピュータ名 コンピュータ名 AffectedObjects プロセス名 アプリケーション名 コンピュータの IP アドレス EventTimestamp 発生時間 発生時間 発生時間 EventID イベント ID の epo マッピング イベント ID の epo マッピング イベント ID の epo マッピング AdditionalInformation ローカライズされたシグニチャ名 ( クライアントコンピュータから ) アプリケーションの完全なパス なし 129

130 メンテナンスレポートの実行 8 レポートの実行 Host Intrusion Prevention ソフトウェアには epolicy Orchestrator によるレポート機能があります クライアントから送信されてデータベースに格納されるイベントとプロパティをもとに 各種の有用なレポートやクエリを生成し データベースに格納することができます Host Intrusion Prevention ソフトウェアでは 定義済みのレポートテンプレートおよびクエリテンプレートが利用でき コンソールツリーの [ レポート ] にある レポートリポジトリおよびクエリリポジトリに格納されています 詳細については epolicy Orchestrator 3.6 レポートガイド を参照してください íç レポートを表示するには epo 資格情報を使用してデータベースにログオンする必要があります NT 認証資格情報はサポートされていません クライアントシステムを選択してグループ化し そのレポートとクエリを作成でき また製品やシステム条件によりレポート結果を制限することもできます レポートは HTML や Microsoft Excel などのさまざまなファイル形式でエクスポートできます レポート機能により 次の内容を実行できます ディレクトリフィルタを設定して 選択した情報のみを収集 レポートに含めるディレクトリのセグメントを選択します 論理演算子を使用してデータフィルタを設定し レポートに反映されるデータの正確なフィルタを定義 データベースの情報からグラフィックレポートを生成し 必要に応じてそのレポートをフィルタ レポートは 印刷することも他のソフトウェアにエクスポートすることもできます コンピュータ イベント インストールのクエリを実行 定型レポート クライアントシステムの Host Intrusion Prevention クライアントは レポートデータベースに格納されているサーバ情報を送信します レポートやクエリは この格納されているデータに対して行われます Host Intrusion Prevention には IPS レポートとファイアウォールレポートという 2 つのカテゴリに分類される 8 種類の定型レポートがあります また Crystal Reports 8.5 を使用して独自のレポートテンプレートを作成することもできます レポートリポジトリ レポートリポジトリには Host Intrusion Prevention の定型のレポートとクエリのほかに ユーザが作成したカスタムレポートとクエリが格納されています 用途に合わせてレポートリポジトリの編成やメンテナンスを行えます たとえば レポートテンプレートとしてエクスポートしたレポートを追加して レポート生成時のカスタム項目を保存することや カスタムレポートテンプレートを追加することができます レポートテンプレートを論理グループ別に編成することもできます たとえば 日単位 週単位 および月単位で実行するレポートを同じ名前のレポートグループにまとめることができます 130

131 メンテナンスレポートの実行 8 サマリの情報と詳細 レポートが生成されると フィルタの設定 ( ある場合 ) に応じたサマリの情報が表示されます このサマリの情報を使用して 同じレポートの 1 レベルまたは 2 レベル下の詳細情報にドリルダウンできます レポート内容の表示制御 グローバル管理者またはサイト管理者など ユーザに応じて 表示できるレポート情報を制御することができます サイト管理者およびサイト参照者は 権限を持つサイトのクライアントシステムのレポートのみ作成できます レポート情報もフィルタを適用して管理できます Host Intrusion Prevention レポート Host Intrusion Prevention のレポートテンプレートには次の情報が含まれています IPS レポート シグニチャ別の IPS イベントのサマリ 対象別の IPS イベントのサマリ ソース IP 別のネットワーク侵入のサマリ ファイアウォールレポート ブロックされたアプリケーションのサマリ 上位 10 位のブロックされたアプリケーション 失敗した検疫のアップデート IPS で検出された攻撃件数上位 10 位のノード アクションのきっかけになった上位 10 種類のシグニチャ シグニチャ別の IPS イベントのサマリ IPS イベントをシグニチャ別に表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示レベル 1 ドリルダウンレベル 2 ドリルダウン シグニチャ名 > イベント数 シグニチャ名 プロセス > カウント OS ユーザ 処理 ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 シグニチャ 記録時間 重大度レベル OS ユーザ 処理 プロセス およびソース IP のフィルタ 131

132 メンテナンスレポートの実行 8 対象別の IPS イベントのサマリ IPS イベントをホスト別に表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示レベル 1 ドリルダウンレベル 2 ドリルダウン ホスト名 > イベント数 ホスト名 シグニチャ > カウント OS ユーザ 処理 プロセス ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 シグニチャ 記録時間 重大度レベル OS ユーザ 処理 プロセス およびソース IP のフィルタ ソース IP 別のネットワーク侵入のサマリ ネットワーク侵入イベントをソース IP 別に表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示レベル 1 ドリルダウンレベル 2 ドリルダウン ソース IP > イベント数 ソース IP シグニチャ名 > カウント OS ユーザ 処理 プロセス ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 ソース IP シグニチャ OS ユーザ 処理 記録時間 重大度レベル およびホスト名のフィルタ 132

133 メンテナンスレポートの実行 8 IPS で検出された攻撃件数上位 10 位のノード IPS イベントが発生した上位 10 位のホストの棒グラフを表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示レベル 1 ドリルダウンレベル 2 ドリルダウン ホスト名 > イベント数 ホスト名 シグニチャ > カウント OS ユーザ 処理 プロセス ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 プラットフォームおよびシグニチャの種類のフィルタ アクションのきっかけになった上位 10 種類のシグニチャ アクションのきっかけとなった上位 10 種類の IPS シグニチャの棒グラフを表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示レベル 1 ドリルダウンレベル 2 ドリルダウン シグニチャ名 > イベント数 シグニチャ名 プロセス > カウント OS ユーザ 処理 ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 プラットフォームおよびシグニチャの種類のフィルタ 133

134 メンテナンスレポートの実行 8 ブロックされたアプリケーションのサマリ ブロックされたアプリケーションイベントのサマリをアプリケーション別に表示するには このレポートを使用します 詳細には次の項目が含まれます 初期表示 アプリケーションの説明 > イベント数 ドリルダウン ホスト名 ホスト IP イベントの時刻 プロセス名 アプリケーションのパス アプリケーションのバージョン アプリケーションハッシュ アプリケーションの説明およびイベントの時刻のフィルタ 上位 10 位のブロックされたアプリケーション ブロックされた上位 10 位のアプリケーションの棒グラフを表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示 アプリケーションの説明 > イベント数 ドリルダウン ホスト名 ホスト IP イベントの時刻 プロセス名 アプリケーションのパス アプリケーションのバージョン アプリケーションハッシュ アプリケーションの説明 ホスト名 およびイベントの時刻のフィルタ 失敗した検疫のアップデート 失敗した検疫のアップデートをホスト別に表示する場合は このレポートを使用します 詳細には次の項目が含まれます 初期表示 ホスト名 > イベント数 ドリルダウン ホスト名 ホスト IP イベントの時刻 アプリケーションのホスト名 ホスト IP およびイベントの時刻のフィルタ 134

135 メンテナンスアップデート 8 アップデート epo データベースには シグニチャなど Host Intrusion Prevention セキュリティコンテンツデータが格納されており Host intrusion Prevention ポリシーに表示されます Host Intrusion Prevention は 複数バージョンのクライアントコンテンツやコードをサポートし 利用できる最新のコンテンツが epo コンソールに表示されます 新しいコンテンツは 後でリリースされたバージョンで常にサポートされるため コンテンツのアップデートに含まれるのはほとんどが新しい情報 または既存の情報を多少変更したものです アップデートは コンテンツアップデートパッケージで処理されます このパッケージには コンテンツのバージョン情報およびアップデートスクリプトが含まれています チェックインすると パッケージのバージョンが データベースの最新コンテンツ情報のバージョンと比較されます パッケージの方が新しい場合 パッケージのスクリプトが解凍され 実行されます この新しいコンテンツ情報は 次回のエージェント / サーバ間の通信時にクライアントに伝達されます íç Host Intrusion Prevention のコンテンツアップデートは クライアントに配信するために epo リポジトリにチェックインする必要があります Host Intrusion Prevention クライアントは epo サーバとの通信によってのみアップデートを取得し 直接 FTP または HTTP プロトコルにより取得しないようにします 基本的なプロセスとしては アップデートパッケージを epo リポジトリにチェックインしてから アップデート情報をクライアントに送信します アップデートパッケージのチェックイン コンテンツアップデートパッケージを epo リポジトリに自動的にチェックインする epo サーバタスクを作成することも アップデートパッケージをダウンロードして手動でチェックインすることもできます アップデートパッケージを自動的に追加するには 1 epo コンソールツリーで epo サーバ名を選択して [ 予定されたタスク ] タブをクリックします 2 [ タスクの作成 ] をクリックします 3 [ 新しいタスクの設定 ] ペインで HIP コンテンツアップデート などのようにタスクの名前を入力します 4 [ タスクの種類 ] リストから [ リポジトリプル ] を選択します 5 [ スケジュールの種類 ] リストから 頻度を選択します 6 [ 次へ ] をクリックします 7 ソースリポジトリ ([McAfeeHttp] または [McAfeeFtp]) およびその他の使用できるオプションを選択します 8 [ 完了 ] をクリックします このタスクは コンテンツアップデートパッケージを直接 McAfee から指定した頻度でダウンロードして リポジトリに追加し 新しい Host Intrusion Prevention コンテンツでデータベースをアップデートします 135

136 メンテナンスアップデート 8 アップデートパッケージを手動で追加するには 1 epo コンソールツリーから [ リポジトリ ] を選択し [ パッケージのチェックイン ] をクリックします 2 [ 次へ ] をクリックして [ 製品またはアップデート ] を選択します 3 [ 次へ ] をクリックして PkgCatalog.z ファイルの完全なパスを入力します 4 [ 次へ ] をクリックして [ 完了 ] をクリックします クライアントのアップデート アップデートパッケージをリポジトリにチェックインした後 アップデートタスクを実行するかまたはエージェント起動コールを送信して クライアントにアップデートを送信できます A client can also request updates. アップデートタスクを実行するには 1 コンテンツアップデートを送信するコンピュータ グループ またはサイトを epo コンソールツリーで選択して [ タスク ] タブを選択します 2 ショートカットメニューから [ タスクのスケジュール設定 ] を選択します 3 タスク名を入力し [epolicy Orchestrator エージェントのアップデート ] を選択して [OK] をクリックします 4 タスクを右クリックし [ タスクの編集 ] を選択します 5 epolicy Orchestrator の [ スケジューラ ] ダイアログボックスで [ 設定 ] をクリックします 6 表示されるダイアログボックスで [HIP コンテンツ ] を選択し [OK] をクリックします ( このオプションは コンテンツパッケージがリポジトリにチェックインされている場合のみ使用できます ) 7 epolicy Orchestrator の [ スケジューラ ] ダイアログボックスで [ スケジューラ ] タブをクリックして 直ちにタスクを実行するように設定します 8 [ タスク ] タブで [ 継承 ] の選択を解除し [ 有効にする ] をクリックします 9 [ 適用 ] をクリックして [OK] をクリックします エージェント起動コールを送信するには 1 コンテンツアップデートを送信するコンピュータ グループ またはサイトを epo コンソールツリーで右クリックして [ エージェント起動コール ] を選択します 2 ランダム化を 0 分に設定して [OK] をクリックします コンテンツアップデートが送信され クライアントに適用されます クライアントがアップデートを要求するようにするには (epo エージェントアイコンがシステムトレイに表示されている場合のみ有効 ) システムトレイの [epo] アイコンを右クリックして [ 今すぐアップデート ] を選択します [McAfee 自動アップデートの進捗状況 ] ダイアログボックスが開きます コンテンツアップデートが プルされてクライアントに適用されます 136

137 9 Host Intrusion Prevention クライアント Host Intrusion Prevention クライアントは Windows Solaris および Linux プラットフォームにインストールできます インターフェイスは Windows バージョンのクライアントにしかありませんが トラブルシューティング機能はいずれのバージョンでも使用できます この章では それぞれのクライアントバージョンの基本的な機能について説明します Windows クライアント Solaris クライアント Linux クライアント Windows クライアント Host Intrusion Prevention Windows クライアントのクライアント側での直接管理は クライアントインターフェイスにより行うことができます クライアントコンソールを表示するには システムトレイのクライアントアイコンをダブルクリックするか または [ スタート ] メニューで [ プログラム ] [McAfee] [Host Intrusion Prevention] を選択します クライアントコンソールが最初に表示されたとき ほとんどのオプションはロックされています コンソールがロックモードの場合 表示できるのは現在の設定のみで [ クライアント UI] ポリシーでクライアント規則の手動作成が有効になっている場合 手動でクライアント規則を作成できます コンソールのすべての設定を完全に管理するには 適用した [ クライアント UI] ポリシーで作成したパスワードでインターフェイスのロックを解除します これらの [ クライアント UI] ポリシーの設定に関する詳細については 110 ページの クライアント UI ポリシーの作成と適用 を参照してください 137

138 Host Intrusion Prevention クライアント Windows クライアント 9 システムトレイのアイコン Host Intrusion Prevention アイコンがシステムトレイに表示される場合 このアイコンからクライアントコンソールにアクセスでき またクライアントのステータスを示します アイコン Host Intrusion Prevention ステータス 正常に動作 潜在的な攻撃を検出 オフになっているか サービスが正常に動作していない アイコンの上にマウスのポインタを置くと ステータスの説明が表示されます ショートカットメニューにアクセスするには アイコンを右クリックします クリックするメニュー項目 操作内容 [ 設定 ] Host Intrusion Prevention クライアントコンソールを開きます [ バージョン情報...] [ バージョン情報 ] ダイアログボックスが開かれ バージョン番号およびその他の製品情報が表示されます [ トレイアイコンからの機能の無効化を許可する ] オプションがクライアントに適用されている場合は さらに以下の一部またはすべてのコマンドを使用できます クリックするメニュー項目 操作内容 [ 設定の復元 ] 無効になっているすべての機能を有効にします 1 つ以上の機能が無効になっている場合のみ使用できます [ すべて無効にする ] IPS ファイアウォール アプリケーションブロック機能を無効にします これらのすべての機能が有効になっている場合のみ使用できます [IPS を無効にする ] [ ファイアウォールを無効にする ] [ アプリケーションブロックを無効にする ] IPS 機能を無効にします ホスト IPS とネットワーク IPS 機能の両方が対象になります この機能が有効になっている場合のみ使用できます ファイアウォール機能を無効にします この機能が有効になっている場合のみ使用できます アプリケーションブロック機能を無効にします アプリケーション作成のブロックとアプリケーションフックのブロックの両方が対象になります この機能が有効になっている場合のみ使用できます 138

139 Host Intrusion Prevention クライアント Windows クライアント 9 クライアントコンソール Host Intrusion Prevention クライアントコンソールからは いくつかの設定オプションにアクセスすることができます コンソールを開くには 次のいずれかを行います システムトレイのアイコンをダブルクリック タスクを右クリックし [ 設定 ] を選択 [ スタート ] から [ プログラム ] [McAfee] [Host Intrusion Prevention] を選択 コンソールでは Host Intrusion Prevention 機能についての情報を設定および表示できます コンソールには複数のタブがあり それぞれが Host Intrusion Prevention の特定の機能に対応しています 詳細については 次の項目を参照してください 148 ページの [IPS ポリシー ] タブ 150 ページの [ ファイアウォールポリシー ] タブ 152 ページの [ アプリケーションポリシー ] タブ 154 ページの [ ブロックされたホスト ] タブ 156 ページの [ アプリケーション保護 ] タブ 157 ページの [ 動作ログ ] タブ ユーザインターフェイスのロックの解除 epolicy Orchestrator を使用してリモートから Host Intrusion Prevention を管理する管理者は 不注意で変更されないようにインターフェイスをパスワードで保護しておくことができます 有効期限があるコンピュータ固有のパスワードを使用すると 管理者やユーザは一時的にインターフェイスのロックを解除し 変更を加えることができます Host Intrusion Prevention インターフェイスのロックを解除するには 1 Host Intrusion Prevention 管理者からパスワードを入手します íç パスワード作成の詳細については 111 ページの パスワードの設定 を参照してください 2 [ タスク ] メニューで [ ユーザインターフェイスのロック解除 ] を選択します [ ログイン ] ダイアログボックスが表示されます 3 パスワードを入力し [OK] をクリックします 入力したのが管理者パスワードであり 有効期限があるパスワードではない場合 [OK] をクリックする前に [ 管理者パスワード ] を選択します オプションの設定 Host Intrusion Prevention クライアントコンソールからは [ クライアント UI] ポリシーによって提供されるいくつかの設定にアクセスすることができ クライアントごとにそれらの設定をカスタマイズすることができます 139

140 Host Intrusion Prevention クライアント Windows クライアント 9 クライアントオプションをカスタマイズするには 1 [ 編集 ] メニューの [ オプション ] をクリックします [Host Intrusion Prevention オプション ] ダイアログボックスが表示されます 2 必要に応じて オプションを選択 / 選択解除します オプション名目的の操作 [ ポップアップアラートを表示する ] 攻撃が発生すると アラートダイアログボックスが表示されます 詳細については 142 ページの アラート を参照してください [ 音を鳴らす ] 攻撃が発生したときに音を鳴らします [ トレイのアイコンを点滅させる ] このアイコンは 通常のステータスと 攻撃が発生したときの攻撃ステータスの間で切り替えられます [ 利用可能な場合 Sniffer Capture を作成する ] 侵入パケットのデータが取得されたことを示す Sniffer Capture 列が動作ログに追加されます このデータを McAfee Sniffer.cap ファイルに保存して さらに分析します [ トレイアイコンを表示する ] システムトレイに [Host Intrusion Prevention] アイコンが表示されます [ エラーをレポートする ] McAfee にエラーを送信するようにソフトウェアエラーのレポートユーティリティが有効にされます 詳細については エラー報告 を参照してください エラー報告 Host Intrusion Prevention には ソフトウェアの障害を追跡し ログに記録するエラー報告ユーティリティが含まれています 有効にすると 検出した問題のデータを McAfee のテクニカルサポートに転送するように促すメッセージが表示されます McAfee のテクニカルサポートでは 適切な場合に 転送されたデータを使用してサポートケースを開きます íç エラー報告ユーティリティを使用するには コンピュータからインターネットへのアクセスが可能で Java Script 対応の Web ブラウザが用意されている必要があります 障害が発生したコンピュータが存在するネットワーク上に McAfee Alert Manager がインストールされている場合 ネットワーク管理者に 問題が検出されたことが通知されます ネットワーク管理者は 問題に対処する方法をユーザに指示できます ユーティリティによって障害が検出された場合 ユーザは次のオプションのいずれかを選択します [ データを送信する ] - McAfee テクニカルサポート Web サイトに接続し データを送信します [ エラーを無視する ] - 接続は行われません データを McAfee テクニカルサポート Web サイトに送信するときに ユーザは追加の情報を求められる場合があります その問題に既知の原因がある場合 その問題についての情報と対処方が記載された Web ページがユーザに示されることがあります 140

141 Host Intrusion Prevention クライアント Windows クライアント 9 トラブルシューティング Host Intrusion Prevention には [ ヘルプ ] メニューに [ トラブルシューティング ] オプションがあり インターフェイスのロックが解除されている場合に利用できます IPS やファイアウォールを有効にするオプションや システムエンジンを無効にするオプションが含まれています ログの記録トラブルシューティングの一部として システム上で分析したり McAfee のサポートに送信して問題の解決に役立てることができる IPS とファイアウォールの動作ログを作成できます 図 9-1 トラブルシューティングオプション IPS ログ記録オプションを設定するには 1 [IPS] の [ ログ記録を有効にする ] チェックボックスをオンにします 2 メッセージの種類を選択します ([ すべて ] または [ 情報 ] [ 警告 ] [ デバッグ ] [ エラー ] [ セキュリティ違反 ] の組み合わせ ) 少なくとも [ エラー ] と [ セキュリティ違反 ] は選択する必要があります 3 [OK] をクリックします 情報は Program Files\McAfee\Host Intrusion Prevention フォルダの CSlog.txt ファイルに書き込まれます ファイアウォールログ記録オプションを設定するには 1 [ ファイアウォール ] の [ ログ記録を有効にする ] チェックボックスをオンにします 2 メッセージの種類を選択します ([ すべて ] または [ 情報 ] [ 警告 ] [ エラー ] [ カーネル ] の組み合わせ ) 3 [OK] をクリックします 情報は Program Files\McAfee\Host Intrusion Prevention フォルダの FireSvc.dbg ファイルに書き込まれます 141

142 Host Intrusion Prevention クライアント Windows クライアント 9 ホスト IPS エンジン トラブルシューティングの一環として クライアントを保護するエンジンを無効にすることもできます McAfee では McAfee サポートと連絡を取っている管理者だけが このトラブルシューティング手順を使用することをお勧めします この機能にアクセスするには [ トラブルシューティングオプション ] ダイアログボックスで [ 機能 ] をクリックします 表示される [HIPS エンジン ] ダイアログボックスで エンジンの横にあるチェックボックスをオフにして 1 つまたは複数のクライアントシステムエンジンを無効にします 問題が解決された後で 通常の動作環境に戻るため すべてのエンジンが選択されていることを確認します 図 9-2 HIPS エンジン アラート ユーザは 数種類のアラートに遭遇する可能性があり アラートに対応する必要があります アラートには 侵入の検出 ファイアウォール 検疫 アプリケーションブロック およびなりすまし検出アラートなどがあります ファイアウォールアラートおよびアプリケーションブロックアラートは クライアントがこれらの機能について [ 学習モード ] になっている場合のみ表示されます 侵入アラート IPS 保護と [ ポップアップアラートを表示する ] オプションを有効にしている場合 Host Intrusion Prevention が潜在的な攻撃を検出すると このアラートが自動的に表示されます クライアントが適応モードの場合 このアラートは [ クライアント規則の許可 ] オプションが イベント発生の原因となったシグニチャに対して無効にされている場合のみ表示されます [ 侵入情報 ] タブには 攻撃についての説明 攻撃が発生したユーザ / クライアントのコンピュータ 攻撃に関連するプロセス Host Intrusion Prevention によって攻撃が阻止された日付と時刻を含めて アラートを生成した攻撃に関する詳細が表示されます また 管理者指定の全般的なメッセージも表示されます 142

143 Host Intrusion Prevention クライアント Windows クライアント 9 図 9-3 [ 侵入検出アラート ] ダイアログボックス [ 無視 ] をクリックすると イベントを無視でき [ 例外の作成 ] をクリックすると イベントに対する例外規則を作成できます [ 例外の作成 ] ボタンは [ クライアント規則の許可 ] オプションが イベント発生の原因となったシグニチャに対して有効にされている場合のみアクティブになります アラートが HIP シグニチャの結果である場合 [ 例外規則 ] ダイアログボックスには プロセス ユーザ およびシグニチャが事前入力されています [ すべてのシグニチャ ] または [ すべてのプロセス ] を選択できますが 両方は選択できません 例外には常にユーザ名が含まれます アラートが NIP シグニチャの結果である場合 [ 例外規則 ] ダイアログボックスには シグニチャ名およびホスト IP アドレスが事前入力されています オプションとして [ すべてのホスト ] を選択することもできます. また [ 管理者に通知 ] をクリックして イベントに関する情報を Host Intrusion Prevention 管理者に送信できます このボタンは 適用した [ クライアント UI] ポリシーで [ 管理者に通知することをユーザに許可する ] オプションが有効になっている場合のみアクティブになります [IPS イベントのアラートは表示しない ] を選択すると IPS イベントのアラートは表示されません このオプションを選択した後 アラートを再表示するには [ オプション ] ダイアログボックスで [ ポップアップアラートを表示する ] を選択します íç ファイアウォール規則が [ 規則に一致する場合は侵入として扱う ] オプションが選択されているものと一致すると この侵入アラートはファイアウォールの侵入にも表示されます ファイアウォールアラート ファイアウォール保護と [ 学習モード ] を受信トラフィックまたは送信トラフィックのいずれかに対して有効にしている場合 ファイアウォールアラートが表示されます [ アプリケーション情報 ] タブには アプリケーション名 パス バージョンなどを含めて ネットワークにアクセスしようとしているアプリケーションの情報が表示されます [ 接続情報 ] タブには トラフィックプロトコル アドレス およびポートに関する情報が表示されます 143

144 Host Intrusion Prevention クライアント Windows クライアント 9 ファイアウォールの [ 学習モード ] アラートに対応するには 1 アラートダイアログボックスの [ アプリケーション情報 ] タブで 次のいずれかの操作を行います このトラフィックおよび類似のトラフィックをすべてブロックするには [ 拒否 ] をクリックします このトラフィックおよび類似のトラフィックをすべて許可するには [ 許可 ] をクリックします 2 オプション :[ 接続情報 ] タブで 新しいファイアウォール規則で使用する可能性があるオプションを選択します オプション名 [ すべてのポートおよびサービスにファイアウォールアプリケーション規則を作成する ] [ アプリケーションの終了時にこの規則を削除する ] 操作内容 任意のポートまたはサービスにアプリケーションのトラフィックを許可またはブロックする規則を作成します このオプションを選択しない場合 新しいファイアウォール規則では特定のポートしか許可またはブロックされません 阻止されたトラフィックが 1024 未満のポートを使用する場合 新しい規則では この特定のポートのみを許可またはブロックします トラフィックが 1024 以上のポートを使用する場合 新しいポートは 1024 ~ の範囲のポートを許可またはブロックします アプリケーションを閉じると削除される 一時的に許可またはブロックする規則を作成します このオプションを選択しない場合 新しいファイアウォール規則は恒常的なクライアント規則として作成されます Host Intrusion Prevention は 選択されたオプションに基づいて新しいファイアウォールを作成し [ ファイアウォール規則 ] リストに追加して 類似トラフィックを自動的に許可またはブロックします 図 9-4 [ ファイアウォールアラート ] - [ アプリケーション情報 ] タブおよび [ 接続情報 ] タブ アプリケーションブロックアラート [ アプリケーションブロックのオプション ] ポリシーでアプリケーション作成またはアプリケーションフックが有効になっている場合 Host Intrusion Prevention によりアプリケーションの動作が監視され [ アプリケーションブロックの規則 ] ポリシーにある規則に基づいてその動作が許可またはブロックされます 144

145 Host Intrusion Prevention クライアント Windows クライアント 9 作成のブロックまたはフックのブロックに対して [ 学習 ] モードを有効にしている場合 Host Intrusion Prevention により未知のアプリケーションが実行または他のプログラムにバインドしようとしていることが検知されると [ アプリケーション作成のアラート ] または [ アプリケーションフックのアラート ] が表示されます [ アプリケーション情報 ] タブには アプリケーション名 パス バージョンなどを含めて 実行 ( 作成 ) または別のプロセスにフック ( フック ) しようとしているアプリケーションの情報が表示されます このダイアログボックスを使用してアクションを選択します [ 許可 ] をクリックするとアプリケーションのアクションが次のように完了します [ アプリケーション作成のアラート ] では [ 許可 ] をクリックするとアプリケーションが実行されます [ アプリケーションフックのアラート ] では [ 許可 ] をクリックするとアプリケーションが他のプログラムにバインドされます [ 拒否 ] をクリックするとアプリケーションが次のようにブロックされます [ アプリケーション作成のアラート ] では [ 拒否 ] をクリックするとアプリケーションが実行されません [ アプリケーションフックのアラート ] では [ 拒否 ] をクリックするとアプリケーションは他のプログラムにバインドされません [ 許可 ] または [ 拒否 ] をクリックすると その選択に基づいて Host Intrusion Prevention により新しいアプリケーション規則が作成されます クライアントプロパティを収集した後 この規則は [ アプリケーション規則 ] ポリシーの [ アプリケーションのクライアント規則 ] タブに追加されます これでアプリケーションは自動的に許可またはブロックされます 図 9-5 アプリケーションブロックの作成およびフックのアラート 検疫アラート [ 検疫モード ] を有効にして [ 検疫オプション ] ポリシーでの検疫の実施にクライアントの IP アドレスを含めている場合 次の状況で検疫アラートが表示されます クライアントコンピュータの IP アドレスを変更する場合 クライアントイーサネット接続を切断して再接続する場合 クライアントを再起動する場合 145

146 Host Intrusion Prevention クライアント Windows クライアント 9 図 9-6 検疫アラート なりすまし検出アラート IPS 機能を有効にした場合 コンピュータ上のアプリケーションがなりすましたネットワークトラフィックを送信していることが Host Intrusion Prevention によって検出されると このアラートが自動的に表示されます これは 使用中のコンピュータからのトラフィックが 異なるコンピュータから実際に到着しているように そのアプリケーションが見せかけようとしていることを意味します これは 送信パケット内の IP アドレスを変更することによって行われます なりすましはいずれにしても疑わしい動作です このダイアログボックスが表示された場合 なりすましたトラフィックを送信しているアプリケーションを直ちに調査してください íç [ なりすまし検出アラート ] ダイアログボックスは [ ポップアップアラートを表示する ] オプションを選択している場合のみ表示されます このオプションを選択していない場合 なりすまされたトラフィックは Host Intrusion Prevention によって自動的にブロックされますが ユーザへの通知は行われません [ なりすまし検出アラート ] ダイアログボックスは ファイアウォール機能の [ 学習モード ] のアラートとよく似ています [ アプリケーション情報 ] および [ 接続情報 ] の 2 つのタブに 阻止したトラフィックに関する情報が表示されます [ アプリケーション情報 ] タブには次の情報が表示されます トラフィックの送信元として偽られた IP アドレス なりすまされたトラフィックを生成したプログラムについての情報 Host Intrusion Prevention によってトラフィックが阻止された日付と時刻 [ 接続情報 ] タブには さらに詳細なネットワーク情報が表示されます 特に [ ローカルアドレス ] にはアプリケーションが持っているように見せかけている IP アドレスが表示され [ リモートアドレス ] には実際の IP アドレスが表示されます 146

147 Host Intrusion Prevention クライアント Windows クライアント 9 図 9-7 IP の [ なりすまし検出アラート ] ダイアログボックス Host Intrusion Prevention は なりすまされたネットワークトラフィックを検出すると トラフィックおよびそれを生成したアプリケーションの両方をブロックしようとします これは ファイアウォールの規則リストの最後に新しい規則を追加することによって行われます この [ なりすまし攻撃者をブロックする ] 規則は 具体的には 規則リストの別の規則によって変更されない限り 疑わしいアプリケーションによって作成されたトラフィックをすべてブロックします 147

148 Host Intrusion Prevention クライアント Windows クライアント 9 [IPS ポリシー ] タブ [IPS ポリシー ] タブを使用して シグニチャと動作規則に基づいて侵入攻撃からホストを保護する IPS 機能を設定できます このタブからは 機能を有効または無効にして クライアント例外規則を設定することができます IPS ポリシーの詳細については 第 4 章 IPS ポリシーを参照してください 図 9-8 [IPS ポリシー ] タブ IPS ポリシーのオプションタブの最上部にあるオプションを使用すると クライアントのインターフェイスのロックが解除された後は サーバ側の IPS ポリシーによって提供される設定を制御できます IPS ポリシーのオプションをカスタマイズするには 1 [IPS ポリシー ] タブをクリックします 2 必要に応じて オプションを選択および選択解除します オプション名 [ ホスト IPS を有効にする ] [ ネットワーク IPS を有効にする ] [ 適応モードを有効にする ] [ 攻撃者を自動的にブロックする ] 操作内容 ホスト侵入防止保護を有効にします ネットワーク侵入防止保護を有効にします 適応モードを有効にして 侵入防止シグニチャに対する例外を自動的に作成します 設定された期間の間 ネットワークへの侵入攻撃を自動的にブロックします [ 削除されるまで ] を選択して攻撃が削除されるまでブロックするか [ 次の時間 ( 分 )] を選択して設定した時間 ( 分単位 既定値は 30) の間攻撃をブロックします 148

149 Host Intrusion Prevention クライアント Windows クライアント 9 IPS ポリシーの例外規則 IPS 例外規則リストには 表示および編集が可能なクライアント例外規則が表示されます 例外規則を編集するには 1 [ 追加 ] をクリックして規則を追加します [ 例外規則 ] ダイアログボックスが表示されます 2 規則の説明を入力します 3 アプリケーションリストから 規則が適用されるアプリケーションを選択するか [ 参照 ] をクリックしてアプリケーションを見つけます 4 [ 例外規則をアクティブにする ] チェックボックスをオンにして規則をアクティブにします 既定では有効ではなく 選択されていない [ すべてのシグニチャに例外を適用する ] を使用すると すべてのシグニチャに例外が適用されます 5 [OK] をクリックします 新しい規則がリストに表示されます 6 他の編集操作については 次のいずれかを実行してください 目的規則の詳細を表示する または規則を編集する 規則をアクティブまたはアクティブでない状態にする 規則を削除する 操作 規則をダブルクリックするか 規則を選択して [ プロパティ ] をクリックします [ 例外規則 ] ダイアログボックスが表示され 編集可能な規則の情報が表示されます [ 例外規則 ] ダイアログボックスで [ 例外規則をアクティブにする ] チェックボックスをオンまたはオフにします リスト内で 規則アイコンの横にあるチェックボックスをオンまたはオフにすることもできます 規則を選択し [ 削除 ] をクリックします 例外規則リスト 例外規則リストには クライアントに関連する例外規則が表示され 各規則のサマリと詳細な情報が示されます 列名 表示される内容 [ 例外 ] 例外の名前 [ シグニチャ ] それに対して例外が作成されるシグニチャの名前 [ アプリケーション ] この規則が適用されるアプリケーションの名前 ( プログラムの名前や実行可能ファイルの名前を含む ) 149

150 Host Intrusion Prevention クライアント Windows クライアント 9 [ ファイアウォールポリシー ] タブ [ ファイアウォールポリシー ] タブを使用して ユーザが定義する規則に基づいてネットワーク通信を許可またはブロックする ファイアウォール機能を設定します このタブからは 機能を有効または無効にして クライアントファイアウォール規則を設定することができます ファイアウォールポリシーの詳細については 第 5 章 ファイアウォールポリシーを参照してください 図 9-9 [ ファイアウォールポリシー ] タブ ファイアウォールポリシーのオプション タブの最上部にあるオプションを使用すると サーバ側のファイアウォールポリシーによって提供される設定を制御できます ファイアウォールポリシーのオプションをカスタマイズするには 1 [IPS ポリシー ] タブをクリックします 2 必要に応じて オプションを選択および選択解除します オプション名 [ ファイアウォールを有効にする ] [ 学習モード受信有効 ] [ 学習モード送信有効 ] 操作内容ファイアウォールポリシーによる保護を有効にします 受信トラフィックについて学習モードを有効にします 送信トラフィックについて学習モードを有効にします [ 信頼できる...] 信頼できるネットワークを作成します 詳細については 114 ページの 信頼できるネットワークポリシーの設定 を参照してください 150

151 Host Intrusion Prevention クライアント Windows クライアント 9 ファイアウォールポリシーの規則 ファイアウォール規則リストには 表示および編集が可能なクライアント規則が表示されます ファイアウォール規則の操作の詳細については 次を参照してください 87 ページの ファイアウォール規則の表示および編集 88 ページの 新しいファイアウォール規則またはファイアウォールグループの作成 91 ページの ファイアウォール規則またはグループの削除 íç クライアントから ファイアウォールの接続別グループを追加することはできません この機能を使用できるのは epolicy Orchestrator コンソールでファイアウォール規則ポリシーを管理する場合だけです ファイアウォール規則リスト ファイアウォール規則リストには クライアントに関連する規則と規則グループが表示され 各規則のサマリと詳細な情報が示されます 列名 表示される内容 [ 説明 ] この規則または規則グループの目的 [ プロトコル ] 規則が適用されるプロトコル (TCP UDP ICMP) 規則でトラフィックが許可されるか ブロックされるかが次のように示されます トラフィックを許可します トラフィックをブロックします 規則の適用対象が 受信トラフィック 送信トラフィック またはそれらの両方のどれであるかが示されます 受信トラフィック 送信トラフィック 両方向 この規則に一致するトラフィックが Host Intrusion Prevention によってシステムでの侵入 ( 攻撃 ) として処理されるかどうか この規則を特定の時間帯のみ適用するかどうか [ サービス (L)] この規則が適用される コンピュータ上のサービス 可能な場合 この列には関連付けられているポート番号が表示されます 個々のサービス サービスの範囲 または特定のサービスのリストを定義できます または すべてのサービスを指定する ([ 任意 ]) ことも どのサービスも指定しない ([N/A]) こともできます [ サービス (R)] トラフィックの送信先または発信元のコンピュータで この規則が適用されるサービス 可能な場合 この列には関連付けられているポート番号が表示されます 個々のサービス サービスの範囲 または特定のサービスのリストを定義できます または すべてのサービスを指定する ([ 任意 ]) ことも どのサービスも指定しない ([N/A]) こともできます 151

152 Host Intrusion Prevention クライアント Windows クライアント 9 列名 表示される内容 [ アドレス ] この規則が適用される IP アドレス サブネット ドメイン または他の特定の識別子 [ アプリケーション ] この規則が適用されるアプリケーションの名前 ( プログラムの名前や実行可能ファイルの名前を含む ) [ アプリケーションポリシー ] タブ [ アプリケーションポリシー ] タブを使用して アプリケーションブロック機能を設定します アプリケーションが実行可能 ( アプリケーション作成 と呼ばれます ) かどうか 他のアプリケーションにバインドできる ( アプリケーションフック と呼ばれます ) かどうか アプリケーションの作成およびフックについて学習モードを有効にするかどうかの指定と アプリケーションのクライアント規則の設定が可能です アプリケーションブロックの詳細については 第 6 章 アプリケーションブロックポリシーを参照してください 図 9-10 [ アプリケーションポリシー ] タブ アプリケーションポリシーのオプション タブの最上部にあるオプションを使用すると サーバ側のアプリケーションポリシーによって提供される設定を制御できます 152

153 Host Intrusion Prevention クライアント Windows クライアント 9 アプリケーションポリシーのオプションをカスタマイズするには 1 [ アプリケーションポリシー ] タブをクリックします 2 必要に応じて オプションを選択および選択解除します オプション名 [ アプリケーション作成のブロックを有効にする ] [ アプリケーションフックのブロックを有効にする ] [ 学習モードのアプリケーション作成を有効にする ] [ 学習モードのアプリケーションフックを有効にする ] 操作内容 アプリケーション作成のブロックを有効にします [ 学習モードのアプリケーション作成を有効にする ] オプションが有効になります アプリケーションフックのブロックを有効にします [ 学習モードのアプリケーションフックを有効にする ] オプションが有効になります アプリケーション作成の学習モードを有効にします ユーザは アプリケーション作成を許可するかブロックするかの指示を求められます アプリケーションフックの学習モードを有効にします ユーザは アプリケーションフックを許可するかブロックするかの指示を求められます アプリケーションポリシーの規則 アプリケーションポリシー規則リストには 表示および編集が可能なクライアント規則が表示されます アプリケーションブロック規則の操作の詳細については 次を参照してください 102 ページの アプリケーションブロックの規則の表示と編集 103 ページの 新しいアプリケーションブロックの規則の作成 104 ページの アプリケーションブロックの規則の削除 アプリケーション規則リスト アプリケーション規則リストには クライアントに関連する規則が表示され 各規則のサマリと詳細な情報が示されます 列名表示される内容 [ 説明 ] この規則の目的 [ 作成 ] アプリケーションの実行を許可します アプリケーションの実行をブロックします [ フック ] アプリケーションが他のアプリケーションをフックすることを許可します アプリケーションが他のアプリケーションをフックしないようにブロックします [ アプリケーション ] この規則が適用されるアプリケーションのファイル名とパス 153

154 Host Intrusion Prevention クライアント Windows クライアント 9 [ ブロックされたホスト ] タブ [ ブロックされたホスト ] タブを使用して ネットワーク IPS (NIPS) による保護が有効にされる (148 ページの IPS ポリシーのオプション を参照 ) と自動的に作成される ブロックされたホスト (IP アドレス ) のリストを監視します epolicy Orchestrator コンソールの [IPS オプション ] ポリシーで [ クライアント規則を作成する ] が選択されている場合は ブロックされたホストのリストへの追加と編集が可能です 図 9-11 [ ブロックされたホスト ] タブ [ ブロックされたホスト ] リスト ブロックされたアドレスのリストを表示して編集できます 編集には ブロックされたホストの追加 削除 編集 およびブロックされたホストの詳細表示が含まれます ブロックされたホストのリストには Host Intrusion Prevention によって現在ブロックされているすべてのホストが表示されます 各行が 1 つのホストを表しています 各列の情報を読むと 個々のホストについてさらに詳細な情報を入手できます 列名 表示される内容 [ ソース ] Host Intrusion Prevention によってブロックされている IP アドレス [ ブロックされた理由 ] このアドレスが Host Intrusion Prevention によってブロックされている理由の説明 システムに攻撃を試みたことが理由で このアドレスがリストに追加された場合は この列に攻撃の種類が示されます ファイアウォール規則の 1 つが [ 規則に一致する場合は侵入として扱う ] オプションを使用しているためにこのアドレスが追加された場合 この列には 関連するファイアウォール規則の名前が示されます このアドレスをユーザが手動で追加した場合 この列にはユーザがブロックした IP アドレスだけが示されます 154

155 Host Intrusion Prevention クライアント Windows クライアント 9 列名 表示される内容 [ 時刻 ] ブロックされたアドレスのリストに このアドレスを追加した日付と時刻 [ 残り時間 ] Host Intrusion Prevention でこのアドレスのブロックを続ける時間 アドレスをブロックしたときに有効期限を指定した場合 この列には Host Intrusion Prevention によってリストからアドレスが削除されるまでの残り時間 ( 分 ) が表示されます リストから手動で削除するまでこのアドレスをブロックすることを指定した場合 この列には [ 削除されるまで ] と表示されます [ ブロックされたホスト ] リストを編集するには 1 [ 追加 ] をクリックしてホストを追加します [ ブロックされたホスト ] ダイアログボックスが表示されます 2 ブロックする IP アドレスを入力します ドメイン名で IPS アドレスを検索するには [DNS 参照 ] をクリックします 3 どれくらいの時間 IP アドレスをブロックするかを決定します [ 削除されるまで ] を選択すると ホストが削除されるまでブロックし続けます [ 次の時間 ( 分 )] を選択し 60 分までの時間を入力して ホストのブロックを一定の時間続けます 4 [ ソースのトレース ] をクリックすると IP アドレスをトレースし 近くのアドレスの NetBIOS ユーザ MAC アドレス Telnet サーババナー HTTP サーババナー FTP サーババナー SMTP サーババナー DNS 名などの情報を収集します 5 [OK] をクリックします 新しいブロックされたホストがリストに表示されます íç ブロックされたアドレスを作成すると Host Intrusion Prevention によって [ アプリケーション保護 ] タブのリストに新しいエントリが追加されます ブロックされたアドレスのリストからその IP アドレスを削除するか 設定した時間が経過するまで その IP アドレスから試みられるすべての通信がブロックされます 6 他の編集操作については 次のいずれかを実行してください 目的 ブロックされたホストの詳細を表示する またはブロックされたホストを編集する ブロックされたホストを削除する 操作 ホストのエントリをダブルクリックするか ホストを選択して [ プロパティ ] をクリックします [ ブロックされたホスト ] ダイアログボックスに編集可能な情報が表示されます ホストを選択し [ 削除 ] をクリックします 155

156 Host Intrusion Prevention クライアント Windows クライアント 9 [ アプリケーション保護 ] タブ [ アプリケーション保護 ] タブには クライアントで保護されているアプリケーションのリストが表示されます これは 管理ポリシーおよびヒューリスティックに作成した特定クライアントのためのアプリケーションリストからデータが格納される表示専用のリストです 詳細については 54 ページの アプリケーション保護規則 を参照してください 図 9-12 [ アプリケーション保護リスト ] タブ アプリケーション保護リスト このリストには クライアントにある監視されているすべてのプロセスが表示されます 列名 表示される内容 [ プロセス ] アプリケーションプロセス [PID] プロセス ID プロセスのキャッシュ参照用のキーです [ プロセスの完全なパス ] アプリケーションプロセスの完全なパス名 156

157 Host Intrusion Prevention クライアント Windows クライアント 9 [ 動作ログ ] タブ [ 動作ログ ] タブを使用して ログ記録の機能を設定し Host Intrusion Prevention のアクションを追跡します 図 9-13 [ 動作ログ ] タブ 動作ログのオプション タブの最上部にあるオプションを使用すると どの項目をログに記録し 表示するかを制御できます 動作ログのオプションをカスタマイズするには 1 [ 動作ログ ] タブをクリックします 2 必要に応じて オプションを選択および選択解除します オプション名 [ トラフィックのログ記録 ] - [ ブロックされたものをすべてログに記録する ] [ トラフィックのログ記録 ] - [ 許可されたものをすべてログに記録する ] [ フィルタオプション ] - [ トラフィック ] [ フィルタオプション ] - [ アプリケーション ] [ フィルタオプション ] - [ 侵入 ] 操作内容 ブロックされたファイアウォールトラフィックをすべてログに記録します 許可されたファイアウォールトラフィックをすべてログに記録します データにフィルタを適用し ブロックされたファイアウォールトラフィックや許可されたファイアウォールトラフィックを表示します データにフィルタを適用し アプリケーションが原因となったイベントを表示します データにフィルタを適用し 侵入を表示します 157