Comments
Description
Transcript
McAfee Host Intrusion Prevention 製品ガイド
製品ガイド ® McAfee Host Intrusion Prevention バージョン 6.1 McAfee System Protection ® 業界最先端の侵入防止ソリューション 製品ガイド ® McAfee Host Intrusion Prevention バージョン 6.1 McAfee System Protection ® 業界最先端の侵入防止ソリューション 著作権 Copyright © 2007 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分も、McAfee, Inc.、または供給業者あるいは関連会社の書面による許可なしには、複製、送信、複写、検索システムへの格 納、他言語への翻訳、あるいはどのような形態における使用もできません。 商標の帰属 Active Firewall、Active Secuity、アクティブセキュリティ、ActiveShield、Clean-Up、Design (Stylized E)、Design (Stylized N)、Entercept、ePolicy Orchenstrator、First Aid、Foundstone、GroupShield、グループシールド、IntruShield、Intrusion Prevention Through Innovation、McAfee、マ カフィー、McAfee and design、McAfee.com、McAfee VirusScan、Net Tools、ネット ツールズ、NetScan、NetShield、Nuts & Bolts、Oil Change、 PrimeSupport、SpamKiller、ThreatScan、Total Virus Defense、Virex、Virus Forum、ViruScan、VirusScan、ウィルススキャン、WebScan、WebShield、 ウェブシールドは、McAfee Inc. または米国および他国の関係会社の登録商標または商標です。セキュリティに関連する赤色は、McAfee ブランド製 品独自のものです。本文書に登場するその他の登録商標および未登録商標は、各所有者の独占所有物です。 使用許諾情報 使用許諾契約 ユーザの皆様へ:お客様がお買い求めになったライセンスに従って該当する法的同意書(ライセンス許可されたソフトウェアの使用について一般条項を定めるものです)をよ くお読みください。お手持ちのライセンスの種類が不明な場合は、ソフトウェア パッケージに付属の、あるいは購入時に個別に受け取ったセールスおよび他の関連するライセ ンス許可または注文書の書類 (パンフレット、製品 CD のファイル、またはソフトウェア パッケージをダウンロードした Web サイト上で利用可能なファイル)を調べてくだ さい。同意書に規定されている条項に合意しない場合は、ソフトウェアをインストールしないでください。そのような場合には、McAfee または購入場所に製品を返品してい ただければ、全額を返金いたします。 帰属 この製品には、以下のプログラムの一部またはすべてが含まれます。 • OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。• Eric A. Young 氏によって作 成された暗号化ソフトウェアおよび Tim J. Hudson 氏によって作成されたソフトウェア。• GNU General Public License (GPL) またはフリー ソフト ウェア ライセンスの下でユーザにライセンス(またはサブライセンス)された一部のソフトウェア プログラム。これらのライセンスでは、特定のプ ログラムまたはその一部に対してコピー、改変、再配布が許可され、ソース コードにもアクセスすることができます。GPL は、実行可能なバイナリ 形式で配布された GPL 適用対象ソフトウェアについて、そのソース コードもユーザに公開することを義務付けています。GPL の適用対象であるその ようなソフトウェアのソース コードは、この CD に収録されています。フリー ソフトウェアのライセンスのために、McAfee が本契約で許諾している 権利より広い範囲でソフトウェア アプリケーションを使用、コピー、または変更する権利を付与する必要がある場合、そのような権利は、本契約にお ける権利および制約より優先されます。• Henry Spencer 氏によって作成されたソフトウェア (Copyright 1992, 1993, 1994, 1997 Henry Spencer)。 • Robert Nordier 氏によって作成されたソフトウェア (Copyright © 1996-7 Robert Nordier)。• Douglas W. Sauder 氏によって作成されたソフトウェ ア。• Apache Software Foundation によって開発されたソフトウェア (http://www.apache.org/)。このソフトウェアの使用許諾契約については、 www.apache.org/licenses/LICENSE-2.0.txt を参照してください。• International Components for Unicode(「ICU」) (Copyright © 1995-2002 International Business Machines Corporation and others)。• CrystalClear Software, Inc. によって開発されたソフトウェア (Copyright © 2000 ® ® ® CrystalClear Software, Inc.)。• FEAD Optimizer テクノロジ (Copyright Netopsystems AG, Berlin, Germany)。• Outside In Viewer Technology ® (© 1992-2001 Stellent Chicago, Inc.) または Outside In HTML Export (© 2001 Stellent Chicago, Inc.)、あるいはその両方。• Thai Open Source Software Center Ltd. と Clark Cooper 氏 (© 1998, 1999, 2000) の著作権で保護されているソフトウェア。• Expat 管理者の著作権で保護されているソ フトウェア。• The Regents of the University of California の著作権で保護されているソフトウェア (© 1996, 1989, 1998-2000)。• Gunnar Ritter 氏 の著作権で保護されているソフトウェア。• Sun Microsystems, Inc. (4150 Network Circle, Santa Clara, California 95054, U.S.A.) の著作権で保護さ れているソフトウェア (© 2003)。• Gisle Aas 氏の著作権で保護されているソフトウェア (© 1995-2003)。• Michael A. Chase 氏の著作権で保護されて いるソフトウェア (© 1999-2000)。• Neil Winton 氏の著作権で保護されているソフトウェア (© 1995-1996)。• RSA Data Security, Inc. の著作権で保 護されているソフトウェア (© 1990-1992)。• Sean M. Burke 氏の著作権で保護されているソフトウェア (© 1999, 2000)。• Martijn Koster 氏の著作権 で保護されているソフトウェア (© 1995)。• Brad Appleton 氏の著作権で保護されているソフトウェア (© 1996-1999)。• Michael G. Schwern 氏の著 作権で保護されているソフトウェア (© 2001)。• Graham Barr氏の著作権で保護されているソフトウェア (© 1998)。• Larry Wall 氏および Clark Cooper 氏の著作権で保護されているソフトウェア (© 1998-2000)。• Frodo Looijaard 氏の著作権で保護されているソフトウェア (© 1997)。• Python Software Foundation の著作権で保護されているソフトウェア (Copyright © 2001, 2002, 2003)。このソフトウェアの使用許諾契約については、www.python.org を参照してください。• Beman Dawes 氏の著作権で保護されているソフトウェア (© 1994-1999, 2002)。• Andrew Lumsdaine 氏、Lie-Quan Lee 氏、 Jeremy G. Siek 氏によって作成されたソフトウェア (© 1997-2000 University of Notre Dame)。• Simone Bordet 氏と Marco Cravero 氏の著作権で 保護されているソフトウェア (© 2002)。• Stephen Purcell 氏の著作権で保護されているソフトウェア (© 2001)。• Indiana University Extreme! Lab 開発のソフトウェア (http://www.extreme.indiana.edu/)。• International Business Machines Corporation ほかの著作権で保護されているソフトウェア (© 1995-2003)。• University of California, Berkeley およびその貢献者によって開発されたソフトウェア。• mod_ssl project (http:// www.modssl.org/) での使用のために Ralf S. Engelschall 氏 <[email protected]> によって開発されたソフトウェア。• Kevlin Henney 氏の著作権で保護されている ソフトウェア (© 2000-2002)。• Peter Dimov 氏および Multi Media Ltd. の著作権で保護されているソフトウェア (© 2001, 2002)。• David Abrahams 氏の著作権で保護されているソフトウェア (© 2001, 2002)。資料については、http://www.boost.org/libs/bind/bind.html をご覧ください。• Steve Cleary 氏、Beman Dawes 氏、Howard Hinnant 氏、および John Maddock 氏の著作権で保護されているソフトウェア (© 2000)。• Boost.org の著 作権で保護されているソフトウェア (© 1999-2002)。• Nicolai M. Josuttis 氏の著作権で保護されているソフトウェア (© 1999)。• Jeremy Siek 氏の著 作権で保護されているソフトウェア (© 1999-2001)。• Daryle Walker 氏の著作権で保護されているソフトウェア (© 2001)。• Chuck Allison 氏および Jeremy Siek 氏の著作権で保護されているソフトウェア (© 2001, 2002)。• Samuel Krempp 氏の著作権で保護されているソフトウェア (© 2001)。アッ プデート、ドキュメントおよび改訂履歴については、http://www.boost.org を参照してください。• Doug Gregor 氏 ([email protected]) の著作権 で保護されているソフトウェア (© 2001, 2002)。• Cadenza New Zealand Ltd. の著作権で保護されているソフトウェア (© 2000)。• Jens Maurer 氏 の著作権で保護されているソフトウェア (© 2000, 2001)。• Jaakko Järvi 氏 ([email protected]) の著作権で保護されているソフトウェア (© 1999, 2000)。• Ronald Garcia 氏の著作権で保護されているソフトウェア (© 2002)。• David Abrahams 氏、Jeremy Siek 氏、および Daryle Walker 氏の著 作権 で 保 護 さ れ て い る ソ フ ト ウ ェ ア (© 1999-2001)。• Stephen Cleary 氏 ([email protected]) の 著 作 権 で保 護 さ れ て い る ソ フ ト ウ ェ ア (© 2000)。• Housemarque Oy 氏 <http://www.housemarque.com> の著作権で保護されているソフトウェア (© 2001)。• Paul Moore 氏の著作権で 保護されているソフトウェア (© 1999)。• John Maddock 博士の著作権で保護されているソフトウェア (© 1998-2002)。• Greg Colvin 氏および Beman Dawes 氏の著作権で保護されているソフトウェア (© 1998, 1999)。• Peter Dimov 氏の著作権で保護されているソフトウェア (© 2001, 2002)。 • Jeremy Siek 氏および John R. Bandela 氏の著作権で保護されているソフトウェア (© 2001)。• Joerg Walter 氏および Mathias Koch 氏の著作権で保護され ているソフトウェア (© 2000-2002)。• Carnegie Mellon University の著作権で保護されているソフトウェア (© 1989, 1991, 1992)。• Cambridge Broadband Ltd. の著作権で保護されているソフトウェア (© 2001-2003)。• Sparta, Inc. の著作権で保護されているソフトウェア (© 2003-2004)。 • Cisco, Inc. および Information Network Center of Beijing University of Posts and Telecommunications の著作権で保護されているソフトウェア (© 2004)。• Simon Josefsson 氏の著作権で保護されているソフトウェア (© 2003)。• Thomas Jacob 氏の著作権で保護されているソフトウェア (© 2003-2004)。• Advanced Software Engineering Limited の著作権で保護されているソフトウェア (© 2004)。• Todd C. Miller 氏の著作権で保護さ Berkeley に Chris れているソフトウェア (© 1998)。 • Regents of the University of California の著作権で保護されているソフトウェア (© 1990, 1993)、 Torek 氏より寄贈されたソフトウェアから生成したコードを含む。 特許情報 Protected by US Patents 6,301,699; 6,412,071; 6,496,875; 6,668,289; 6,823,460. 2007 年 2 月発行/ Host Intrusion Prevention ソフトウェア バージョン 6.1 DBN-100-JA 目次 1 Host Intrusion Prevention の概要 9 このリリースの新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 旧バージョンからの変更点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 新機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 本書の使用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 標準マニュアル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 お問い合わせ情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 2 基本概念 15 IPS 機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 シグニチャ規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 動作規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 イベント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 例外規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ファイアウォール機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ファイアウォール規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ファイアウォールのクライアント規則. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 アプリケーション ブロック機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 クライアントのアプリケーション ブロックの規則 . . . . . . . . . . . . . . . . . . . . 18 全般機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 ポリシー管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 ポリシーの実施 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ポリシーおよびポリシー カテゴリ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ポリシーの継承と割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ポリシーの所有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ポリシー割り当てのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 配備と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 事前設定保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 適応モードと学習モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3 ePolicy Orchestrator の使用方法 24 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作25 ePolicy Orchestrator コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 ポリシーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 ポリシーへの所有者の割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 通知の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Host Intrusion Prevention の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Host Intrusion Prevention サーバのインストール . . . . . . . . . . . . . . . . . . . . 28 Host Intrusion Prevention クライアントの配布 . . . . . . . . . . . . . . . . . . . . . . 28 クライアント データの表示および作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 適応モードまたは学習モードへのクライアントの配置 . . . . . . . . . . . . . . . . . 29 ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 微調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 ヘルプの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 5 ® McAfee Host Intrusion Prevention 6.1 製品ガイド 4 5 6 目次 IPS ポリシー 35 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ホスト IPS (HIPS) とネットワーク IPS (NIPS) のシグニチャ規則 . . . . . . . . 事前設定 IPS ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クイック アクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS オプションのポリシーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS による保護のポリシーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS 規則のポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS 規則のポリシーの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 例外規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . シグニチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション保護規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS イベント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベント ビューの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベントのフィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベントの状態の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 類似イベントのマーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベントの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベント ベースの例外と信頼できるアプリケーションの作成 . . . . . . . . . . . IPS クライアントの規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 通常ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 集約ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS 例外規則の検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 36 37 38 38 40 43 44 44 47 54 58 59 60 60 61 62 63 64 65 66 67 68 ファイアウォール ポリシー 70 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HIP 6.0 規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HIP 6.1 規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール規則のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ステートフル フィルタ機能のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ステートフル パケット検査機能のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール規則グループおよび接続別グループ . . . . . . . . . . . . . . . . . ファイアウォールの [ 学習モード ] および [ 適応モード ] . . . . . . . . . . . . . . . 検疫ポリシーと規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム 6.0 ファイアウォール規則から 6.1 規則への移行. . . . . . . . . . . . . . 事前設定ファイアウォール ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クイック アクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール オプションのポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール規則ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しいファイアウォール規則のポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . ファイアウォール規則の表示および編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しいファイアウォール規則またはファイアウォール グループの作成 . . . . ファイアウォール規則またはグループの削除 . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール クライアントの規則の表示. . . . . . . . . . . . . . . . . . . . . . . . 検疫オプション ポリシーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 検疫規則のポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しい検疫規則のポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 検疫規則の表示および編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しい検疫規則またはグループの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 検疫規則またはグループの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 71 72 73 74 75 77 79 80 81 81 82 82 84 84 87 88 91 91 93 94 94 95 96 96 アプリケーション ブロック ポリシー 97 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション フック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション ブロック ポリシーの事前設定 . . . . . . . . . . . . . . . . . . . . . クイック アクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション ブロックのオプション ポリシーの設定 . . . . . . . . . . . . . . . . . 97 97 98 98 98 99 6 ® McAfee Host Intrusion Prevention 6.1 製品ガイド 目次 アプリケーション ブロックの規則ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . .101 新しいアプリケーション ブロックの規則ポリシーの作成. . . . . . . . . . . . . . 101 アプリケーション ブロックの規則の表示と編集 . . . . . . . . . . . . . . . . . . . . . 102 新しいアプリケーション ブロックの規則の作成 . . . . . . . . . . . . . . . . . . . . . 103 アプリケーション ブロックの規則の削除 . . . . . . . . . . . . . . . . . . . . . . . . . . 104 アプリケーションのクライアント規則の表示 . . . . . . . . . . . . . . . . . . . . . . . 104 7 全般ポリシー 107 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107 事前設定全般ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ポリシー実施の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 クライアント UI ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 クライアント UI ポリシーの作成と適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 信頼できるネットワーク ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 信頼できるアプリケーション ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 信頼できるアプリケーション ポリシーの作成と適用 . . . . . . . . . . . . . . . . . 116 信頼できるアプリケーションの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 信頼できるアプリケーションの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 信頼できるアプリケーションの有効化と無効化 . . . . . . . . . . . . . . . . . . . . . 118 信頼できるアプリケーションの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 8 メンテナンス 120 配布の微調整. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPS イベントの分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 例外規則と信頼できるアプリケーション規則の作成 . . . . . . . . . . . . . . . . . . クライアント例外規則の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しいポリシーの作成と適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーのメンテナンスとタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ポリシー ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシー カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サーバ タスクの実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ディレクトリ ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Event Archiver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Property Translator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . イベントの通知機能の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 通知のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Host Intrusion Prevention の通知. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . レポートの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 定型レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Host Intrusion Prevention レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アップデート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アップデート パッケージのチェックイン . . . . . . . . . . . . . . . . . . . . . . . . . . クライアントのアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 120 120 121 121 121 122 122 124 127 127 127 127 128 128 129 130 130 131 135 135 136 Host Intrusion Prevention クライアント 137 Windows クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム トレイのアイコン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クライアント コンソール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アラート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [IPS ポリシー ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ファイアウォール ポリシー ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アプリケーション ポリシー ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ブロックされたホスト ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アプリケーション保護 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 動作ログ ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Solaris クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Solaris クライアントでのポリシーの実施 . . . . . . . . . . . . . . . . . . . . . . . . . . トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Linux クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Linux クライアントでのポリシーの実施 . . . . . . . . . . . . . . . . . . . . . . . . . . . Linux クライアントについての注意事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 137 138 139 142 148 150 152 154 156 157 159 159 159 162 162 163 ® McAfee Host Intrusion Prevention 6.1 製品ガイド 目次 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 10 よく寄せられる質問 (FAQ) 167 A カスタム シグニチャの記述 172 規則の構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 必須の共通セクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 オプションの共通セクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 セクションでの値の変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Windows のカスタム シグニチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Files クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Isapi クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Registry クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Services クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Solaris のカスタム シグニチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190 UNIX_file クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 UNIX_apache クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Linux のカスタム シグニチャ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 UNIX_file クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 パラメータおよびディレクティブのサマリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 種類別パラメータ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 種類別ディレクティブ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 用語集 196 索引 205 8 1 Host Intrusion Prevention の概要 McAfee® Host Intrusion Prevention は、侵入の検出と防止を行うホストベースのシス テムで、システム リソースおよびアプリケーションを外部および内部の両方の攻撃か ら保護します。 Host Intrusion Prevention は、許可されていない表示、コピー、変更および削除から 情報を保護し、情報の格納と配信を行うシステムとネットワークのリソースやアプリ ケーションが侵害されないようにします。これは、ホスト侵入防止システム (Host Intrusion Prevention System : HIPS) のシグニチャ、ネットワーク侵入防止システム (Network Intrusion Prevention System : NIPS) のシグニチャ、動作規則、およびファ イアウォール規則の革新的な組み合わせによって実現されています。 Host Intrusion Prevention は ePolicy Orchestrator と完全に統合されており、ePolicy Orchestrator のフレームワークを利用して、ポリシーを配信し実施します。Host Intrusion Prevention の機能は IPS、ファイアウォール、アプリケーション ブロック、 および全般機能に分けられているため、ポリシー保護と保護レベルをユーザに提供す る機能をさらにコントロールできます。 Host Intrusion Prevention がインストールされると即座に、システムは保護されます。 既定の保護設定には調整はほとんど必要ないため、迅速で大規模な配布が可能です。 保護をより強化するためには、ポリシーを編集および追加して、配布を調整します。 本製品および本書の使い方についての基本的情報は、次を参照してください。 このリリースの新機能 本書の使用方法 関連資料 お問い合わせ情報 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention の概要 このリリースの新機能 このリリースの新機能 Host Intrusion Prevention 6.1 は、Windows、Solaris、および Linux の各プラットフォー ムでクライアント アプリケーションを管理するために、ePolicy Orchestrator 3.6.1 と 完全に統合されています。ePolicy Orchestrator エージェントが必要になりますが、必 要なバージョンはクライアントがインストールされたプラットフォームによって異な ります。Windows の場合は ePO エージェント 3.5.5 以上、Solaris および Linux の場 合は ePO エージェント 3.7 が必要です。 旧バージョンからの変更点 2 つのカテゴリのファイアウォール ポリシーで、6.0.X Windows クライアント用 の静的なファイアウォール機能に加え、6.1 クライアント用のステートフルなファ イアウォール機能も提供します。 [ファイアウォール規則] および [検疫規則] のポリシーは、Host Intrusion Prevention 6.1 クライアントのみの管理に使用される、ステートフルなファイ アウォール規則のポリシーです。 [6.0 ファイアウォール規則] および [6.0 検疫規則] のポリシーは、Host Intrusion Prevention 6.0.X クライアントの管理に使用される、従来の、静的なファイア ウォール規則のポリシーです。 [ ファイアウォール オプション ] ポリシーのステートフルなファイアウォール オプ ションを使用すると、[FTP プロトコル検査] を有効にしたり、[TCP 接続タイムアウト] や [仮想 UDP 接続タイムアウト] を設定したりできます。 [ファイアウォール規則] ポリシーの接続別グループが強化されました。 ネットワーク アクセスの条件として DNS サフィックスが追加されました。 有線と無線のネットワーク接続が区別されるようになりました。 新機能 SE Linux が統合された Red Hat Enterprise 4 上の Linux クライアントで、次の項目 がサポートされます。 ePO コンソールを使用した IPS ポリシーの管理 適応モードの適用 32 ビット カーネルおよび 64 ビット カーネルの Solaris 8、9、および 10 上の Solaris クライアントで、次の項目がサポートされます。 ePO コンソールを使用した IPS ポリシーの管理 適応モードの適用 Sun One や Apache などの Web サーバの保護 Entercept 5.1 Solaris 版からのアップグレード機能 10 1 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention の概要 本書の使用方法 本書の使用方法 このガイドでは、購入いただいた製品の設定および使用方法について次の情報を提供 します。システム要件およびインストール方法については、 『設定ガイド』を参照して ください。 Host Intrusion Prevention の概要 この製品の概要で、新規または変更のあった機能の説明や本書の概要、McAfee 連 絡先情報などを含みます。 基本概念 Host Intrusion Prevention の基本要素とその動作の説明です。 ePolicy Orchestrator の使用方法 Host Intrusion Prevention および ePolicy Orchestrator の使い方についての説明です。 IPS ポリシー IPS ポリシーを使用した作業の説明です。 ファイアウォール ポリシー ファイアウォール ポリシーを使用した作業の説明です。 アプリケーション ブロック ポリシー アプリケーション ブロック ポリシーを使用した作業の説明です。 全般ポリシー 全般ポリシーを使用した作業の説明です。 メンテナンス Host Intrusion Prevention の保守管理とアップデートの方法を説明します。 Host Intrusion Prevention クライアント クライアントを使用した作業の説明です。 よく寄せられる質問 (FAQ) Host Intrusion Prevention に関する、よくある質問への答えです。 カスタム シグニチャの記述 カスタム シグニチャの書き方についての付録です。 用語集 索引 対象読者 この情報は、社内のホスト侵入検知および防御システムを担当する、ネットワーク管 理者または IT 管理者を対象としています。 11 1 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention の概要 本書の使用方法 表記規則 本書では次の表記規則を使用しています。 太字 オプション、メニュー、ボタン、ダイアログ ボックスの名前など、ユーザ イ ンターフェイスのすべての用語に使用します。 例: 対象のアカウント情報を [ユーザ] 名と [パスワード] に入力します。 フォルダやプログラムのパス、ユーザがそのまま入力するテキスト(システ ム プロンプトでのコマンドなど)に使用します。 Courier 例: アプリケーションの既定のディレクトリは次のとおりです。 C:\Program Files\McAfee\EPO\3.5.0 このコマンドをクライアント コンピュータで実行します。 C:\SETUP.EXE 青字 Web アドレス (URL) やリンク先に使用します。 次の McAfee Web サイトを参照してください。 http://www.mcafee.com 総称的な用語を表すために不等号かっこを使用します。 <用語> 例: コンソール ツリーで、<サーバ> を右クリックします。 注意:同一のコマンドを実行する別の方法の説明など、補足情報です。 íç ヒント : ベスト プラクティスを得るための提案や、脅威を防御しパフォーマ ンスや効率を高めるために McAfee が推奨する内容です。 ÉqÉìÉg 警告:コンピュータ システム、企業、ソフトウェアのインストール、または データを保護するための重要な警告です。 íçà” åxçê 危険:ハードウェアを取り扱う場合にけがや事故を防ぐための重要な警告 です。 12 1 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention の概要 関連資料 関連資料 特に注記がない限り、製品マニュアルは製品 CD または McAfee ダウンロード サイト から Adobe Acrobat の .PDF ファイル形式(バージョン 6.0)で入手できます。 標準マニュアル インストール ガイド - サポート製品を ePolicy Orchestrator 管理ソフトウェアによ り配布し、管理する手順について記載されています。 製品ガイド - 製品の紹介と機能の説明、ソフトウェアの詳細な設定手順、配布方法、 繰り返し実行するタスク、および操作手順について記載されています。 ヘルプ - ソフトウェア アプリケーションの [ヘルプ] ボタンからアクセスできる、ハ イレベルで詳細な情報です。 クイック リファレンス カード - 基本的な製品機能、頻繁に行う定型タスク、および ときどき行う重要なタスクについての情報を記載した便利なカードです。印刷した カードが製品 CD のパッケージに入っています。 リリース ノート - ReadMe。製品情報、解決された問題、既知の問題、製品または製 品のマニュアルに対する最新の変更点が記載されています(ソフトウェア アプリケー ションおよび製品 CD にテキスト ファイルで同梱されています)。 13 1 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention の概要 お問い合わせ情報 お問い合わせ情報 脅威センター:McAfee Avert® Labs http://www.mcafee.com/us/threat_center/default.asp Avert Labs 脅威ライブラリ http://vil.nai.com Avert Labs WebImmune およびサンプルの送信(ログオン資格情報が必要です) https://www.webimmune.net/default.asp Avert Labs DAT 通知サービス http://vil.nai.com/vil/signup_DAT_notification.aspx ダウンロード サイト http://www.mcafee.com/us/downloads/ 製品のアップグレード(有効なライセンス番号が必要です) セキュリティ アップデート(DAT、エンジン) HotFix およびパッチのリリース セキュリティの脆弱性向け(一般に公開) 製品向け(ServicePortal アカウントおよび有効なライセンス番号が必要です) 製品の評価 McAfee ベータ版 テクニカル サポート http://www.mcafee.com/us/support/ 知識ベース検索 http://knowledge.mcafee.com/ McAfee 技術サポート ServicePortal(ログイン資格情報が必要です) https://mysupport.mcafee.com/eservice_enu/start.swe カスタマ サービス Web http://www.mcafee.com/us/support/index.html http://www.mcafee.com/us/about/contact/index.html 米国、カナダ、および中南米のフリーダイヤル: +1-888-VIRUS NO または +1-888-847-8766 月曜日から金曜日、中央標準時の午前 8 時から午後 8 時 プロフェッショナル サービス 大企業のお客様 : 中小企業のお客様 : http://www.mcafee.com/us/enterprise/services/index.html http://www.mcafee.com/us/smb/services/index.html 14 1 2 基本概念 McAfee® Host Intrusion Prevention は、侵入を防御するホストベースのシステムです。 ワーム、トロイの木馬、バッファ オーバフロー、重要なシステム ファイルの変更、 および権限の拡大などの攻撃を、既知および未知を問わず防御します。Host Intrusion Prevention の管理は ePolicy Orchestrator コンソールから利用でき、ホスト侵入防止、 ファイアウォール、アプリケーション ブロックおよび全般ポリシーを設定、適用でき ます。サーバやデスクトップに Host Intrusion Prevention クライアントを配備すると、 独立した保護ユニットとして機能します。クライアントは、その動作を ePolicy Orchestrator にレポートして、新たな攻撃を定義するためのアップデートを取得し ます。 この章では、次のトピックにより、Host Intrusion Prevention の 4 つの機能および ePolicy Orchestrator と連携する方法について説明します。 IPS 機能 ファイアウォール機能 アプリケーション ブロック機能 全般機能 ポリシー管理 配備と管理 IPS 機能 侵入防止システム (Intrusion Prevention System : IPS) 機能により、システム コールお よび API コールをすべて監視し、不正な動作を行う可能性のあるコールをブロックし ます。Host Intrusion Prevention では、コールを行っているプロセス、そのプロセス が実行されているセキュリティ コンテキスト、アクセス先のリソースを判別します。 ユーザモードのシステム コール テーブルにあるエントリをリダイレクトして受信す るカーネルレベル ドライバは、一連のシステム コールを監視します。コールが行わ れると、コール要求に対してシグニチャの組み合わせおよび動作規則のデータベース との比較がドライバにより行われ、これによりアクションを許可するか、ブロックす るか、ログへ記録するかが判断されます。 15 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 IPS 機能 シグニチャ規則 シグニチャ規則は、トラフィック ストリームと照合されるものではなく、文字パター ンです。たとえば、HTTP 要求ではシグニチャ規則により特定の文字列が検索されま す。既知の攻撃にある文字列と一致した場合には、アクションが発生します。シグニ チャ規則では既知の攻撃に対する保護を行います。 シグニチャは、たとえば、Apache や IIS、NES/iPlanet などの Web サーバといった、 特定のアプリケーションまたは特定のオペレーティング システム用に設計されてい ます。大部分のシグニチャはオペレーティング システム全体を保護しますが、特定の アプリケーションのみを保護するシグニチャもあります。 動作規則 ハードコードされた動作規則では、正当な動作のプロファイルを定義します。プロファ イルと一致しないものは怪しい動作とみなされて応答が発生します。たとえば、HTML ファイルにアクセスできるのは Web サーバのみであると動作規則で規定していると します。他のプロセスから HTML ファイルにアクセスしようとすると、アクションが 発生します。これらの規則により、ゼロデイ攻撃とバッファ オーバフロー攻撃から保 護されます。 イベント シグニチャあるいは動作規則に対する違反がクライアントにより検知されると、IPS イベントが生成されます。イベントは、[IPS 規則] ポリシーの [IPS イベント] タブに記 録されます。管理者は、これらのイベントを監視して、システム規則違反を表示およ び解析し、イベントの処理を調整するか、あるいは例外または信頼できるアプリケー ション規則を作成して、イベント数を減らし、保護設定を微調整できます。 処理 処理とは、特定の重大度にあるシグニチャを認識したときにクライアントが行う動作 です。 クライアントが行う処理には、次の 3 種類があります。 [無視] - 処理を行いません。イベントはログに記録されず、プロセスは防止されま せん。 [ログに記録] - イベントはログに記録されますが、プロセスは防止されません。 [阻止] - イベントはログに記録され、プロセスは防止されます。 たとえば、あるクライアントにより [情報] レベルのシグニチャが認識されると、その シグニチャの発生がログに記録され、プロセスはオペレーティング システムが処理す るようにセキュリティ ポリシーに指定できます。また、[高] レベルのシグニチャを認 識するとそれを防止するようにも指定できます。 ログ記録は、各シグニチャで直接有効にできます。 íç 16 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 ファイアウォール機能 例外規則 例外とは、ブロックされた動作に優先する規則です。シグニチャが攻撃と定義する動 作が、ユーザの通常業務の一部の場合や、保護されたアプリケーションでは正当な動 作である場合があります。シグニチャを無効にするには、正当な動作を許可する例外 を作成することができます。たとえば、特定のクライアントについてはプロセスを無 視するように例外で指定できます。 これらの例外は、手動で作成することも、[適応モード] にクライアントを配置して、 クライアント例外規則を作成するようにすることもできます。特定のシグニチャを無 効にできないようにするには、シグニチャを編集して、[クライアント規則の許可] オプ ションを無効にします。ePolicy Orchestrator コンソールで、クライアント例外を追跡 して、通常ビューおよび集約ビューに表示できます。これらのクライアント規則を使 用して新しいポリシーを作成するか、または他のクライアントに適用できる既存ポリ シーに追加します。 ファイアウォール機能 Host Intrusion Prevention ファイアウォール機能は、コンピュータと、接続している ネットワークまたはインターネットの間でフィルタとして機能します。[6.0 ファイア ウォール規則] ポリシーでは、静的なパケット フィルタ機能を使用してトップダウン 方式で規則が照合されます。パケットが解析され、IP アドレス、ポート番号、パケッ トの種類などの条件でファイアウォール規則に一致すると、パケットが許可またはブ ロックされます。一致する規則が見つからない場合は、そのパケットは破棄されます。 現在のバージョンの [ファイアウォール規則] ポリシーでは、ステートフル パケット フィルタ機能とステートフル パケット検査機能の両方が使用されます。 その他の機能には次のようなものがあります。 検疫モードには、クライアント コンピュータを配置して、厳密なファイアウォー ル規則を適用し、隔離されたクライアントが通信可能な相手および通信できない相 手を定義できます。 接続別グループを使用すると、ネットワーク アダプタごとに特定の種類の接続に 特別な規則グループを作成できます。 ファイアウォール規則 ファイアウォール規則は、必要に応じて単純なものから複雑なものまで作成できます。 Host Intrusion Prevention では、次に基づいた規則作成が可能です。 接続の種類(ネットワークまたはワイヤレス) IP プロトコルおよび非 IP プロトコル ネットワーク トラフィックの方向(受信、送信、あるいは両方) トラフィックの生成元であるアプリケーション 受信者または送信者であるコンピュータで使用しているサービスまたはポート 送信者または受信者であるリモート コンピュータで使用しているサービスまたは ポート 発信元および送信先 IP アドレス パケットが送受信された時間または曜日 17 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 アプリケーション ブロック機能 ファイアウォールのクライアント規則 IPS 規則同様、[適応モード] あるいは [学習モード] にあるクライアントにより、クラ イアント規則を作成してブロックされた動作を許可できます。クライアント規則を追 跡して、通常ビューおよび集約ビューに表示できます。これらのクライアント規則を 使用して新しいポリシーを作成するか、または他のクライアントに適用できる既存ポ リシーに追加します。 アプリケーション ブロック機能 アプリケーション ブロック機能では、使用されているアプリケーションを監視して、 それらを許可またはブロックできます。 Host Intrusion Prevention では、2 種類のアプリケーション ブロック方法があります。 アプリケーションの作成 アプリケーションのフック Host Intrusion Prevention によるアプリケーション作成の監視時には、実行しようと しているプログラムが検索されます。何も問題のない場合がほとんどですが、たとえ ばシステムに悪影響を及ぼすプログラムを実行しようとするウィルスもあります。 ファイアウォール規則同様、ユーザに許可されたプログラムのみ実行できるようにア プリケーション規則を作成して、この問題を防止できます。 Host Intrusion Prevention によりアプリケーションのフックが監視されているときに は、他のアプリケーションとバインドまたは「フック」しようとしているプログラム が検索されます。この動作には問題がない場合もありますが、システムにウィルスそ の他の攻撃があることを示す怪しい動作である場合もあります。 Host Intrusion Prevention は、アプリケーションの作成のみ、アプリケーションのフッ クのみ、またはその両方を監視するように設定できます。 アプリケーション ブロック機能は、ファイアウォール機能と同じような働きをしま す。アプリケーション規則のリストでは、許可またはブロックしたいアプリケーショ ンごとに 1 つの規則を作成します。実行されようとしているアプリケーション、また は他のアプリケーションにフックしようとしているアプリケーションを検知するたび に、Host Intrusion Prevention はそのアプリケーション規則リストを確認して、アプ リケーションを許可するかブロックするか判断します。 クライアントのアプリケーション ブロックの規則 [適応モード] あるいは [学習モード] にあるクライアントによってクライアント規則を 作成し、ブロックされたアプリケーションの作成またはアプリケーションのフックを 許可することができます。これは通常ビューおよび集約ビューの両方に表示されます。 IPS およびファイアウォールのクライアント規則同様、これらのクライアント規則を 使用して新しいポリシーを作成するか、または他のクライアントに適用できる既存ポ リシーに追加します。 18 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 全般機能 全般機能 Host Intrusion Prevention の全般機能により、IPS、ファイアウォール、またはアプリ ケーション ブロック機能に特定しない、共通なポリシーにアクセスできます。これに は次のようなポリシーが含まれます。 すべてのポリシー実施の有効化、または無効化 クライアント インターフェイスの表示方法およびクライアント インターフェイス へのアクセス方法の判断 信頼できるネットワーク アドレスおよびサブネットの作成と編集 信頼できるアプリケーションの作成と編集により、誤検知イベントの発生を防止 ポリシー管理 ポリシーは Host Intrusion Prevention の設定の集まりで、ePolicy Orchestrator コン ソールから設定し、Host Intrusion Prevention クライアントに実施します。ポリシー によって、管理対象のシステム上にあるセキュリティ ソフトウェアを、ユーザ環境の 必要性にあわせて、確実に設定できます。 ePolicy Orchestrator コンソールにより、Host Intrusion Prevention ポリシーを集中的 に設定できます。ポリシーは、Host Intrusion Prevention インストール時にマスター リポジトリに追加された Host Intrusion Prevention NAP ファイルの一部です。 ポリシーの実施 ePolicy Orchestrator コンソールで Host Intrusion Prevention ポリシーを変更すると、 管理対象のシステムには、次回のエージェント / サーバ間通信間隔 (ASCI) に変更が反 映されます。この間隔は、既定では 60 分ごとに発生するように設定されています。 Host Intrusion Prevention ポリシーは、ePolicy Orchestrator コンソールから起動コー ルを実行することにより、直ちに実施できます。 19 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 ポリシー管理 ポリシーおよびポリシー カテゴリ 各製品のポリシー情報は、カテゴリによってグループ化されています。ポリシー カテ ゴリは、ポリシーの特定のサブセットです。[ ポリシー カタログ ] で製品名を展開する と、各製品のポリシー カテゴリが表示されます。 図 2-1 ポリシー カタログ 名前付きポリシーは、特定のポリシー カテゴリに対して設定した一連のポリシー定義 です。ポリシー カテゴリごとに、名前が付けられたポリシーを必要な数だけ作成、変 更、または削除できます。[ポリシー カタログ] では、特定のカテゴリ名を展開すると、 そのカテゴリの名前付きポリシーが表示されます。 各ポリシー カテゴリには、[ グローバル既定 ] と名前の付いたポリシーがあります。こ のポリシーは、編集することも削除することもできません。 Host Intrusion Prevention には、[IPS 規則] と [信頼できるアプリケーション] の 2 つのカ テゴリがあり、名前付きポリシー インスタンスを複数割り当てて、適用可能な IPS ポ リシーとアプリケーション ポリシーのプロファイルを提供できます。 図 2-2 2 つの信頼できるアプリケーション ポリシー インスタンスのプロファイル ポリシーの継承と割り当て ポリシーは、継承または割り当てによってあらゆる [ディレクトリ] コンソール ツリー ノードに適用されます。継承では、ノードのポリシー設定がその親ディレクトリから のものであるかどうかを判断します。既定では、継承はディレクトリ全体を通じて有 効 で す。直 接 ポ リ シ ー を 割 り 当 て る こ と で、継 承 を 無 効 に で き ま す。ePolicy Orchestrator で Host Intrusion Prevention を管理する場合、継承を考慮せずに、ポリ シーを作成して適用できます。ディレクトリのどこかに新しいポリシーを割り当てて この継承を無効にすると、子ノードはすべて新しいポリシーを継承します。 20 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 配備と管理 ポリシーの所有 利用できるすべてのポリシーには、それぞれ割り当てられた所有者が必要です。既定 では、ポリシーの所有者は、そのポリシーを作成したグローバル管理者またはサイト 管理者です。 所有者を認めることにより、グローバル管理者または名前付きポリシーの所有者以外 は、ポリシーを変更できなくなります。あらゆる管理者はカタログ内のあらゆるポリ シーを利用できますが、所有者またはグローバル管理者以外はポリシーを変更できま せん。 所有していないポリシーを自分が管理しているディレクトリのノードに割り当て、そ のポリシーの所有者がポリシーを変更すると、このポリシーが割り当てられたすべて のシステムでその変更が受け入れられます。 ÉqÉìÉg 他の管理者が所有するポリシーを使用してコントロールするには、ポリシーを複製 し、その複製したポリシーを割り当てます。 ポリシー割り当てのロック グローバル管理者は、ディレクトリ内の任意の場所へのポリシー割り当てをロックで きます。ポリシー割り当てのロックにより、他のユーザは、あるポリシーの割り当て を他のポリシーと切り替えられなくなります。ポリシー割り当てのロックは、ポリシー とともに継承されます。 グローバル管理者が、あるポリシーを設定してディレクトリのトップに割り当てた場 合、他のユーザがディレクトリのどこかにある別の名前付きポリシーで置き換えない ようにするため、ポリシー割り当てのロックは便利です。 íç ポリシーをロックしても、ポリシーの所有者は、その名前付きポリシーの設定を変更 できます。したがって、ポリシーの割り当てをロックしようとする場合は、自分が所 有するポリシーであることを確認します。 配備と管理 Host Intrusion Prevention の配備と管理は、ePolicy Orchestrator を利用して行います。 ePO コンソール ツリーで、属性に基づいてクライアントを階層にグループ化できま す。たとえば、第 1 レベルを地理的な場所、第 2 レベルを OS プラットフォームや IP アドレスによりグループ化します。クライアントは、システムの種類(サーバかデス クトップか)、主要なアプリケーションの用途(Web、データベース、またはメール サーバ)、役割の点から見た場所(DMZ またはイントラネット)などの、Host Intrusion Prevention の設定条件に基づいてグループ化することをお勧めします。共通の使用方 法プロファイルに適合するクライアントは、コンソール ツリーの共通グループに配置 できます。使用方法プロファイルにあわせて、グループは、たとえば Web サーバ と 名前を付けます。 種類、機能、または地理的場所に従ってコンソール ツリーでグループ化されたコン ピュータでは、管理機能を同じ方針で容易に分割できます。Host Intrusion Prevention でも、IPS やファイアウォールなどの製品機能に基づいて管理作業を分割できます。 21 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 配備と管理 このリリースの Host Intrusion Prevention と ePolicy Orchestrator では、ポリシーは、 複数のノード間で共有可能な独立した存在です。各カテゴリには、Host Intrusion Prevention の機能の中で 1 つのポリシーが割り当てられます。IPS 規則などのいくつ かのカテゴリには複数のポリシーを割り当てることができ、これは親ノードから継承 する場合も、ノードに直接適用する場合もあります。この場合、衝突が発生すると、 Host Intrusion Prevention によってより厳密な規則から先に適用されます。グループ ノードに適切なポリシーを割り当てると、ePolicy Orchestrator の継承機能により、そ のノードの下にある各システムは自動的にその親ノードの設定を継承します。 クライアントのほとんどは少数の使用方法プロファイルに合致するため、何千という コンピュータへの Host Intrusion Prevention クライアントの配備が容易に管理できま す。大規模な配備の管理が、少数のポリシー規則のメンテナンスに省力化されます。 配備の規模が拡大するにつれ、新たに追加されるシステムは既存のプロファイルに合 致するようになるため、コンソール ツリーの正しいグループのもとに配置できます。 事前設定保護 Host Intrusion Prevention では、McAfee の既定のポリシー設定による基本的保護が可 能です。この保護はすぐに利用できるもので、調整は必要なく、セキュリティ イベン トもほとんど生成しません。配備の調整を行う前でも、クライアントを最初から大規 模に配備できます。ワークステーションやラップトップにクライアントがインストー ルされている多くの環境では、この基本的保護で十分です。 事前設定 IPS ポリシーやファイアウォール ポリシーの中にも、より高度な保護を提供 するものがあります。たとえば、サーバのプロファイルは、基本的なワークステーショ ン保護が提供するものより強力な保護を必要とします。事前設定の強力な保護ポリ シーを土台として利用し、カスタム ポリシーを作成することもできます。 適応モードと学習モード 保護設定をさらに調整する手段として、Host Intrusion Prevention クライアントでは、 正当な動作をブロックしてしまうサーバで指示したポリシーに対して、クライアント 側で例外規則を作成できます。クライアント規則は、クライアントが [適応モード] ま たは [学習モード] に配置されている場合に作成できます。[適応モード] は、IPS、ファ イアウォール、およびアプリケーション ブロック機能で使用でき、ユーザと対話せず にクライアント規則を作成できます。[学習モード] は、ファイアウォール、およびア プリケーション ブロック機能で使用でき、クライアント規則を作成するかどうかを ユーザがシステムに指示する必要があります。 どちらのモードでも、イベントはまず、バッファ オーバフローのようなもっとも悪質 な攻撃について解析されます。その動作が業務に必要な通常のものであるとみなされ ると、Host Intrusion Prevention クライアントがクライアント規則を作成し、規則 がなければブロックされるはずの操作が可能になります。[適応モード] または [学習 モード] にクライアントを配置することで、設定の調整が行えます。Host Intrusion Prevention では、このクライアント規則の任意のもの、あるいはすべてを利用でき、 または何も利用しないことも可能で、それらをサーバに委ねられたポリシーに変換で きます。[適応モード] および [学習モード] はいつでも終了して、システムの侵入防止 保護をより厳しくできます。 22 2 McAfee® Host Intrusion Prevention 6.1 製品ガイド 基本概念 配備と管理 大規模な組織では、業務の途絶を回避することがセキュリティへの配慮に優先する場 合が多々あります。たとえば、クライアント コンピュータの中には定期的に新しいア プリケーションをインストールする必要のあるものがありますが、それらの調整を行 う時間も人員も足りないかもしれません。Host Intrusion Prevention では、IPS 保護の ために特定のクライアントを [適応モード] に配置できます。それらのコンピュータは、 新しくインストールされたアプリケーションをプロファイルし、発生したクライアン ト規則をサーバに送信します。管理者はこれらのクライアント規則を既存のポリシー または新しいポリシーに追加してからそのポリシーを他のコンピュータに適用し、新 しいソフトウェアを処理することができます。 調整 Host Intrusion Prevention を配布する際には、少数の明確な使用方法プロファイルを 識別し、そのためのポリシーを作成する必要があります。最良の方法はテスト配布を 設定し、誤検知と生成されるイベントの数を減らしていくことです。このプロセスを 調整と呼びます。 たとえば、IPS 規則が厳しいと、より広い範囲の違反を対象とするシグニチャをさら に提供し、基本的環境に比べはるかに多くのイベントが生成されます。より高度な保 護を適用する場合、IPS による保護ポリシーを利用して、衝撃をやわらげることをお 勧めします。このため、各重大度レベル(高、中、低、情報)を処理(防止、ログに 記録、無視)にマッピングする必要があります。最初は高以外の重大度処理を無視に 設定すると、高重大度シグニチャのみが適用されます。他のレベルは、調整を進める 間に段階的に上げられます。 例外規則、信頼できるアプリケーション、およびファイアウォール規則を作成して誤 検知の数を減らすことができます。例外規則は、特定の状況で、セキュリティ ポリ シーを無効にするメカニズムです。信頼できるアプリケーションは、常に許容される アプリケーション プロセスです。ファイアウォール規則は、トラフィックを許可する か、またパケット伝送を許可するかブロックするかを判断します。 レポート レポートにより、特定の項目に関するデータを取得し、たとえば指定した期間の特定 のクライアントによりレポートされた高レベルのイベントなど、取得したデータの特 定のサブセットにフィルタできます。レポートはスケジュールして、電子メールとし て送信できます。 23 2 3 ePolicy Orchestrator の使用方法 Host Intrusion Prevention の設定および管理には、ePolicy Orchestrator を使用する必 要があります。Host Intrusion Prevention は、次の基本的なタスクで構成されています。 Host Intrusion Prevention サーバ ファイルおよびクライアント パッケージのイ ンストールと確認。 Host Intrusion Prevention インストーラを使用して、Host Intrusion Prevention サー バ ファイル(NAP ファイルなど)、既定のシグニチャおよび規則を含めたコンテン ツ、および ePolicy Orchestrator リポジトリへのレポートを確認します。Host Intrusion Prevention クライアント パッケージを ePolicy Orchestrator リポジトリ にチェックインします。詳細については、『Host Intrusion Prevention 6.0 インス トール ガイド』を参照してください。 Host Intrusion Prevention クライアントの配布。 ePolicy Orchestrator コンソールを使用して、Host Intrusion Prevention クライアン トを [ディレクトリ] コンソール ツリーにあるコンピュータに配布します。詳細に ついては、『ePolicy Orchestrator 3.6 製品ガイド』を参照してください。 Host Intrusion Prevention ポリシーの設定。 IPS、ファイアウォール、アプリケーション ブロック、およびクライアントに適用 する全般ポリシーを設定します。各ポリシーの既定の設定で基本的な保護が提供さ れますが、さらに堅固なセキュリティには、環境に適合するように配布を調整し、 ポリシーを設定する必要があります。詳細については、本書の該当する章を参照し てください。 ポリシー カタログへの所有者の割り当て。 所有権は、ポリシー カタログで割り当てます。詳細については、『ePolicy Orchestrator 3.6 製品ガイド』を参照してください。 Host Intrusion Prevention ポリシー アップデート情報のクライアントへの送信。 ePolicy Orchestrator は、アップデート情報を Host Intrusion Prevention クライア ントに送信します。クライアントがポリシーを実施し、イベント情報を収集し、そ の情報を ePolicy Orchestrator に返送します。クライアントとサーバ間の対話は、 ePolicy Orchestrator エージェント ポリシーの設定によって決まります。詳細につ いては、 『ePolicy Orchestrator 3.6 製品ガイド』を参照してください。 Host Intrusion Prevention イベントに対して ePolicy Orchestrator に通知を設定。 詳細については、『ePolicy Orchestrator 3.6 製品ガイド』を参照してください。 ePolicy Orchestrator でレポートを実行してイベントおよび保護の結果を表示。 Host Intrusion Prevention クライアントの動作は ePolicy Orchestrator に送信され、 データベースに保存されます。コンソールを使用して、Host Intrusion Prevention 保護に関するレポートを実行します。 24 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作 ePolicy Orchestartor とともに Host Intrusion Prevention を使用する方法の詳細につい ては、次のトピックを参照してください。 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作 Host Intrusion Prevention の操作 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作 Host Intrusion Prevention の基本的な機能の一部は、ePolicy Orchestrator の機能で実 行されます。これらの機能を使用する場合の詳細については、ePolicy Orchestrator の マニュアルを参照してください。Host Intrusion Prevention に固有の領域についての 詳細とあわせて、本書にも概要が記載されています。 ePolicy Orchestrator コンソール ePolicy Orchestrator コンソールを使用して、Host Intrusion Prevention を管理します。 詳細については、『ePolicy Orchestrator 3.6 製品ガイド』を参照してください。 ePolicy Orchestator コンソールは、コンソール ツリーおよび詳細情報ペインという 2 つの主要部分に分かれています。 コンソール ツリーは、[ ディレクトリ ] で ePolicy Orchestrator のノード(コンピュー タ、グループ、およびサイト)を選択して、Host Intrusion Prevention ポリシーを適 用するナビゲーション ペインです。また、ツリーには、ポリシー カタログ、通知、お よびレポートなど、コンソール インターフェイスのその他の主な機能へのリンクも含 まれています。 詳細情報ペインには、コンソール ツリーで選択したノードの機能設定が表示されます。 図 3-1 ePolicy Orchestrator コンソール 25 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作 ポリシーの管理 ポリシーとは、ユーザが作成、設定、および実施するソフトウェア設定を収集したも のです。既定のポリシーを適用することも、アクセス許可があるディレクトリの任意 のノードにカスタマイズしたポリシーを作成して適用することもできます。ポリシー の設定および割り当ては、製品を配布する前でも後でも可能です。各ポリシー カテゴ リによって、ポリシーが Windows クライアントのみに適用される (Windows) か、 Windows、Solaris、および Linux のいずれのクライアントにも適用される(すべての プラットフォーム) かを示します。 選択したポリシーは、ディレクトリの任意のノードにすべて実施するようにも何も実 施しないようにも選択できます。 ノードを選択すると表示される [ ポリシーの割り当て ] ページでは、製品または製品の 機能にポリシーを実施するかどうかを選択できます。 図 3-2 [ ポリシーの割り当て ] ページ 26 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention とともに使用する場合の ePolicy Orchestrator の操作 [ポリシー カタログ] ページでは、ポリシーの割り当ておよび所有者を表示できます。 図 3-3 ポリシー カタログ ポリシーへの所有者の割り当て [ポリシー カタログ] ページから、アクセス許可がある Host Intrustion Prevention に対 するすべてのポリシーが使用できます。ユーザが他のユーザのポリシーを変更できな いようにするために、各ポリシーには所有者が割り当てられます。グローバル管理者 またはポリシーを作成したサイト管理者が所有者になります。 ポリシーの変更または削除が行えるのは、ポリシーの作成者またはグローバル管理者 のみです。[ ポリシー カタログ ] ページにあるポリシーを適用することはどの管理者で もできますが、所有者またはグローバル管理者以外変更はできません。 ÉqÉìÉg ディレクトリのセグメントに所有していないポリシーを割り当てる場合、ポリシーの 所有者がこれを変更すると、このポリシーが割り当てられているすべてのノードにこ の変更が反映されます。他の管理者が所有するポリシーを使用するには、ポリシーを 複製し、その複製したポリシーをノードに割り当てます。 通知の生成 電子メール、ポケベル、および SNMP トラップ通知により、Host Intrusion Prevention クライアントまたはサーバ自体に発生したイベントについてのアラートを送信できま す。ePolicy Orchestrator サーバが、特定の Host Intrusion Prevention イベントを受信 して処理した場合に、メッセージ、SNMP トラップの送信または外部コマンド実行の 規則を設定できます。通知メッセージを生成するイベントのカテゴリや通知の送信頻 度を指定するなど、詳細な設定が可能です。 27 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 レポートの生成 クライアント システムの Host Intrusion Prevention クライアントは情報をサーバに送 信し、この情報はレポート データベースに格納されます。レポートやクエリは、この 格納されている情報に対して行われます。IPS レポートとファイアウォール レポート という 2 つのカテゴリに分類される 8 種類の定型レポートがあります。詳細について は、130 ページの「レポートの実行」を参照してください。 Host Intrusion Prevention の操作 Host Intrusion Prevention を使用するためのすべての面で、製品に固有の点に関する 概要を次に説明します。これらの機能を使用する場合の詳細については、本書を参照 してください。 Host Intrusion Prevention サーバのインストール クライアントを配布する前に、管理サーバをインストールする必要があります。詳細 な手順については、 『Host Intrusion Prevention インストール ガイド』を参照してくだ さい。 Host Intrusion Prevention クライアントの配布 Host Intrusion Prevention を配布する際には、クライアントにより保護されます。作 業環境にあるすべてのシステムをクライアント ソフトウェアで保護することが理想 的です。次のように段階的なアプローチで配布することをお勧めします。 クライアント展開の初期計画を決定。社内の全ホスト(サーバおよびデスクトッ プ)に Host Intrusion Prevention クライアントを配布しますが、はじめは限定数の 代表的なシステムにクライアントをインストールして、設定を調整することをお勧 めします。配布の微調整が終了したら、さらに多数のクライアントを配布して、初 期に展開した中で作成したポリシー、例外、およびクライアント規則を活用します。 クライアントに対する命名の規則の確立。クライアントは、コンソール ツリー、特 定のレポート、およびクライアントの動作により生成されるイベント データでの 名前により識別されます。クライアントは、インストールするホスト名を引き継ぐ ことも、インストール中に特定のクライアント名を割り当てることもできます。ク ライアントに対して、Host Intrusion Prevention の配布作業の関係者にわかりやす い命名規則を確立することをお勧めします。 クライアントのインストール。インストールしたクライアントには、IPS、ファイ アウォール、アプリケーション ブロック、および全般規則ポリシーの既定のセッ トもインストールされています。規則をアップデートした新しいポリシーは、後で サーバから適用できます。 クライアントの論理的なグループ分け。クライアントは、コンソール ツリーの階 層に適合する任意の基準でグループ分けできます。たとえば、配置場所、企業内で の機能、またはシステムの特性に従ってクライアントをグループ分けできます。 詳細な手順については、 『Host Intrusion Prevention インストール ガイド』を参照して ください。 28 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 クライアント データの表示および作業 クライアントをインストールしてグループ分けしたら、配布は完了です。設定した IPS セキュリティ ポリシーに違反したエージェントの動作により発生するイベントの表 示が開始されます。クライアントを適応モードに配置した場合、どのクライアントの 例外規則が作成されているかを示すクライアント規則が表示されます。このデータを 解析して、配布の調整を開始します。 イベント データの解析については、IPS 機能の [IPS イベント ] タブを参照してくださ い。イベントを発生させたプロセス、イベントの発生時点、およびイベントを発生さ せたクライアントなど、イベントの詳細を探ることができます。イベントを解析し、 適切に対処することで、Host Intrusion Prevention の配布に調整を加え、攻撃に対す る対応を強化できます。[IPS イベント ] タブには、既定のクライアント ベースおよび ネットワーク ベースの侵入防止シグニチャ、またカスタムのホスト ベース シグニ チャが表示されます。 クライアント規則を解析するには、[ クライアント規則 ] タブを表示します。[クライア ント規則] は、ファイアウォールおよびアプリケーション ブロックの機能でも表示さ れます。作成中の規則を表示し、規則を集約して最も優勢な共有規則を見つけ、他の クライアントに適用するポリシーにその規則を直接移動できます。 また、レポート機能では、イベント、クライアントの規則、および Host Intrusion Prevention の設定に基づいて、詳細なレポートを作成できます。これらのレポートを 使用して、チーム メンバや管理メンバに環境動作を連絡します。 適応モードまたは学習モードへのクライアントの配置 調整プロセスの重要な要素は、[適応モード] の Host Intrusion Prevention クライアン トを IPS、ファイアウォール、アプリケーション ブロックに、また [学習モード] の Host Intrusion Prevention クライアントをファイアウォールとアプリケーション ブ ロックに配置します。これらのモードによりクライアントは、管理者ポリシーに対す るクライアントの例外規則を作成できます。[適応モード] では、ユーザと対話せず自 動的に実行され、[学習モード] では、イベント発生時のシステムの対応をユーザが指 示する必要があります。 これらのモードでは、まずバッファ オーバフローなど最も悪意のある攻撃に対してイ ベントを解析します。動作が、業務上通常のものであり必要とみなされると、クライ アントの例外規則が作成されます。[適応モード] または [学習モード] で代表的なクラ イアントを設定することで、設定の調整が行えます。次に Host Intrusion Prevention では、クライアントの規則から、任意のものを選択、すべて選択、または何も選択せ ずに、サーバで指示したポリシーに変換できます。調整が完了すると、[適応モード] または [学習モード] を終了して、システムの侵入防止保護を強化します。 少なくとも 1 週間は [適応モード] または [学習モード] でクライアントを実行してく ださい。これにより、クライアントは通常遭遇するすべての動作に遭遇する時間が 得られます。バックアップまたはスクリプト処理などスケジュールした動作の時間 に実行するようにしてください。 それぞれの動作が発生するごとに、IPS イベントが生成され、例外が作成されます。 例外は、正当な動作として区別される動作です。たとえば、ポリシーでは、特定の スクリプト処理が不当な動作と判断されても、エンジニアリング グループのシス テムで、こうしたタスクを実行することが必要な場合もあります。こうしたシステ ムに対して例外を作成して、システムの正常な機能を維持しながら、この動作はポ リシーにより他のシステムでは実行されないようにします。次に、これらの例外を サーバが指示するポリシーの一部として、エンジニアリング グループのみに適用 します。 29 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 特定のソフトウェア アプリケーションが、社内の一部の部署では通常業務に必要 であり、他の部署では使用しない場合があります。たとえば、エンジニアリングお よびテクニカル サポートの各部署ではインスタント メッセージを許可しますが、 経理部や人事部では使用しない場合があります。エンジニアリングおよびテクニカ ル サポートの各部署では、このアプリケーションを信頼できるアプリケーション としてシステムに確立し、ユーザがフル アクセスできるようにできます。 ファイアウォール機能は、コンピュータとネットワークまたはインターネットの間 でフィルタとして機能します。ファイアウォールは、パケット レベルで受信と送 信のトラフィックをすべてスキャンします。ファイアウォールは、送受信される各 パケットを確認しながら、関連動作の一連の基準である、ファイアウォール規則の リストをチェックします。パケットが規則のすべての基準と一致すると、ファイア ウォールは規則で指定されたアクションを実行して、パケットを通過させるかまた はブロックします。 ポリシーの設定 ポリシーは、Host Intrusion Prevention が保護するネットワークにあるそれぞれのコ ン ピ ュ ー タ に 設 定 した規則です。クライアント システムにある Host Intrusion Prevention クライアントは、定期的にこれらのポリシーのアップデートを受信します。 ディレクトリのコンソール ツリーでノードを選択すると、Host Intrusion Prevention で使用できる機能が、[ポリシー ] タブに表示されます。次のような機能があります。 全般ポリシー IPS ポリシー ファイアウォール ポリシー アプリケーション ブロック ポリシー 下向き矢印をクリックすると、各機能で使用できるカテゴリが表示されます。これら の機能それぞれの詳細については、本書の該当する章を参照してください。 30 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 ポリシー表示アラート Host Intrusion Prevention ポリシーの詳細を表示すると、ポリシーの内容を表示する ために必要な署名済み Java アプレットを信頼するように求められる場合があります。 このアラートが表示された場合、[はい](または [常に])をクリックして、ポリシーの 詳細を表示します。 図 3-4 Java アプレットのセキュリティ警告 ファイアウォール機能ポリシーには、ActiveX コントロールが必要なものがあります。 こうしたポリシーを開く場合、ポリシーの内容を表示するために必要なコントロール を実行するように求められる場合があります。このアラートが表示された場合、[はい] をクリックして、ポリシーの詳細を表示します。 図 3-5 Active X コントロールのセキュリティ警告 31 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 微調整 McAfee では、Host Intrusion Prevention ソフトウェアをインストールした後、毎日の 作業と競合することなく最高のセキュリティが得られるように設定することをお勧め しています。Host Intrusion Prevention の既定のポリシーは、非常に広い範囲のカス タマ環境に適合するため、ユーザのニーズに合う可能性があります。特定の設定に適 合するようにポリシーを微調整するために、次の事項を推奨します。 Host Intrusion Prevention のセキュリティ設定を注意して定義します。システムの 特定部分の設定に責任を持っている人を評価して、適切なアクセスを許可します。 既定の IPS 保護またはファイアウォール規則ポリシーを変更することで、あらかじ め設定された保護のレベルを向上できます。 特定シグニチャの重大度レベルを変更します。たとえば、ユーザの毎日の作業で シグニチャが発生する場合、重大度レベルを低く調整します。詳細については、 40 ページの「IPS による保護のポリシーの設定」を参照してください。 特定のイベントが発生したときに特定の個人にアラートを送信する、通知を設定し ます。たとえば、特定サーバで、重大度 [高] のイベントを発生させるアクションが 実行されたときに通知を送信するようにできます。詳細については、128 ページの 「イベントの通知機能の設定」を参照してください。 ヘルプの使用 ePolicy Orchestrator と Host Intrusion Prevention の両方で、オンライン ヘルプが利用 できます。ePolicy Orchestrator のヘルプは、ePolicy Orchestrator のツールバーおよ びコンソールの詳細情報ペインから呼び出します。Host Intrusion Prevention のヘル プは、Host Intrusion Prevention の [ポリシー設定] ページおよびサポート ダイアログ ボックスから呼び出します。 Host Intrusion Prevention の [ ヘルプ ] ウィンドウは、ヘルプを呼び出したポリシーま たはダイアログ ボックスについての情報を提供します。ページにある [関連トピック] のリンクにより、特定のタスクを実行する方法を説明します。目次、索引、または検 索機能を使用して、追加情報にアクセスすることもできます。 ヘルプの操作手順 目的 操作 最初に表示されたページまたはリン クをクリックしたページに移動する ショートカット メニューの [戻る] をクリックします。 注:[前へ] または [次へ] ボタンは使用しないでくださ い。これらのボタンは、目次で直線的に並べられたペー ジを移動するために使用します。 目次、索引、単一のヘルプ ペインか らの検索を表示する 目次のどこに目的のページがあるか を示す ([ナビゲーションの表示])をクリックします。 ([目次での場所を表示])をクリックします。 注:ヘルプのみで使用され、目次には表示されない ページもあります。 目次の順番にヘルプ ページを読む ([前へ] および [次へ])をクリックします。 関連した手順のトピックを表示する 32 ([関連リンク])をクリックします。 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 目的 操作 索引内でアルファベット順に項目を 見つける 左ペインで [索引] をクリックします。 ページを印刷する ([印刷])またはショートカット メニューの [印 刷] をクリックします。 Web ブ ラ ウザ に ペー ジ のブ ッ ク マークを作成する ([ブックマーク])をクリックします。 検索を実行する ナビゲーション ペインの [検索 ] をクリックして、検 索する単語(複数可)を入力し、[開始] をクリックし ます。 検索後にテキストの強調表示を解除 する ショートカット メニューの [更新] をクリックします。 ユーザ インターフェイスにあるヘルプ タブまたはダイアログ ボックスの使用目的の簡単な説明が、タブまたはダイアログ ボックスに表示されます。 マウス ポインタをツールバーの上に移動すると、各ツールバー ボタンの説明が表示 されます。リストにある情報を表すアイコンについては、次の表を参照してください。 表 3-1 Host Intrusion Prevention アイコン IPS イベント / シグニチャ 重大度レベル:情報 重大度レベル:低 重大度レベル:中 重大度レベル:高 重大度レベル:無効 IPS 例外規則 ステータス:有効 ステータス:無効 処理:許可 処理:ブロック メモ添付 IPS シグニチャの規則 ネットワーク侵入防止 カスタム ホスト侵入防止 ファイアウォール / 検疫 / アプリケーション ブロックの規則 33 3 McAfee® Host Intrusion Prevention 6.1 製品ガイド ePolicy Orchestrator の使用方法 Host Intrusion Prevention の操作 表 3-1 Host Intrusion Prevention アイコン (続き) 方向:受信 方向:送信 方向:送受信 アクション:許可 アクション:ブロック 規則に一致する場合は侵入として扱う 定義されている期間に規則を限定する 34 3 4 IPS ポリシー Host Intrusion Prevention の侵入防止システム (Intrusion Prevention System:IPS) 機能 は、ホスト侵入防止技術でコンピュータを保護します。IPS ポリシーが IPS 保護のオ ン/オフを切り替え、イベントに対する処理レベルを設定し、例外、シグニチャ、アプ リケーション保護規則、イベント、およびクライアントが作成した例外についての詳 細を提供します。 この章では、IPS 機能について、次のトピックを説明します。 概要 IPS オプションのポリシーの設定 IPS による保護のポリシーの設定 IPS 規則のポリシーの設定 IPS 規則のポリシーの詳細 IPS イベント IPS クライアントの規則 IPS 例外規則の検索 概要 Host Intrusion Prevention クライアントには、クライアント コンピュータの動作が害 のないものか不正なものかを判断する IPS シグニチャ規則のデータベースがありま す。不正な動作を検出すると、イベントと呼ばれるアラートが ePO コンソールに送信 され、Host Intrusion Prevention の [IPS 規則] ポリシーに表示されます。 [IPS による保護 ] ポリシーのシグニチャに設定された保護レベルにより、イベントが 発生した場合にクライアントが実行する動作が決まります。対応つまり処理には、動 作の無視、ログ、または防止などがあります。 正当な動作から発生する誤検知によるイベントは、シグニチャ規則に対する例外を作 成するか、またはアプリケーションを信頼できるアプリケーションとして登録するこ とで、無効にできます。適応モードにあるクライアントは、クライアント規則と呼ば れる例外を自動的に作成します。管理者はいつでも手動で例外を作成できます。 発生するイベントと作成されるクライアント例外を監視することで、IPS 保護の配布 を最適に調整する方法を判断できます。 35 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー 概要 ホスト IPS (HIPS) とネットワーク IPS (NIPS) のシグニチャ規則 攻撃は、文字のシグニチャ パターンに続いて起こる場合があります。このシグニチャ を識別して、不正な動作を防止できます。たとえば、Web の URL で、文字列「../」を 検索するように設定されるシグニチャがあります。シグニチャが有効になっていて、 システムがこの文字列に遭遇すると、イベントが発生します。 ホスト IPS シグニチャとネットワーク IPS シグニチャ両方の、シグニチャに基づいた 方法は、侵入検知で使用する検知スキームの大部分を占めており、Host Intrusion Prevention で使用するメカニズムの 1 つです。クライアントごとにシグニチャ規則の データベースがインストールされており、新しい攻撃の種類が検出されるとアップ デートされます。 シグニチャは、重大度レベルおよび攻撃が及ぼす危険性の記述で分類されます。シグ ニチャは、特定のアプリケーションまたは特定のオペレーティング システム用に設計 されています。大部分はオペレーティング システム全体を保護しますが、特定のアプ リケーションのみを保護するシグニチャもあります。 Host Intrusion Prevention では、主にホスト IPS シグニチャを提供し、それに加えて 少数のネットワーク IPS シグニチャを提供します。 HIPS HIPS による保護は、サーバ、ワークステーション、ノート型 PC など、個々のシステ ムに装備されます。Host Intrusion Prevention クライアントは、システムとやりとり されるトラフィックを検査し、攻撃されていないかどうかアプリケーションおよびオ ペレーティング システムの動作を調査することによって、保護を行います。攻撃が検 出された場合、クライアントは、ネットワーク セグメントの接続において攻撃をブ ロックするか、または攻撃によって開始される動作を停止するように、アプリケーショ ンまたはオペレーティング システムにコマンドを発行できます。たとえば、バッファ オーバフローは、攻撃によって不正使用されたアドレス空間に挿入された悪意のある プログラムをブロックすることによって防止されます。Internet Explorer のようなア プリケーションによるバック ドア プログラムのインストールは、アプリケーション の「ファイル書き込み」コマンドを妨害し拒否することによってブロックされます。 ホスト IPS の利点 攻撃からの保護だけでなく、プログラムのファイル書き込みのブロックなど、攻撃 の結果からも保護されます。 保護されたネットワーク外部にノート型 PC がある場合、それらが攻撃から保護さ れます。 CD、メモリ スティック、フロッピー ディスクなどによって持ち込まれるローカル な攻撃から保護されます。これらの攻撃は、ネットワークの他のシステムに侵入す るために、ユーザの特権をルートまたは管理者のレベルに上げることを目的として いる場合があります。 他のセキュリティ ツールをくぐり抜けた攻撃からの最後の防衛手段となります。 内部の攻撃または同じネットワーク セグメントに位置するデバイス上の不正を防 止します。 暗号化データと動作の調査によって保護されているシステムで、暗号化データのス トリームが終了した後の攻撃から保護されます。 ネットワーク アーキテクチャとは関係ないため、トークン リング、FDDI などの古 いネットワークや例外的なネットワーク上のシステムの保護が可能です。 36 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー 概要 NIPS NIPS による保護も、個々のシステムに装備されます。保護されたシステム間で通信さ れるすべてのデータおよびネットワークのその他の部分について、攻撃があるかどう か調査されます。攻撃が確認されると、不正データは破棄されるかまたはシステムを 通過しないようにブロックされます。 ネットワーク IPS の利点 ネットワーク セグメントの下流に位置するシステムが保護されます。 サーバおよびサーバに接続するシステムが保護されます。 ネットワークのサービス拒否攻撃、およびネットワーク トラフィックの拒否や低 下を引き起こす帯域幅に向けられた攻撃から保護されます。 動作規則 動作規則は、正当な動作のプロファイルを定義します。動作がプロファイルと一致し ないと、イベントが発生します。たとえば、Web ファイルにアクセスできるのは Web サーバ プロセスのみであると規定する規則を設定できます。別のプロセスが Web ファイルにアクセスしようとすると、この動作規則によりイベントが発生します。 Host Intrusion Prevention は、シグニチャ規則とハードウェアに組み込まれた動作規 則を組み合わせて使用します。攻撃を識別するためのこのハイブリッドな方法では、 ほとんどの既知の攻撃だけでなく、これまでに知られていない攻撃やゼロデイ攻撃も 検出できます。 事前設定 IPS ポリシー Host Intrusion Prevention IPS 機能には、次の 3 つのポリシー カテゴリがあります。 [IPS オプション ]:このポリシーは、ホストとネットワークの IPS 保護のオン/オフ を切り替えます。事前設定ポリシーには、[オン(McAfee 既定) ]、[オフ]、[適応] が 含まれます。 [IPS による保護 ]:このポリシーは、イベントに対する処理を設定します。事前設 定ポリシーには、[基本(McAfee 既定)]、[拡張された保護の準備]、[拡張された保護]、 [最大限の保護の準備]、[最大限の保護]、[警告] が含まれています。 [IPS 規則]:このポリシーは、1 つまたは複数のポリシー インスタンスを持つことが できます。事前設定ポリシーは、既定のポリシー [(McAfee 既定) ] です。 37 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS オプションのポリシーの設定 クイック アクセス IPS 機能には、IPS イベント、IPS 規則、IPS クライアント規則を監視および管理する ためのクイック アクセスへのリンク (*) があります。 図 4-1 IPS 機能 * IPS オプションのポリシーの設定 [IPS オプション] のポリシーは、IPS による保護の基本的なオン/オフ スイッチであり、 クライアントを [適応モード] にし、作成された例外を保持するようにクライアントに 許可し、またネットワーク侵入を自動的にブロックするための手段でもあります。事 前定義されたポリシーの 1 つを選択するか、または新しいポリシーを作成します。 IPS オプションのポリシーを設定するには 1 [IPS] 機能を展開し、[IPS オプション] カテゴリのラインで、[編集] をクリックします。 2 事前定義されたポリシーを適用するには、ポリシー リストでそのポリシーを選択 します。ポリシー名のアイコンをクリックすると、次のような設定を表示できます。 ポリシーの選択 内容 [(オン(McAfee 既定) )] [ ホスト IPS を有効にする ] [ ネットワーク IPS を有効にする ] [ ネットワークの侵入者の自動ブロック ] - 10 分間 [ ブロックされたホストの保持 ] [ クライアント規則の保持 ] 38 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS オプションのポリシーの設定 ポリシーの選択 内容 [(オフ)] [ブロックされたホストの保持] [クライアント規則の保持] [ホスト IPS を有効にする] [ネットワーク IPS を有効にする] [ブロックされたホストの保持] [適応モードを有効にする] [クライアント規則の保持] [(適応)] 3 [適用] をクリックします。 IPS オプションのポリシーを新しく設定するには 1 [IPS オプション] カテゴリのラインで [編集] をクリックし、ポリシー リストで [新し いポリシー ] を選択します。 2 [新しいポリシーの作成] ダイアログ ボックスで、複製するポリシーを選択し、新し いポリシーの名前を入力して [OK] をクリックします。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成します。新しいポリ シーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指定 します。 [IPS オプション] ダイアログ ボックスが表示されます。 図 4-2 IPS オプション 3 必要に応じて、次のオプションを選択します。 39 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS による保護のポリシーの設定 オプション名 内容 [ホスト IPS を有効にする] ホスト IPS による保護 [ネットワーク IPS を有 効にする] ネットワーク IPS による保護 [ネットワークの侵入者 の自動ブロック] 指定した時間内、ホスト上でネットワーク侵入攻撃を自動的に ブロックするクライアントです。[ 削除されるまで ] を選択し てホスト上で送受信されるトラフィックをクライアントでブ ロック リストから手動で削除されるまでブロックするか、[ 次 の時間(分)] を選択して設定した時間(分単位)の間ブロッ クします。 [ブロックされたホスト の保持] [ ネットワークの侵入者の自動ブロック ] でパラメータが設 定されるまでホスト(IP アドレス)をブロックするクライアン トです。選択しない場合、ホストは次回ポリシーが更新される までしかブロックされません。 [適応モードを有効に する] 自動的にクライアント規則を作成するクライアントです。 [ ハイリスク アプリケー コード インジェクションに対して無防備でハイリスクなアプ シ ョン を 自 動 的に ア プ リケーションを自動的に保護されたアプリケーションのリス リ ケー シ ョ ン 保護 リ ス トに追加するクライアントです。 トに追加する] [クライアント規則の 保持] 作成したクライアント規則を保持するクライアントです。 4 [適用] をクリックして [閉じる] をクリックします。 5 [IPS オプション] カテゴリの行で [適用] をクリックします。 íç ポリシーは、グローバル管理者のみが ePolicy Orchestrator の [ ポリシー カタログ ] ページでのみ削除できます。 IPS による保護のポリシーの設定 [IPS による保護] のポリシーでは、シグニチャの重大度レベルに対して保護の処理を設 定します。これらの設定では、攻撃や怪しい動作が検出されたときに、どのような動 作を行うかをクライアントに指示します。各シグニチャには、次の 4 つの重大度レベ ルの 1 つが設定されます。 [高](赤色)- 明確に識別できるセキュリティ上の脅威や悪意のあるアクションの シグニチャ。これらのシグニチャは、よく知られた不正特有のものであり、実際 は、ほとんど動作に関連しません。すべてのシステムで、これらのシグニチャを防 止してください。 [中](オレンジ色)- アプリケーションがエンベロープ外部で動作する場合の動作 のシグニチャ。重要なシステム、Web サーバ、および SQL サーバでは、これらの シグニチャを防止してください。 40 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS による保護のポリシーの設定 [低](黄色)- アプリケーションおよびシステム リソースがロックされ、変更でき ない場合の動作のシグニチャ。これらのシグニチャを防止すると基本システムのセ キュリティが向上しますが、追加の微調整が必要になります。 [情報](青色)- アプリケーションおよびシステム リソースが変更され、害のない セキュリティ リスクを示すかまたは重要なシステム情報にアクセスしようとする 可能性がある場合の動作のシグニチャ。このレベルのイベントは、正常なシステム 動作中に発生し、通常は攻撃を示すものではありません。 これらのレベルは、システムに対する潜在的な危険度を示すものであり、これにより、 異なるレベルの潜在的な有害性に対して特定の処理を定義できます。すべてのシグニ チャに対して、重大度のレベルと処理を変更できます。たとえば、怪しい動作が損傷 の原因となる可能性がほとんどない場合、[ 無視 ] を処理として選択できます。動作の 危険度が高い場合は、[防止] を処理として設定できます。 [IPS による保護] ポリシーには事前定義されたポリシーがいくつかあり、その中から選 択できます。事前定義されたポリシーが、選択する必要なオプションの組み合わせで ない場合は、新しいポリシーを作成して必要なオプションを選択してください。[IPS による保護 ] ポリシーのダイアログ ボックスで選択での選択は、選択されたポリシー によって異なります。 [IPS による保護] ポリシーを設定するには 1 [IPS] 機能を展開し、[IPS による保護] カテゴリのラインで、[編集] をクリックします。 2 事前定義されたポリシーを適用するには、ポリシー リストでそのポリシーを選択 します。ポリシー名のアイコンをクリックすると、次のような設定を表示できます。 ポリシーの選択 [(基本的な保護 (McAfee 既定))] 内容 重大度レベルが高のシグニチャを防止し、それ以外は無視し ます。 [(拡張された保護)] 重大度レベルが高および中のシグニチャを防止し、それ以外は 無視します。 [(最大限の保護)] 重大度レベルが高、中、および低のシグニチャを防止し、それ 以外はログに記録します。 [(拡張された保護の 準備)] 重大度レベルが高のシグニチャを防止し、中のシグニチャのロ グを記録し、それ以外は無視します。 [(最大限の保護の準備)] 重大度レベルが高および中のシグニチャを防止し、低のシグニ チャのログを記録し、それ以外は無視します。 [(警告)] 重大度レベルが高のシグニチャのログを記録し、それ以外は無 視します。 3 [適用] をクリックします。 IPS による保護のポリシーを新しく作成するには 1 [IPS 重大度] カテゴリのラインで [編集] をクリックし、ポリシー リストで [新しいポ リシー ] を選択します。 2 [新しいポリシーの作成] ダイアログ ボックスで、複製するポリシーを選択し、新し いポリシーの名前を入力して [OK] をクリックします。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成します。新しいポリ シーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指定 します。 41 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS による保護のポリシーの設定 [IPS による保護] ダイアログ ボックスが表示されます。 図 4-3 IPS による保護 3 重大度レベルごとに、次のような処理の種類を選択します。 項目 オプション名 高 イベントを許可し、ログを記録しない場合は、[無視] を選択します。 イベントを許可し、ログを記録する場合は、[ログ] を選択します。 イベントを防止し、ログを記録する場合は、[防止] を選択します。 中 イベントを許可し、ログを記録しない場合は、[無視] を選択します。 イベントを許可し、ログを記録する場合は、[ログ] を選択します。 イベントを防止し、ログを記録する場合は、[防止] を選択します。 低 イベントを許可し、ログを記録しない場合は、[無視] を選択します。 イベントを許可し、ログを記録する場合は、[ログ] を選択します。 イベントを防止し、ログを記録する場合は、[防止] を選択します。 情報 イベントを許可し、ログを記録しない場合は、[無視] を選択します。 イベントを許可し、ログを記録する場合は、[ログ] を選択します。 4 [適用] をクリックして [閉じる] をクリックします。 5 [IPS による保護] カテゴリのラインで [適用] をクリックします。 íç ポリシーは、グローバル管理者のみが ePolicy Orchestrator の [ポリシー カタログ] ページでのみ削除できます。 42 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの設定 IPS 規則のポリシーの設定 多くのポリシー カテゴリと異なり、IPS 規則のポリシーには複数のポリシー プロファ イルがあります。ポリシーのこのような拡張的な使用により、クライアントの使用法、 場所、またはクライアントをインストールするシステムの種類を記述する複数のポリ シーを作成し、侵入防止手段をより簡単に適用できます。たとえば、IIS サーバには、 通常の既定のポリシー、サーバのポリシー、および IIS のポリシーを適用できます。 IIS サーバのポリシーおよび IIS のポリシーは、IIS サーバとして稼動しているシステ ムを対象として設定するポリシーです。既存のポリシーを適用できるだけでなく、使 用可能なポリシーが防御手段のニーズを満たしていない場合に、新しいポリシーを簡 単に作成することもできます。 IPS 規則のポリシーを割り当てるには 1 [IPS] 機能を展開し、[IPS 規則] ポリシー名のラインで、[編集] をクリックします。 2 既存のポリシーを適用するには、ポリシー リストでそのポリシーを選択します。ポ リシー名をクリックして、ポリシーの詳細を表示します。 3 [適用] をクリックします。 4 別のポリシー インスタンスを追加するには、[IPS 規則] セクションの上部で [追加ポ リシーの割り当て] をクリックします。 新しいポリシーの行が表示されます。 5 ステップ 1 ~ 3 を繰り返します。 新しい IPS 規則のポリシーを作成するには 1 次のいずれかを行います。 [IPS 規則] ポリシー名行の [編集] をクリックします。 IPS 規則リストの上部で [追加ポリシーの割り当て] をクリックします。 2 ポリシー リストで [新しいポリシー ] を選択します。 3 [新しいポリシーの作成] ダイアログ ボックスで、複製するポリシーを選択し、新し いポリシーの名前を入力して [OK] をクリックします。 4 [IPS 規則] タブの編集で、必要に応じて以下を指定します。 例外(44 ページの「例外規則」を参照) シグニチャ(47 ページの「シグニチャ」を参照) アプリケーション保護の規則(54 ページの「アプリケーション保護規則」を参照) 5 [閉じる] をクリックして [IPS 規則] ポリシー ダイアログ ボックスを閉じます。 6 [IPS 規則] ポリシー名行の [適用] をクリックします。 íç ポリシーは、グローバル管理者のみが ePolicy Orchestrator の [ポリシー カタログ] ページでのみ削除できます。 43 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 IPS 規則のポリシーの詳細 IPS 規則のポリシーを使用すると、IPS の設定を定義する 1 つ以上のポリシーを作成 および適用できます。ポリシーは、一般的な使用法、場所、またはアクセス権や特権 に基づきます。たとえば、IIS サーバにグローバル ポリシー、サーバ クライアント ポ リシー、および IIS ポリシーを割り当てることができます。 各ポリシーには、次のような詳細があります。 例外規則 シグニチャ アプリケーション保護規則 使用可能な IPS ポリシーは、IPS 規則の [ポリシー設定] ダイアログ ボックスのポリ シー リストにすべて表示されます。選択したノードに適用されたポリシーは、太字で 表示されます。選択したノードに適用された、すべての例外規則、シグニチャ、およ び監視/除外規則の組み合わせを表示するには、[有効なポリシー ] をクリックします。 IPS 規則の [ポリシー設定] ダイアログ ボックスから、次のような IPS ポリシー関連の 機能にアクセスすることもできます。 IPS イベント IPS クライアントの規則 IPS 例外規則の検索 例外規則 攻撃だと解釈される動作が、実際にはユーザの作業手順の正常な一部である場合があ ります。これを誤検知といいます。誤検知を防ぐには、その動作に対して例外を作成 します。 例外機能を使用すると、誤検知を除去し、コンソールに送られる不要なデータを最小 限に抑え、アラートを本当のセキュリティ上の脅威として捉えることができます。 たとえば、検査のプロセス中、クライアントが [Outlook エンベロープ - 怪しい実行可 能モジュール] のシグニチャを認識したとします。このシグニチャは、Outlook 電子 メールのアプリケーションが Outlook の通常のリソースであるエンベロープ外部のア プリケーションを変更しようとしていることを示しています。したがって、たとえば Notepad.exe など、通常は電子メールに関連しないアプリケーションを Outlook が変更 しようとしている可能性があるため、このシグニチャによって発生したイベントがア ラートの原因になります。この場合、トロイの木馬が仕掛けられたと疑う正当な理由 がある可能性があります。しかし、イベントを開始したプロセス(たとえば Outlook.exe によるファイルの保存)が通常どおり電子メール送信を担当しているのであれば、こ の動作を許可する例外を作成する必要があります。 [IPS 規則 ] ダイアログ ボックスの [ 例外 ] タブで、例外のリストを参照して例外を作成 および変更できます。 44 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 図 4-4 [IPS 規則] - [例外] タブ 例外規則の作成 例外規則を作成する場合、例外を定義し、その例外を適用するシグニチャを指定する 必要があります。完全に新しい例外を作成するか、既存の例外の複製に基づいて作成 するか、またはイベントに基づいて作成することができます。 例外を作成するには 1 次のいずれかを行います。 [例外規則] タブで、ショートカット メニューまたはツール バーの [作成] をク リックします。空白の [新しい例外] ダイアログ ボックスが表示されます。 [ 例外規則 ] タブで、既存の例外を選択し、ショートカット メニューまたはツー ル バーの [複製] をクリックします。事前入力された [例外の複製] ダイアログ ボックスが表示されます。 [IPS イベント] タブで、例外を作成するイベントを選択し、ショートカット メ ニューまたはツール バーの [例外の作成] をクリックします。例外を作成するポ リシーを選択し、[OK] をクリックします。事前入力された [新しい例外] ダイア ログ ボックスが表示されます。 45 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 図 4-5 [新しい例外] ダイアログ ボックス 2 各タブに適切なデータを入力し、次のボタンのいずれかをクリックします。 変更を保存してダイアログ ボックスを閉じる場合は、[OK] をクリックします。 変更を保存して、別の例外規則を作成するためにダイアログ ボックスを開いた ままにする場合は、[適用] をクリックします。 変更をキャンセルしてダイアログ ボックスを閉じる場合は、[キャンセル] をク リックします。 詳細を参照する場合は、[ヘルプ] をクリックします。 例外規則の編集 既存の例外の詳細を表示して編集できます。 例外規則を編集するには 1 例外を選択し、ショートカット メニューまたはツール バーの [プロパティ ] をクリッ クするか、または例外をダブルクリックします。 [例外のプロパティ ] ダイアログ ボックスが表示されます。 2 各タブでデータを変更し、[OK] をクリックします。詳細を参照する場合は、ダイア ログ ボックスで [ヘルプ] をクリックします。 46 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 例外規則の有効化と無効化 使用していない例外を削除する代わりに、それらの例外を一時的に無効にし、後で有 効にして使用することができます。 例外を無効または有効にするには [ 例外規則 ] タブで、規則を選択し、ショートカット メニューまたはツール バーの [有効/無効にする] をクリックします。 選択した例外のステータスが、選択に応じて変更されます。 例外規則の削除 例外を完全に削除するには、[例外規則] タブで、削除する例外を選択し、ショートカッ ト メニューまたはツール バーの [削除] をクリックします。例外が [例外] タブから削 除されます。 別のポリシーへの例外規則の移動 [例外規則] タブで、あるポリシーから別のポリシーに、例外を簡単に移動できます。 例外規則を別のポリシーに移動するには 1 移動する例外規則を選択し、ショートカット メニューまたはツール バーの [他のポ リシーへの移動] をクリックします。 2 [ポリシーの選択] リストで、ポリシーを選択し、[OK] をクリックします。 選択したポリシーに、例外規則のコピーが表示されます。 シグニチャ シグニチャは、セキュリティ上の脅威、攻撃手法、およびネットワーク侵入を記述し ます。各シグニチャには、既定の重大度レベルがあり、このレベルによって攻撃の潜 在的な危険性が示されます。 [高](赤色)- 明確に識別できるセキュリティ上の脅威や悪意のあるアクションか ら保護するシグニチャ。これらのシグニチャの大部分は、よく知られた不正特有の ものであり、実際は、ほとんど動作に関連しません。すべてのホストで、これらの シグニチャを防止してください。 [中](オレンジ色)- 高レベルよりも実際に動作に関連し、アプリケーションがア プリケーション環境の外部で動作するのを防止するためのシグニチャ(Web サー バおよび Microsoft SQL Server 2000 を保護するクライアントに関連します)。重 要なサーバでは、微調整した後、これらのシグニチャを防止しなければならない場 合があります。 [低](黄色)- 実際に動作にさらに関連するシグニチャであり、アプリケーション を遮断します。遮断とは、アプリケーションおよびシステム リソースを変更でき ないように、それらを制限することです。黄色のシグニチャを防止すると基本シス テムのセキュリティが向上しますが、追加の微調整が必要になります。 [情報](青色)- 害のないセキュリティ リスクが発生するかまたは重要なシステム 情報がアクセスされる可能性のある、システム設定の変更を示します。このレベル のイベントは、正常なシステム動作中に発生し、通常は攻撃を示すものではありま せん。 47 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 シグニチャの種類 IPS 規則のポリシーには、次の 3 種類のシグニチャがあります。 [ホスト シグニチャ ] - Host Intrusion Prevention の既定のシグニチャ (Host Intrusions Prevention Signatures:HIPS) [カスタム ホスト シグニチャ ] - ユーザが作成するカスタム HIPS [ ネットワーク シグニチャ ] - Network Intrusion Prevention の既定のシグニチャ (Network Intrusion Prevention Signatures:NIPS) ホスト シグニチャ ホスト ベースの侵入防止シグニチャ (HIPS) は、システム操作を行う動作への攻撃を 検出および防止するもので、ファイル、レジストリ、サービス、HTTP などの種類に 関する規則を含みます。これらのシグニチャは、Host Intrusion Prevention のセキュ リティ エキスパートによって開発され、製品に含まれています。 各シグニチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っ ていれば、管理者は、シグニチャの重大度レベルを変更したり、クライアント グルー プに対してシグニチャを無効にしたりできます。 ホスト ベースのシグニチャは、呼び出されると IPS イベントを生成し、それらのイベ ントは [IPS イベント] タブに表示されます。 カスタム ホスト シグニチャ カスタム シグニチャは、ニーズに合わせて保護を追加するために作成できる、ホスト ベースのシグニチャです。たとえば、重要なファイルを使用して新しいディレクトリ を作成する場合に、カスタム シグニチャを作成してそのディレクトリを保護できます。 ネットワーク シグニチャ ネットワーク ベースの侵入防止シグニチャ (NIPS) は、ホスト システム上に到達する 既知のネットワーク ベースの攻撃を検出および防止します。 ネットワーク ベースのシグニチャは、コンソールでホスト ベースのシグニチャと同 じシグニチャ リストに表示されます。独自のアイコンが [ 種類 ] 列に表示されます。 ネットワーク ベースのシグニチャは、[シグニチャのプロパティ(全般) ] ダイアログ ボックスに [ネットワーク IPS] として指定されます。 各シグニチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っ ていれば、管理者は、シグニチャの重大度レベルを変更したり、シグニチャを無効に したりできます。 有効なポリシーによってシグニチャが [ログ] または [防止] の処理に関連している場合 でも、ネットワーク ベースの各シグニチャには、ログの記録を無効にするオプション があります。ただし、[ 防止 ] 処理の場合、イベントのログは記録されなくても操作は 防止されます。 ネットワーク ベースのシグニチャに対して例外を作成することはできますが、オペ レーティング システム ユーザ、プロセス名などの追加パラメータ属性を指定するこ とはできません。詳細には IP アドレスなどのネットワーク特有のパラメータが含まれ ており、それらのパラメータを指定できます。 ネットワーク ベースのシグニチャによって生成されたイベントは、[IPS イベント] タブ にホスト ベースのイベントとともに表示され、ホスト ベースのイベントと同じ動作 が示されます。 ネットワーク ベースのカスタム シグニチャはサポートされていません。 íç 48 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 シグニチャの表示 Host Intrusion Prevention では、[シグニチャ ] タブにシグニチャの 3 つの表示があり ます。既定のリストには、アクティブなシグニチャのみが含まれています。無効なシ グニチャのみを表示することも、アクティブなシグニチャと無効なシグニチャを組み 合わせて表示することもできます。 図 4-6 [IPS 規則] - [シグニチャ ] タブ シグニチャの表示を変更するには シグニチャのリストを右クリックし、目的の表示を選択します。 オプション名 表示 ア ク テ ィ ブ な シ グ ニ チ ャ の IPS 規則のポリシーに対してアクティブなシグニチャの 表示 みが表示されます。これが既定の表示です。 無効なシグニチャの表示 重大度レベルが無効に設定されているシグニチャのみ が表示されます。 すべてのシグニチャの表示 アクティブなシグニチャと無効なシグニチャを組み合 わせて表示します。 ホスト シグニチャとネットワーク シグニチャの変更 [IPS 規則] ポリシーの [シグニチャ ] タブで、既定のシグニチャを表示および変更できま す。この機能を使用すると、シグニチャが誤検知の原因となっている場合にシグニチャ の重大度レベルを変更できます。 既定のシグニチャを変更するには 1 変更するシグニチャをダブルクリックします。 [シグニチャのプロパティ ] ダイアログ ボックスが表示されます。 2 [全般 ] タブで、[重大度レベル ]、[クライアント例外の許可 ]、または [ログのステータ ス] の設定を変更し、変更内容を記述する注記を [注] フィールドに入力します。 49 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 3 [説明] タブで、シグニチャの保護対象とシグニチャの内容を確認します。リンクが ある場合は、リンクをクリックしてブラウザのページを開き、セキュリティ上の脅 威に関する詳細情報を確認します。 4 [OK] をクリックします。 íç シグニチャを選択して、[重大度レベルの変更] をクリックすると、複数のシグニチャ の重大度レベルをまとめて変更できます。表示されるダイアログボックスで、[ 変更 済み] を選択すると、新しい重大度レベルがシグニチャに適用され、[既定] を選択す ると、シグニチャは既定の重大度レベルに戻ります。[OK] をクリックして変更を保存 します。重大度レベルの設定には、高、中、低、情報、および無効があります。 カスタム シグニチャの記述 Host Intrusion Prevention を使用すると、独自のシグニチャを作成および管理し、そ れらのシグニチャを複数のポリシーで共有することができます。カスタム シグニチャ を作成すると、環境に対する柔軟性が拡張されるため、詳しい知識があるユーザのみ にお勧めします。詳細については、172 ページの「カスタム シグニチャの記述」を参 照してください。 シグニチャを作成するには、次の 2 つの方法があります。 [シグニチャ作成ウィザード] - 最も簡単な作成方法ですが、シグニチャが保護する 操作を変更することはできません。 [標準モード] - 詳細を指定する方法であり、シグニチャが保護する操作を追加また は削除できます。 ウィザードを使用したシグニチャの作成 シグニチャを作成するのが初めての場合は、シグニチャ作成ウィザードを使用するこ とをお勧めします。ウィザードには、2 つのダイアログ ボックスがあり、シグニチャ について必要な情報を入力できますが、シグニチャが保護する操作を変更、追加、ま たは削除することはできないため、操作に関する指定はありません。 ウィザードを使用してシグニチャを作成するには 1 [シグニチャ ] ツール バーで、[シグニチャ作成ウィザード] をクリックします。 2 [ シグニチャ作成ウィザード - 手順 1/2] ダイアログ ボックスで、名前と説明を入力 し、プラットフォームと重大度レベルを選択して、[次へ] をクリックします。 50 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 図 4-7 シグニチャ作成ウィザード - 手順 1/2 3 [ シグニチャ作成ウィザード - 手順 2/2] ダイアログ ボックスで、変更されないよう に保護する項目を選択して、詳細を入力し、[完了] をクリックします。 図 4-8 シグニチャ作成ウィザード - 手順 2/2 新しいシグニチャがリストに表示され、カスタム シグニチャのアイコンが表示さ れます。 51 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 標準モードを使用したシグニチャの作成 この方法は、詳しい知識があるユーザのみが使用してください。この方法を使用する と、変更、追加、削除の操作など、シグニチャが保護する操作を選択できます。完全 に新しい例外を作成するか、既存のカスタム シグニチャに基づいて作成するか、また は既存のカスタム シグニチャの複製に基づいて作成することができます。 標準モードでシグニチャを作成するには 1 次のいずれかを行います。 [シグニチャ ] タブで、ショートカット メニューまたはツール バーの [作成] をク リックします。空白の [新しいカスタム シグニチャ ] ダイアログ ボックスが表示 されます。 [シグニチャ ] タブで、カスタム シグニチャを選択し、ショートカット メニュー またはツール バーの [複製] をクリックします。事前入力された [カスタム シグニ チャの複製] ダイアログ ボックスが表示されます。 2 [全般] タブで、名前を入力し、プラットフォーム、重大度レベル、ログのステータ ス、およびクライアント規則の作成を許可するかどうかを選択します。 図 4-9 [新しいカスタム シグニチャ ] - [全般] タブ 3 [ 説明 ] タブで、シグニチャの保護対象の説明を入力します。この説明は、シグニ チャが呼び出されたときに、[IPS イベント] ダイアログ ボックスに表示されます。 4 [サブ規則] タブで、[標準方法] または [エキスパート向けの方法] のいずれかを選択し て規則を作成します。 52 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 図 4-10 [新しいカスタム シグニチャ ] -[サブ規則] タブ . 標準方法の使用 エキスパート向けの方法の使用 標準方法では、シグニチャの規則に設定でき る種類の数が制限されます。 エキスパート向けの方法は、詳しい知識の あるユーザのみが使用することをお勧めし ます。この方法では、シグニチャの規則に 設定できる種類の数は制限されず、規則の 構文を設定できます。規則を作成する前に、 規 則 の 構 文 を よ く 理 解 し て く だ さ い。 172 ページの「カスタム シグニチャの記 述」を参照してください。 1 [ 追加 ] をクリックします。 [ 新しい標準規 1 [カスタム シグニチャ] ダイアログ ボッ クスの [ 規則 ] タブで、[ エキスパート ] 則 ] ダイアログ ボックスが表示されます。 を選択します。 2 [ 全般 ] タブで、シグニチャの名前を入力 し、種類を選択します。 2 [ 追加 ] をクリックします。[ 新しいエキ スパート規則 ] ダイアログ ボックスが 3 [ 操作 ] タブで、選択した規則を呼び出す 表示されます。 操作を指定します。 4 [ パラメータ ] タブで、規則に特定のパラ メータを含めるか、または規則から特定の パラメータを除外します。 3 [ 全般 ] タブで、[ 規則名 ] フィールド に規則の名前を入力し、[ 注 ] フィール ドに注記を入力します。 5 [ 規則の構文 ] タブで、作成しているシグ 4 [ 規則の構文 ] タブで、規則を入力しま す。規則は、ANSI 形式の TCL 構文で書 ニチャに対して生成された規則の構文を き 込 ま れ ま す。詳 細 に つ い て は、 確認します。 172 ページの「カスタム シグニチャの記 6 [OK] をクリックします。規則がコンパイ 述」を参照してください。 ルされ、構文が検証されます。エラーが発 5 [OK ] をクリックします。規則がコンパ 生し、規則の検証が正常終了しなかった場 イルされ、構文が検証されます。エラー 合は、エラー内容を示すダイアログ ボッ が発生し、規則(複数可)の検証が正 クスが表示されます。エラーを修正して、 常終了しなかった場合は、エラー内容 規則を再度検証できます。 を示すダイアログ ボックスが表示され ます。エラーを修正して、規則を再度 検証できます。 53 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 5 [適用] をクリックして新しい設定を適用し、[OK] をクリックします。 1 つのシグニチャに対して複数の規則を作成できます。 íç カスタム シグニチャの編集 カスタム シグニチャを編集して、シグニチャに含まれる規則またはその他のデータを 追加、削除、または変更できます。 カスタム シグニチャを編集するには 1 [シグニチャ ] タブで、編集するカスタム シグニチャをダブルクリックします。 [カスタム シグニチャのプロパティ ] ダイアログ ボックスが表示されます。 2 必要に応じて各タブで変更を行います。詳細を参照する場合は、ダイアログ ボック スで [ヘルプ] をクリックします。 3 [OK] をクリックして変更を保存します。 カスタム シグニチャの削除 作成と編集だけでなく、カスタム シグニチャを削除することもできます。カスタム シ グニチャを削除した場合、[IPS イベント] タブで、このシグニチャによって発生したす べての既存のイベントの名前にシグニチャ ID が付加されます。 カスタム シグニチャを削除するには 1 [シグニチャ ] タブで、削除するカスタム シグニチャを選択し、ショートカット メ ニューまたはツール バーの [削除] をクリックします。 2 削除を確認するダイアログ ボックスが表示されるので、[OK] をクリックします。 アプリケーション保護規則 アプリケーション保護規則は、プロセス フックなどの互換性および安定性の問題の緩 和に役立ちます。定義され生成されたプロセス リストに対するユーザレベルの API フックを許可またはブロックします。カーネルレベルのファイルおよびレジストリ フックには影響しません。 Host Intrusion Prevention では、許可またはブロックされたプロセスの静的リストを 提供しています。このリストはコンテンツのアップデート リリースで更新されます。 さらに、プロセス解析が有効な場合、フックを許可されたプロセスを動的にリストに 追加できます。この解析は次の場合に毎回実行されます。 クライアントが起動して実行中のプロセスが列挙される場合。 プロセスが開始される場合。 ePolicy Orchestrator サーバによりプロセスが監視しているリストがアップデート される場合。 ネットワーク ポートを待ち受けるプロセスのリストがアップデートされる場合。 54 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 この解析では、そのプロセスがブロックされたリストに含まれるかどうかを最初に確 認します。含まれない場合は、許可されたリストを確認します。含まれない場合、プ ロセスがネットワーク ポートを待ち受けているか、サービスとして実行されているか を解析により確認します。それにも含まれない場合は、ブロックされます。ポートを 待ち受けているかサービスとして実行されている場合は、フックが許可されます。 図 4-11 アプリケーション保護規則解析 IPS コンポーネントは、実行中のプロセスに情報キャッシュを保持しており、フック 情報を追跡します。ファイアウォール コンポーネントは、プロセスがネットワーク ポートを待ち受けているかどうか判断し、IPS コンポーネントにエクスポートされた API を呼び出し、監視リストに追加される情報を API に渡します。API が呼び出され ると、IPS コンポーネントは対応するエントリを実行中のプロセス リストで見つけま す。まだフックされておらず静的ブロック リストの一部にもなっていないプロセス は、これでフックされます。ファイアウォールから PID(プロセス ID)が出力され、 これがプロセスのキャッシュ検索のためのキーになります。 IPS コンポーネントにエクスポートされた API によっても、現在フックされているプ ロセスをクライアント UI で取得でき、これはプロセスがフックまたはフックを解除 されるたびにアップデートされます。すでにフックされているプロセスは、今後フッ クできなくなることを指定したアップデートされたプロセス リストがコンソールか ら送信されると、フックが解除されます。プロセス フック リストがアップデートさ れると、実行中のプロセスの情報キャッシュにリストされたすべてのプロセスが、アッ プデートされたリストと比較されます。リストにより、あるプロセスがフックされる 必要があるのにフックされていないことがわかると、そのプロセスはフックされます。 リストにより、あるプロセスがフックされてはいけないのにフックされていることが わかると、そのプロセスはフック解除されます。 55 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 プロセス フック リストは、[ アプリケーション保護規則 ] タブで表示、編集できます。 IPS 規則のポリシーとは異なり、クライアント ユーザ インターフェイスには、フック されたすべてのアプリケーション プロセスのリストが表示されます。 図 4-12 [IPS 規則] - [アプリケーション保護規則] アプリケーション保護規則を作成するには 1 次のいずれかを行います。 [アプリケーション保護規則] タブで、ツールバーまたはショートカット メニュー の [作成] をクリックします。[新しいアプリケーション保護規則] ダイアログ ボッ クスが表示されます。 [アプリケーション保護規則] タブでアプリケーションを選択し、ツールバーまた はショートカット メニューの [複製] をクリックします。事前入力された [IPS ア プリケーション保護規則の複製] ダイアログ ボックスが表示されます。 2 [全般] タブで、名前とステータス、およびアプリケーションが監視されているかど うかを入力します。詳細については、[ヘルプ] をクリックしてください。 56 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 規則のポリシーの詳細 . 図 4-13 [新しい信頼できるアプリケーション] ダイアログ ボックス - [全般] タブ 3 [プロセス] タブで、規則を適用するプロセスを指示します。詳細については、[ヘル プ] をクリックしてください。 . 図 4-14 [新しい信頼できるアプリケーション] ダイアログ ボックス - [プロセス] タブ 4 [OK] をクリックします。 57 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント アプリケーション保護規則の編集 監視ステータスを監視から除外に、またはその反対に変更して、既存のアプリケーショ ン規則のプロパティを表示、編集できます。 アプリケーション規則のプロパティを編集するには 1 [ アプリケーション保護規則 ] タブでアプリケーションを選択し、ツールバーまたは ショートカット メニューの [プロパティ ] をクリックするか、または選択した信頼 できるアプリケーションをダブルクリックします。 [アプリケーション保護規則のプロパティ ] ダイアログ ボックスが表示されます。 2 2 つのタブでデータを変更し、[OK] をクリックします。 アプリケーション保護規則の有効化と無効化 使用していないアプリケーション規則を、削除せずに一時的に無効にしておき、後で 有効にして使用することができます。 アプリケーション規則を無効または有効にするには 1 [ アプリケーション保護規則 ] タブで、無効にしたい有効な規則、または有効にした い無効な規則を選択します。 2 ツールバーまたはショートカット メニューで [ 無効にする ] または [ 有効にする ] を クリックします。 操作に従い、[アプリケーション保護規則] タブのアプリケーション ステータスが変 化します。 アプリケーション保護規則の削除 アプリケーション保護規則を恒久的に削除するには、[アプリケーション保護規則] タブ で選択してから、ツールバーまたはショートカット メニューの [削除] をクリックしま す。タブから規則が削除されます。 IPS イベント IPS イベントは、シグニチャで定義されているセキュリティ違反が検出されたときに 発生します。たとえば、Host Intrusion Prevention はアプリケーションの開始をその 操作のシグニチャに対して比較しますが、そこで攻撃が示される場合があります。一 致が検出されると、イベントが生成されます。一致しない場合は、多くはシグニチャ に対する例外によるものか、またはアプリケーションが信頼できるアプリケーション として指定されている場合であり、イベントは生成されません。 Host Intrusion Prevention が IPS イベントを認識すると、[IPS イベント] タブで、4 つ の重大度レベルの基準([高]、[中]、[低]、または [情報])のいずれかによって、そのイ ベントにフラグが設定されます。 íç 同じ操作によって 2 つのイベントが発生する場合、より高いレベルの処理が実行され ます。 58 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント 生成されたイベントのリストから、許可できるイベントと怪しいイベントを判断する ことができます。イベントを許可するには、システムを次のように設定します。 [例外] - シグニチャ規則に優先する規則。イベント固有の例外の作成については、 116 ページの「信頼できるアプリケーション ポリシーの作成と適用」を参照して ください。 [信頼できるアプリケーション] - シグニチャ規則によってブロックされる動作をす る内部アプリケーションのうち、許可される内部アプリケーション。イベント固有 の信頼できるアプリケーションの作成については、116 ページの「信頼できるアプ リケーション ポリシーの作成と適用」を参照してください。 このような微調整を行うと、表示されるイベントを最小限に抑えることができるため、 発生した重大なイベントの分析に、より多くの時間をかけることができます。 イベントの表示 IPS イベントを解析するために、Host Intrusion Prevention では、イベントを 3 つの状 態([未開封]、[開封済み]、または [非表示])のいずれかに設定でき、これらのイベント を複数の画面の 1 つにフィルタすることができます。 IPS イベントを表示するには 1 コンソール ツリーで、IPS イベントを表示するノードを選択します。 2 ポリシーのペインで IPS 機能上部の [IPS イベント ] クイック アクセス リンクをク リックするか、または [IPS 管理] ウィンドウが開いている場合は、[IPS イベント] タ ブをクリックします。 図 4-15 [IPS イベント] タブ クライアントに関連する、イベント ビューの設定に従って抽出されたすべてのイ ベントを含むリストが表示されます。既定では、すべてのイベントは表示されませ ん。イベント ビューの設定に関する詳細については、60 ページの「イベント ビュー の設定」を参照してください。 59 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント イベント ビューの設定 既定では、すべてのイベントは表示されません。既定では、過去 30 日間に発生した イベントのみが表示されます。特定の日数のイベントまたは特定の日時より前に発生 したイベントを表示するように、ビューを設定できます。 イベント ビューを変更するには 1 [IPS イベント] タブで、 ショートカット メニューまたはツール バーの [イベント ビュー の設定] をクリックします。 [イベント ビューの設定] ダイアログ ボックスが表示されます。 図 4-16 [イベント ビューの設定] ダイアログ ボックス 2 表示するイベントの日数を入力します。 3 指定する日時より前に発生したイベントを表示するには、[次の日付より前のイベン ト] を選択して、日時を入力します。 4 [OK] をクリックします。 イベントのフィルタ 表示するイベントを決定するには、イベントの状態を選択します。ショートカット メ ニューで、以下の中から適切なものを選択してください。 [すべてのイベントを表示] - すべてのイベントが表示されます。開封済みイベント は標準の文字スタイル、未開封イベントは太字、非表示イベントは灰色で表示さ れ、集約された非表示のイベントは薄い青で表示されます。 [ 開封済みイベントと未開封イベントを表示 ] - 開封済みイベントおよび未開封イベ ントがすべて表示されますが、非表示イベントは表示されません。 [未開封イベントを表示] - すべての未開封イベントが表示されます。これらのイベ ントは太字で表示されます。このビューには、開封済みイベントと非表示イベント は表示されません。 [開封済みイベントを表示] - すべての開封済みイベントが表示されます。これらの イベントは標準の文字スタイルで表示されます。このビューには、未開封イベント と非表示イベントは表示されません。 [非表示イベントを表示] - すべての非表示イベントが表示されます。これらのイベ ントは灰色で表示されます。 60 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント イベントの状態の設定 イベントは、表示をフィルタしやすいように、次の 3 つの状態のいずれかに設定され ます。 [未開封] - すべてのイベントの既定の設定。イベントが確認されていないことを示 します。これらのイベントは太字で表示されます。 [開封済み] - イベントが確認され、[開封済み] が設定されています。これらのイベ ントは標準の文字スタイルで表示されます。 [ 非表示 ] - 標準のイベント ビューから削除されたイベントです。これらのイベン トは、[開封済み] または [未開封] が設定されない限り、[非表示イベント] または [す べてのイベント] のビュー画面にのみ、灰色で表示されます。 íç イベントに状態を設定する場合、それらのイベントの状態は、同じ管理サーバに接続 しているすべてのユーザに対して設定されます。 イベントを開封済みに設定するには 1 [IPS イベント] タブで、開封済みに設定するイベントを選択します。 2 ショートカット メニューまたはツール バーの [開封済みに設定] ボタンをクリック します。 イベントの書式が太字から標準の文字スタイルに変更されます。 イベントを未開封に設定するには 1 [IPS イベント] タブで、未開封に設定するイベントを選択します。 2 ショートカット メニューまたはツール バーの [未開封に設定] をクリックします。 イベントの書式が標準の文字スタイルから太字に変更されます。 イベントを非表示にするには 1 [IPS イベント] タブで、非表示にするイベントを選択します。 2 ショートカット メニューまたはツール バーの [ 非表示(非表示に設定) ] をクリッ クします。 選択されたイベントが現在のビューから削除されます。 3 非表示イベントを表示するには、ショートカット メニューまたはツール バーの [非 表示イベントを表示] をクリックします。 非表示ビューからイベントを削除するには 1 ツールバーまたはショートカット メニューで [ 非表示イベントを表示 ] をクリック します。 非表示イベントが表示されます。 2 非表示ビューから削除するイベントを選択します。 3 [開封済みに設定] または [未開封に設定] をクリックします。 選択されたイベントが [非表示] 状態から削除されます。 4 ショートカット メニューの [ 開封済みイベントと未開封イベントを表示 ] または [ す べてのイベントを表示] をクリックします。 61 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント 類似イベントのマーク 大量の IPS イベントを表示できるようにするには、表示するイベントの数または表示 方法を制限する必要があります。これは特定のイベントを 1 つずつ開封済み、未開封、 または非表示に設定することで実行できますが、この作業は面倒なものです。 [類似イベントを開封/未開封/非表示に設定] オプションを使用すると、一連の条件に一致 するすべての既存の類似イベントを 1 つの操作で設定できます。ただし、この操作を 行った後に発生する新しいイベントは、自動的には設定されません。 一致条件は、イベントに関連する属性に基づいて設定します。一致条件には、次のい ずれかまたはすべての条件が含まれます。 エージェント シグニチャ ユーザ プロセス 重大度レベル 類似イベントを設定するには 1 イベントを選択して、ショートカット メニューまたはツール バーの [類似イベント をマーク] をクリックします。 [類似イベントをマーク] ダイアログ ボックスが表示されます。 図 4-17 [類似イベントをマーク] ダイアログ ボックス 2 [イベントを次の種類に設定] リストで、イベントの 3 つの状態([未開封]、[開封済み]、 または [非表示])のいずれかを選択します。 62 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント 3 イベントを設定する条件として使用する各属性の横のチェック ボックスをオンに します。 チェック ボックスの横にあるパラメータの値が自動的に選択されます。別のパラ メータを選択する場合は、[選択] をクリックします。[選択リスト] ダイアログ ボッ クスが表示されるので、パラメータを選択して、[OK] をクリックします。 4 元のダイアログ ボックスに戻った後、[OK] をクリックします。選択した条件に一 致するイベントが、選択した状態に変更されます。 íç 特定の条件を選択しないで [OK] をクリックすると、すべてのイベントが影響を受 けます。 イベントの詳細の表示 [IPS イベントのプロパティ ] ダイアログ ボックスに、選択したイベントの情報が表示さ れます。例外や信頼できるアプリケーションの作成、またはイベントに基づく既存の 例外の検索が可能なため、この情報の表示はシステムを微調整するのに役立ちます。 イベントの詳細を表示するには イベントをダブルクリック、またはイベントを選択して、ショートカット メニュー またはツール バーの [プロパティ ] をクリックします。 [IPS イベントのプロパティ ] ダイアログ ボックスが表示されます。このダイアログ ボッ クスには、4 つのタブ([全般]、[説明]、[詳細]、および [サマリ])があります。詳細を 参照する場合は、ダイアログ ボックスで [ヘルプ] をクリックします。 図 4-18 [IPS イベント] ダイアログ ボックス - [全般] タブ 63 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS イベント イベント ベースの例外と信頼できるアプリケーションの作成 特定の状況では、攻撃だと解釈される動作が、実際にはユーザの作業手順の正常な一 部である場合があります。このようなことが発生した場合、この動作に対して、例外 規則を作成するかまたは信頼できるアプリケーションの規則を作成できます。 イベント ベースの例外または信頼できるアプリケーションは、イベントが再び発生し ないようにそのイベントから直接作成するか、または特定のイベントを参照せずに作 成することができます。特定のイベントを参照せずに作成する方法については、 44 ページの「例外規則」および 116 ページの「信頼できるアプリケーション ポリシー の作成と適用」を参照してください。 イベント ベースの例外または信頼できるアプリケーションを作成すると、誤検知が除 去され、通知があった場合には確実に重要な情報として捉えることができます。 例 たとえば、検査のプロセス中、クライアントが電子メール アクセスについてのシグニ チャを認識する可能性があります。特定の状況では、このシグニチャによって発生し たイベントがアラームの原因になります。ハッカーによって、通常は電子メール アプ リケーション用である TCP/IP ポート 25 を使用するトロイの木馬アプリケーションが インストールされた可能性があり、この動作は、TCP/IP ポート 25 の動作 (SMTP) シ グニチャによって検出されます。その一方で、正常な電子メール トラフィックも、こ のシグニチャに一致します。このシグニチャを確認した場合は、イベントを開始した プロセスを調査してください。Notepad.exe など、プロセスが電子メールに正常に関 連しているものでない場合、トロイの木馬が仕掛けられたと疑う正当な理由がある可 能性があります。イベントを開始したプロセスが通常どおり電子メール送信を担当し ているのであれば(Eudora、Netscape、Outlook など)、そのイベントに対して例外 を作成してください。 また、たとえば、多数のクライアントが起動プログラムについてのシグニチャを呼び 出しており、それらのシグニチャが次のようなレジストリ キーの値の変更または作成 を示す可能性もあります。 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce これらのキーに保存されている値は、コンピュータの起動時に開始されるプログラム を示すため、このシグニチャの認識は、誰かがシステムを改ざんしようとしているこ とを示している可能性があります。一方、従業員が RealAudio をコンピュータにインス トールしているなど、害のない動作を示している可能性もあります。RealAudio のイン ストールによって、RealTray の値が レジストリ キー Run に追加されます。 承認されたソフトウェアをユーザがインストールするたびにイベントが発生するの を回避するには、これらのイベントに対して例外を作成します。クライアントは、こ のような承認されたソフトウェアのインストールに対してイベントを生成しなくな ります。 イベント ベースの例外を作成するには 1 イベントを選択し、ショートカット メニューまたはツール バーの [例外の作成] を クリックします。 事前入力された [新しい例外] ダイアログ ボックスが表示されます。 2 44 ページの「例外規則」の指示に従って、例外を作成します。 64 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS クライアントの規則 イベント ベースの信頼できるアプリケーションを作成するには 1 イベントを選択し、ショートカット メニューまたはツール バーの [信頼できるアプ リケーションの作成] をクリックします。 事前入力された [信頼できるアプリケーションの作成] ダイアログ ボックスが表示さ れます。 2 116 ページの「信頼できるアプリケーション ポリシーの作成と適用」の指示に従っ て、信頼できるアプリケーションを作成します。 関連する例外の検索 イベントは、誤検知つまり正当な操作が誤って侵入のように見える場合があります。 誤検知は、例外を作成して将来的に同様のイベントをログに記録しないようにできま すが、類似したイベントに対してすでに複数の例外を作成してある場合があります。 新しい例外を作成する代わりに、既存の例外を編集して誤検知イベントに適用できま す。例外を整理して数を少なくしておけば、管理も簡単になります。 [ 関連する例外の検索 ] 機能を使用すると、イベントの 1 つまたは複数の属性と一致す る既存の例外を検索できます。たとえば、イベントのシグニチャと一致する例外、プ ロセスと一致する例外、または両方と一致する例外を検索できます。また、イベント が発生したクライアントにすでに配布してある例外や、イベントと関連付けられた ユーザに適用されている可能性がある例外を検索することもできます。 関連する例外を検索するには 1 関連する例外を検索する [IPS イベント] タブにあるイベントを選択し、ショートカット メニューまたはツール バーの [関連する例外の検索] をクリックします。 [IPS 例外規則の検索 ] 検索条件ダイアログ ボックスが表示され、プロセス、シグニ チャ、およびユーザ情報が事前入力されています。 2 適用する各条件に対してチェックボックスを選択します。[編集] をクリックすると、 値を編集できます。 3 [OK] をクリックします。 [IPS 例外の検索] タブに検索結果が表示されます。この検索機能の詳細については、 68 ページの「IPS 例外規則の検索」を参照してください。 IPS クライアントの規則 クライアントが適応モードである場合、クライアントの例外規則が自動的に作成され ます。これにより、例外規則が作成されていないと管理者が指定したポリシーによっ てブロックされる操作が許可されます。クライアント UI ポリシー オプションでクラ イアント規則の手動作成が有効になっている場合、クライアント規則は手動で作成す ることもできます。自動作成したクライアント規則と手動作成したクライアント規則 の両方が、[IPS クライアントの規則] タブに表示されます。代表となる 1 つのクライア ントで生成されたクライアント例外規則の一部またはすべてを、特定の IPS 規則のポ リシーの全般的 [例外規則] タブに昇格し、配布の調整を簡略化することができます。 65 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS クライアントの規則 通常ビュー クライアント例外規則は、[ 通常ビュー ] および [ 集約ビュー ] に表示されます。[ 通常 ビュー ] では、規則のリストの並び替えとフィルタを行うことにより、特定の例外を 検索して詳細を表示できます。また、クライアント規則は、[IPS 規則] ポリシーのサー バ側の例外規則に移行できます。 図 4-19 [IPS クライアントの規則] - [通常ビュー ] クライアント規則を IPS 規則のポリシーに移行するには 1 [ 通常ビュー ] タブでクライアント例外規則を選択して、[ 例外規則の作成 ] をクリッ クします。 2 クライアント規則を移行するポリシーを選択して、[OK] をクリックします。 3 事前入力された [例外規則] ダイアログ ボックスで、情報を確認または編集して、 [OK] をクリックします。 新しい例外規則は、移行プロセスで選択した [IPS 規則] ポリシーの [例外規則] タブ に表示されます。 詳細については、44 ページの「例外規則」を参照してください。 66 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS クライアントの規則 集約ビュー [ 集約ビュー ] では、シグニチャ、ユーザ、プロセス、ステータス、処理、およびノー ドに基づいてクライアント規則の例外を集約して、すべてのクライアントで作成され た、類似した例外規則の回数を特定できます。 [IPS クライアントの規則] タブに表示される例外を管理するには、[集約ビュー ] 機能を使 用します。このビューを使用すると、同じ属性を持つ複数の例外をまとめることによ り、1 つの集約された例外だけを表示できるとともに、例外が発生した回数を管理で きます。ユーザは、この情報を使用して配布を微調整することができ、必要に応じて、 クライアント例外規則の一部を管理者に委任された例外規則に転送して、特定のシス テム環境に対する誤検知を抑えることができます。 集約された例外は、青いテキストで表示され、[カウント] 列に回数が表示されます。例 外を集約するには、例外の表示中に集約条件を選択してください。 図 4-20 [IPS クライアントの規則] - プロセスに基づく [集約ビュー ] クライアント規則を集約するには 1 [IPS クライアントの規則] タブの [集約ビュー ] タブをクリックします。 2 [クライアント規則の集約] ダイアログ ボックスで、クライアント規則の例外を集約 する条件を選択します。[ シグニチャ ]、[ ユーザ ]、[ プロセス ]、[ 有効 ]、[ 処理 ]、およ び [ノード] の各オプションがあります。 3 [OK] をクリックします。 シグニチャのリストおよびそれぞれに対して作成された例外規則の数が表示され ます。 4 行を選択して [個々の規則の表示] をクリックすると、選択した行に関連する各例外 規則の詳細が表示されます。 [通常ビュー ] タブに戻り、集約された各規則の詳細が表示されます。 67 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 例外規則の検索 IPS 例外規則の検索 [IPS 例外規則の検索 ] タブで、IPS 規則のポリシーの例外を検索できます。この検索機 能を使用すると、シグニチャの規則に対して例外が必要であるかどうかを決定できま す。また、複製の例外規則を削除するか、またはブロックされたプロセスを許可する 信頼できるアプリケーションの作成を決定することによって、例外を管理できます。 検索条件には、イベントを発生させたプロセス、イベントを発生させる原因となった シグニチャ、例外規則によって影響を受けたユーザが含まれます。検索に関連する例 外規則が見つかると、例外規則全体の数を最小限に抑えるために、このリストを管理 するように促されます。これを行うには、特定のプロセスまたはシグニチャに対して すでに作成されているために不要である規則を削除するか、または 1 つの例外を複製 および編集して複数の類似した例外と置き換えます。また、[IPS 例外規則の検索] を使 用すると、例外を完全に削除する代わりに無効にしたり、プロファイルに一致する例 外を検索して他の IPS ポリシーにコピーしたりできます。 例外を検索して例外のリストを管理するには 1 [IPS 例外規則の検索] タブで、[検索] をクリックします。 [IPS 例外規則の検索] ダイアログ ボックスが表示されます。 図 4-21 IPS 例外規則の検索 2 適切な条件を選択して、次のいずれかを行います。 すべてのプロセスに対して検索を行う場合は、[すべて](既定)を選択します。 特定のプロセスを指定する場合は、[ 特定 ] を選択し、[ 編集 ] をクリックします。 [特定の [条件] の検索] ダイアログ ボックスで、使用できるリストから、選択した リストに項目を移動し、[OK] をクリックします。 68 4 McAfee® Host Intrusion Prevention 6.1 製品ガイド IPS ポリシー IPS 例外規則の検索 3 [OK] をクリックします。 検索条件に一致する例外のリストが表示されます。 図 4-22 [IPS 例外規則の検索] タブ íç 複数の条件を選択した場合、表示される結果は、選択した条件のいずれか 1 つ以 上に一致したものであり、すべての条件に一致したものではありません。たとえ ば、2 つの特定のプロセスを選択した場合、表示される例外はいずれか一方または 両方のプロセスに一致する例外であり、表示されないのは、両方のプロセスに一致 しなかった例外のみです。 4 リストから例外を選択し、ショートカット メニューまたはツール バーのコマンド を使用して、有効 / 無効の切り替え、他のポリシーへの移動、複製して新しい例外 の作成、または削除が行えます。詳細については、44 ページの「例外規則」を参 照してください。 69 4 5 ファイアウォール ポリシー Host Intrusion Prevention のファイアウォール機能は、すべてのネットワーク トラ フィックをフィルタして、正当なトラフィックはファイアウォールを通過させ、その 他はブロックすることで、コンピュータを保護します。これは、ファイアウォール規 則を適用することによって実行されます。現在のリリースでは、新たに追加されたス テートフル フィルタ機能とステートフル検査機能でバージョン 6.1 クライアントを管 理できます。従来の静的なファイアウォール規則(HIP 6.0 規則)は、バージョン 6.0 のクライアントにしか使用できません。静的な規則からステートフルな規則への移行 の便宜を図るため、ファイアウォール規則移行ユーティリティが用意されています。 この章では、次のトピックにより、ファイアウォール機能について説明します。 概要 ファイアウォール オプションのポリシーの設定 ファイアウォール規則ポリシーの設定 検疫オプション ポリシーの設定 検疫規則のポリシーの設定 70 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 概要 Host Intrusion Prevention ファイアウォールは、ネットワーク接続されたコンピュー タを、データ、アプリケーション、またはオペレーティング システムを侵害する侵入 から保護します。ファイアウォールは、ネットワーク アーキテクチャの複数の層で動 作することによってコンピュータを保護します。各層では、異なる条件を使用してネッ トワーク トラフィックを制限します。このネットワーク アーキテクチャは 7 層の OSI (Open System Interconnection) モデル上に構築され、各層は特定のネットワーク プロ トコルを処理します。 図 5-1 ネットワーク層とプロトコル HIP 6.0 規則 Host Intrusion Prevention 6.0 のファイアウォールは、基本的にネットワーク層(第 3 層) とトランスポート層(第 4 層)で動作し、ネットワーク パケットを送信先に転送しま す。これらの層で、ファイアウォールは静的なパケット フィルタ機能を使用してトッ プダウン方式で規則を照合します。パケットが解析され、IP アドレス、ポート番号、 パケットの種類などの条件でファイアウォール規則に一致すると、パケットが許可ま たはブロックされます。一致する規則が見つからない場合は、そのパケットは破棄さ れます。特に UDP プロトコルと ICMP プロトコルでは、双方向のファイアウォール 規則が必要です。 71 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 HIP 6.1 規則 Host Intrusion Prevention 6.1 のファイアウォールでは、ステートフル パケット フィ ルタ機能とステートフル パケット検査機能の両方を備えたステートフル ファイア ウォールが導入されています。 ステートフル パケット フィルタ機能 ステートフル パケット フィルタ機能は、OSI ネットワーク スタックのトランスポー ト層(第 4 層)以下の層で TCP/UDP/ICMP プロトコル情報をステートフルに追跡し ます。検査されたパケットが既存のファイアウォール規則と一致した場合、そのパケッ トは許可され、状態テーブルにエントリが作成されます。状態テーブルは、以前に静 的な規則セットと一致した接続を動的に追跡し、TCP/UDP/ICMP プロトコルの現在の 接続状態を反映します。検査されたパケットが状態テーブルの既存のエントリと一致 した場合、そのパケットはそれ以上の検査を行うことなく許可されます。接続が閉じ るかタイムアウトになると、状態テーブルから対応するエントリが削除されます。 ステートフル パケット検査機能 ステートフル パケット検査機能とは、ネットワーク スタックのアプリケーション層 (第 7 層)でコマンドにステートフル パケット フィルタを適用して追跡する処理です。 この組み合わせにより、コンピュータの接続状態を強力に定義します。アプリケーショ ン レベルのコマンドにアクセスすることにより、エラーなしで FTP、DHCP、および DNS プロトコルを検査し、保護することができます。 íç Host Intrusion Prevention 6.0 クライアントは、Host Intrusion Prevention 6.1 のサー バやクライアントが混在する環境でも、静的なファイアウォールのみを使用します。 ステートフルなファイアウォールを使用するには、クライアントをバージョン 6.0 か ら 6.1 にアップグレードする必要があります。アップグレードを支援するため、既存 の静的な規則をステートフルな規則に変換できるファイアウォール規則移行ユー ティリティが用意されています。詳細については、81 ページの「カスタム 6.0 ファイ アウォール規則から 6.1 規則への移行」を参照してください。 状態テーブル ステートフルなファイアウォール機能の 1 つに、許可規則によって作成されたアク ティブな接続に関する情報を動的に保存する状態テーブルがあります。このテーブル 内の各エントリでは、次の情報に基づいて接続を定義します。 プロトコル:サービスが別のサービスと通信するためのあらかじめ定義された方式 で、TCP、UDP、ICMP プロトコルなどがあります。 ローカルおよびリモート コンピュータのIP アドレス:各コンピュータには一意の IP アドレスが割り当てられています。IP アドレスは、4 つのオクテットをドット 区切りの 10 進表記(192.168.1.100 など)で表した 32 ビット数値です。 ローカルおよびリモート コンピュータのポート番号:コンピュータは指定された 番号のポートを使用してサービスの送受信を行います。たとえば、通常 HTTP サー ビスはポート 80、FTP サービスはポート 21 を使用します。ポート番号の範囲は 0 ~ 65535 です。 プロセス ID (PID):接続のトラフィックに関連付けられたプロセスの一意の識別子。 タイムスタンプ:接続に関連付けられたパケットを最後に送受信した時間。 72 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 タイムアウト:ファイアウォール オプション ポリシーで設定された制限時間(秒) 。 この時間を過ぎても接続と一致するパケットを受信しなかった場合、そのエントリ はテーブルから削除されます。TCP 接続のタイムアウトは、接続が確立されていな い場合のみ適用されます。 方向:エントリが作成されたトラフィックの方向(受信または送信)。接続の確立 後、エントリが状態テーブル内の接続パラメータと一致すると、単方向の規則で あっても双方向トラフィックが許可されます。 状態テーブルの機能 ファイアウォール規則セットが変更されると、新しい規則セットによってすべての アクティブな接続がチェックされます。一致する規則がない場合、接続エントリが 状態テーブルから破棄されます。 アダプタに新しい IP アドレスが割る当てられると、ファイアウォールは新しい IP 設定を認識し、状態テーブル内の無効なローカル IP アドレスのエントリをすべて 破棄します。 プロセスが終了すると、そのプロセスに関するすべてのエントリが状態テーブルか ら削除されます。 ファイアウォール規則のしくみ ファイアウォール規則では、ネットワーク トラフィックの処理方法を決定します。各 規則には、トラフィックが満たす必要がある一連の条件が定義されており、それぞれ にトラフィックを許可またはブロックするアクションが関連付けられています。規則 の条件と一致するトラフィックが見つかると、関連付けられたアクションが実行され ます。 規則は優先順位に従って適用されます。ファイアウォール規則リストの最上位にある 規則が最初に適用されます。 íç ドメイン ベースの規則とワイヤレス規則では、優先順位の扱いが異なります。リモー ト アドレスをドメイン名またはワイヤレス 802.11 接続として指定している規則は、 規則リスト内の位置にかかわらず最初に適用されます。 トラフィックが規則の条件と一致すると、Host Intrusion Prevention はトラフィック を許可またはブロックします。規則リストにあるその他の規則は適用しません。 トラフィックが最初の規則の条件と一致しない場合、Host Intrusion Prevention はリ ストにある次の規則を調べます。このようにして、トラフィックに一致する規則が見 つかるまでファイアウォール規則リストを照合していきます。一致する規則がない場 合、ファイアウォールは自動的にトラフィックをブロックします。[学習モード] が有 効な場合は、アクションの実行を促すメッセージを表示し、[適応モード] が有効な場 合は、トラフィックに許可規則を作成します。 トラフィックがリスト内の複数の規則に一致することもありますが、その場合、優先 順位により、リストで最初に一致した規則のみが適用されます。 73 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 ファイアウォール規則リストの順序付け ファイアウォール規則のポリシーを作成またはカスタマイズする場合、最も細かい規 則をリストの最上位に置き、全般的な規則ほど下位に置きます。これにより、トラ フィックが適切にフィルタされ、全般的な規則に阻まれて細かい規則が適用されない ということがなくなります。 たとえば、IP アドレス 10.10.10.1 から届いた HTTP 要求だけは通過させ、それ以外の すべての HTTP 要求をブロックするという場合、次の 2 つの規則を作成する必要があ ります。 許可規則:IP アドレス 10.10.10.1 からの HTTP トラフィックを許可。これは、最 も細かい規則です。 ブロック規則:HTTP サービスを使用するすべてのトラフィックをブロック。これ は、より全般的な規則です。 細かい許可規則を、全般的なブロック規則よりもファイアウォール規則リストの上位 に配置する必要があります。これにより、ファイアウォールがアドレス 10.10.10.1 か らの HTTP 要求を捕捉したときに、最初に一致するのが、このトラフィックの通過を 許可する規則ということになります。 全般的なブロック規則を細かい許可規則より上位に置くと、10.10.10.1 からの HTTP 要求は、例外的な通過規則を適用される前に、ブロック規則の網にかかってしまいま す。そのため、実際にはこのアドレスからの HTTP 要求を許可したくても、トラフィッ クはブロックされます。 ステートフル フィルタ機能のしくみ ステートフル フィルタ機能では、手動で設定するファイアウォール規則セットと、動 的に管理されるファイアウォール規則セット(すなわち状態テーブル)という、2 つ の規則セットでパケットを処理します。 手動設定の規則には、次の 2 つのアクションを定義できます。 許可- パケットが許可され、状態テーブルにエントリが作成されます。 ブロック- パケットがブロックされ、 状態テーブルにエントリが作成されません。 状態テーブルのエントリはネットワーク処理に応じて処理され、ネットワーク ス タックの状態が反映されます。状態テーブル内の各規則には 1 つのアクション(許 可)しかないので、状態テーブル内の規則と一致するパケットはすべて自動的に許可 されます。 フィルタ プロセスには以下の手順が含まれます。 1 ファイアウォールが、状態テーブル内のエントリと受信パケットを比較します。パ ケットがテーブル内のエントリのいずれかと一致した場合、パケットはただちに許 可されます。一致するエントリがなかった場合、手動設定のファイアウォール規則 リストが参照されます。 íç プロトコル、ローカル アドレス、ローカル ポート、リモート アドレスおよびリモー ト ポートが一致する場合、パケットが状態テーブル エントリと一致すると見なさ れます。 2 パケットが許可規則と一致する場合、そのパケットは許可され、状態テーブルにエ ントリが作成されます。 3 パケットがブロック規則と一致する場合、そのパケットはブロックされます。 74 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 4 パケットが設定可能な規則のいずれとも一致しない場合、そのパケットはブロック されます。 図 5-2 ステートフル フィルタ プロセス ステートフル パケット検査機能のしくみ ステートフル パケット検査機能では、ステートフル フィルタ機能をアプリケーショ ン レベルのコマンドへのアクセスと組み合わせ、FTP、DHCP、および DNS などのプ ロトコルを保護します。 FTP では、コマンド用の制御接続と情報用のデータ接続という 2 つの接続を使用しま す。クライアントが FTP サーバに接続すると制御チャネルが確立され、FTP の送信先 ポート 21 に到達すると、状態テーブルにエントリが作成されます。ファイアウォー ルがポート 21 で開いている接続を検出すると、[ファイアウォール オプション] ポリ シーで FTP 検査のオプションが設定されている場合、FTP 制御チャネルを介して受信 したパケットでステートフル パケット検査が実行されます。 制御チャネルが開いている場合、クライアントは FTP サーバと通信しています。ファ イアウォールはその接続で送信されたパケットの PORT コマンドを解析し、状態テー ブル内に 2 番目のエントリを作成してデータ接続を許可します。 FTP サーバがアクティブ モードの場合はサーバがデータ接続を開き、パッシブ モー ドの場合はクライアントが接続を開始します。サーバが最初のデータ転送コマンド (LIST) を受信すると、クライアントに対するデータ接続を開いてデータを転送します。 転送が完了すると、データ チャネルが閉じます。 制御接続と 1 つ以上のデータ接続の組み合わせをセッションと呼びます。FTP の動的 な規則をセッション規則と呼ぶ場合もあります。制御チャネル エントリが状態テーブ ルから削除されるまで、セッションは確立されたままです。セッションの制御チャネ ルが削除された場合、テーブルの定期的なクリーンアップ時にデータ接続もすべて削 除されます。 75 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 ステートフルなプロトコル追跡 ステートフル ファイアウォールによって監視される接続の種類と、それらがどのよう に処理されるかを以下の表に示します。 プロトコル 処理方法 UDP 静的な規則と一致することが検出され、規則のアクションが許可の場合、UDP 接続が状態テーブルに追加されます。ファイアウォールでは認識されないアプリ ケーション レベルのプロトコルを転送する汎用 UDP 接続は、接続のアイドル時 間が指定されたタイムアウト時間を超えない限り状態テーブルに残ります。 ICMP メッセージの種類が ICMP Echo Request と ICMP Echo Reply の場合のみ追跡 されます。その他の ICMP 接続は、汎用 UDP 接続と同様に管理されます。 注:信頼性が高いコネクション型の TCP プロトコルとは対照的に、UDP と ICMP は信頼性の低いコネクションレス型のプロトコルです。これらのプロト コルを保護するため、ファイアウォールでは汎用 UDP および ICMP 接続を仮 想接続と見なし、接続のアイドル時間がその接続で指定されたタイムアウト時 間を超えない限り保持します。仮想接続のタイムアウトは、[ファイアウォール オプション] ポリシーで設定されます。 TCP TCP プロトコルは「3 ウェイ ハンドシェイク」で動作します。クライアント コ ンピュータが新しい接続を開始すると、新しい接続であることを示す SYN ビッ トが設定されたパケットを送信先に送信します。送信先は、SYN-ACK ビットが 設定されたパケットをクライアントに送信することによって応答します。次に、 クライアントが ACK ビットが設定されたパケットを送信することによって応 答し、ステートフル接続が確立されます。送信パケットはすべて許可されます が、受信パケットは確立された接続に含まれるもののみ許可されます。ただし、 ファイアウォールが最初に TCP プロトコルを照会し、静的な規則と一致する既 存のすべての接続を追加する場合は例外です。静的な規則と一致しない既存の 接続はブロックされます。 [ファイアウォール オプション] ポリシーで設定された TCP 接続のタイムアウ トは、接続が確立されていない場合のみ適用されます。 TCP 接続の 2 番目のタイムアウトまたは強制タイムアウトは、確立された TCP 接続にのみ適用されます。このタイムアウトはレジストリ設定で制御され、既 定値は 1 時間です。4 分ごとにファイアウォールが TCP スタックを照会し、TCP によって報告されない接続は破棄されます。 DNS 照会元のローカル ポートに対してのみ DNS 応答を許可し、UDP 仮想接続タイ ムアウト時間内に照会されたリモート IP アドレスからのみ DNS 応答を送信 するように、照会と応答を照合します。以下の場合に受信 DNS 応答が許可さ れます。 状態テーブルの接続が期限切れでない場合 応答が要求送信元と同じリモート IP アドレスおよびポートから送信された 場合 76 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 プロトコル 処理方法 DHCP 正当な照会についてのみパケットが返されるように、照会と応答を照合します。 これにより、次の場合に 受信 DHCP 応答が許可されます。 FTP 状態テーブルの接続が期限切れでない場合 応答トランザクション ID が要求のいずれかと一致する場合 ファイアウォールは、ポート 21 で開かれた TCP 接続でステートフル パケッ ト検査を実行します。検査は、このポートで開かれた制御チャネルの最初の 接続でのみ行われます。 FTP 検査は、新しい情報を転送するパケットでのみ実行されます。再転送さ れたパケットは無視されます。 方向(クライアント /サーバ)とモード(アクティブ/ パッシブ)に応じて動 的な規則が作成されます。 - クライアント FTP アクティブ モード:受信ポート コマンドの解析後、 ポート コマンドが RFC 959 に準拠している場合、ファイアウォールは動的 な受信規則を作成します。サーバがデータ接続を開始するか、規則が期限切 れになると、この規則は削除されます。 - サーバ FTP アクティブ モード:受信ポート コマンドの解析後、ファイア ウォールは動的な送信規則を作成します。 - クライアント FTP パッシブ モード:FTP クライアントからの PASV コマ ンドを以前に確認しており、その PASV コマンドが RFC 959 に準拠している 場合、FTP サーバによって送信された PASV コマンド応答を読み込むと、 ファイアウォールは動的な送信規則を作成します。クライアントがデータ接 続を開始するか、規則が期限切れになると、この規則は削除されます。 - サーバ FTP パッシブ モード:ファイアウォールは動的な受信規則を作成 します。 ファイアウォール規則グループおよび接続別グループ 管理を容易にするため、規則をグループ化することができます。通常の規則グルー プの場合、その中で規則の扱いが変わることはなく、上位が下位に優先して適用さ れます。 Host Intrusion Prevention では、規則の扱いに影響する規則グループを定義すること もできます。このグループは接続別グループと呼ばれます。接続別グループ内の規則 は、特定の条件が満たされた場合のみ処理されます。 接続別グループでは、有線接続、無線接続、または特定パラメータによる不特定の接 続を使用してネットワークに接続する場合のみ適用される規則を管理できます。また、 これらのグループはネットワーク アダプタを認識できるので、複数のネットワーク ア ダプタを搭載したコンピュータでは、規則を特定のアダプタにのみ適用させることも できます。ネットワーク アダプタごとに、許可される接続のパラメータとして以下の いずれかまたはすべてを指定できます。 IP アドレス DNS サフィックス ゲートウェイ IP/MAC ペア DHCP IP/MAC ペア URL 解決のための照会先 DNS サーバ 使用する WINS サーバ 77 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 1 つの接続に適用される接続別グループが 2 つある場合は、通常の優先順位に基づい て、規則リストで適用可能な最初の接続別グループが使用されます。最初の接続別グ ループに一致する規則がない場合、規則処理を続行し、次のグループの規則と照合し ます。 接続別グループのパラメータがアクティブな接続に一致する場合、その接続グループ 内の規則が適用対象となります。接続グループ内の規則は、規則の集まりであること には変わりなく、その中では通常の優先順位が使用されます。捕捉したトラフィック と一致しない規則は無視されます。 ネットワーク アダプタで以下の条件がすべて満たされている場合、接続が許可され ます。 接続の種類が [LAN] の場合 または 接続の種類が [ワイヤレス (802.11)] の場合 または 接続の種類が [任意] で、DNS サフィックス リストまたは IP アドレス リストが 作成されている場合 [IP アドレスのリストを確認する] が選択されており、アダプタの IP アドレスがリ スト エントリのいずれかと一致する場合 [DNS サフィックスのリストを確認する ] が選択されており、アダプタの DNS サ フィックスがリスト エントリのいずれかと一致する場合(DNS 名の照合では大 文字と小文字が区別されます) [デフォルト ゲートウェイのリストを確認する] が選択されており、デフォルト ア ダプタのゲートウェイ IP/MAC ペアがリスト エントリの少なくとも 1 つと一致 する場合 [DHCP サーバのリストを確認する] が選択されており、アダプタの DHCP サーバ IP/MAC ペアがリスト エントリの少なくとも 1 つと一致する場合 注:MAC アドレスはオプションであり、指定されている場合のみ使用されます。 [プライマリ DNS サーバのリストを確認する] が選択されており、アダプタの DNS サーバの IP アドレスがリスト エントリのいずれかと一致する場合 [セカンダリ DNS サーバのリストを確認する] が選択されており、アダプタの DNS サーバの IP アドレスがリスト エントリのいずれかと一致する場合 [プライマリ WINS サーバのリストを確認する] が選択されており、アダプタのプラ イマリ WINS サーバの IP アドレスがリスト エントリの少なくとも 1 つと一致 する場合 [セカンダリ WINS サーバのリストを確認する] が選択されており、アダプタのセカ ンダリ WINS サーバの IP アドレスがリスト エントリの少なくとも 1 つと一致 する場合 78 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 ファイアウォールの [学習モード] および [適応モード] ファイアウォール機能を有効にすると、Host Intrusion Prevention はコンピュータが 送受信するネットワーク トラフィックを継続的に監視し、ファイアウォール規則のポ リシーに基づいて、トラフィックを許可またはブロックします。既存の規則と一致し ないトラフィックは、ファイアウォールの [学習モード] または [適応モード] が有効で なければ、自動的にブロックされます。 [学習モード] は、受信のみ、送信のみ、または両方に対して有効にできます。 [学習モード] で不明なネットワーク トラフィックが捕捉されると、 [学習モード] アラー トが表示されます。アラート ダイアログ ボックスには、既存の規則と一致しないトラ フィックを [許可] または [ブロック] するように促すメッセージが表示されます。そし て、その一致しないトラフィックに対応する動的規則が自動的に作成されます。 [適応モード] では、Host Intrusion Prevention は自動的に許可規則を作成して、既存の ブロック規則と一致しないすべてのトラフィックを許可し、一致しないトラフィック に対して自動的に動的許可規則を作成します。 セキュリティ上の理由で、[学習モード] でも [適応モード] でも、受信する ICMP トラ フィックに対して明示的に許可規則を作成している場合を除き、受信する ping はブ ロックされます。また、ホスト上で開いていないポートへの受信トラフィックは、ト ラフィックに対して明示的に許可規則を作成している場合を除き、ブロックされます。 たとえば、ホストが telnet サービスを開始する前は、ポート 23 (telnet) への受信 TCP トラフィックは、このトラフィックをブロックする明示的な規則が存在しなくてもブ ロックされます。明示的な許可規則は、希望する任意のトラフィックに作成できます。 Host Intrusion Prevention は、[学習モード] または [適応モード] により、作成したす べての規則を表示し、これらの規則を保存して、管理規則に移行できるようにします。 ステートフル フィルタ機能 ステートフル ファイアウォールで [適応モード] または [学習モード] が適用されてい る場合、フィルタ処理が少し異なり、受信パケットを処理する新しい規則を状況に応 じて作成できます。このフィルタ処理は以下のように実行されます。 1 ファイアウォールが受信パケットを状態テーブル内のエントリと比較し、一致が検 出されない場合、静的規則リストを調べます。ここでも一致が検出されない場合、 次に進みます。 2 状態テーブルにエントリは作成されませんが、TCP パケットの場合、保留リストに 入れられます。それ以外の場合、パケットは破棄されます。 3 新しい規則が許可された場合、単方向の静的許可規則が作成されます。TCP パケッ トの場合は、状態テーブルにエントリが作成されます。 4 新しい規則が許可されない場合、そのパケットは破棄されます。 79 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 検疫ポリシーと規則 長時間の不在の後でクライアントがネットワークに戻った場合、クライアントに最新 のポリシー、ソフトウェア アップデート、および DAT ファイルのすべてが揃ってい ることを ePolicy Orchestrator が確認するまで、検疫ポリシーによってクライアント はネットワークとの通信を制限されます。 íç Host Intrusion Prevention は、ePolicy Orchestrator が管理するすべてのアプリケーショ ンに検疫規則を適用します。ePolicy Orchestrator を使用して VirusScan Enterprise を 使用するクライアントを管理する場合、戻ってきたクライアントがアップデート タス クで最新の DAT ファイルが取得できないなど、VirusScan Enterprise タスクの実行に 失敗すると、Host Intrusion Prevention はそのクライアントを検疫します。 最新ではないポリシーやファイルは、セキュリティ ホールの原因になり、システム が攻撃にさらされる可能性があります。ePolicy Orchestrator がポリシーやファイル をアップデートするまでユーザを検疫することで、不要なセキュリティ リスクを避 けることができます。たとえば、検疫ポリシーは、企業ネットワークから数日間離れ たときに、ポリシーやファイルが最新でなくなる可能性があるノートパソコンに役立 ちます。 検疫オプション ポリシーを有効にすると、ePolicy Orchestrator と Host Intrusion Prevention の両方が関係します。ePolicy Orchestrator は、ユーザが必要な最新情報を すべて持っているかどうかを検出します。Host Intrusion Prevention は、クライアン トが必要なポリシーやファイルをすべて取得するまで、検疫を適用します。 íç ユーザが VPN ソフトウェアを使用してネットワークに接続する場合、VPN 経由で接 続して認証を受けるために必要なトラフィックが検疫規則に許可されることを確認 します。 検疫オプション ポリシーを設定する場合、検疫された IP アドレスおよびサブネット のリストを指定します。これらのアドレスを割り当てられたユーザがネットワークに 戻ると、Host Intrusion Prevention によって検疫されます。 検疫オプション ポリシーがクライアントに適用されると、Host Intrusion Prevention は、ePolicy Orchestrator エージェントを使用して、クライアントに最新のポリシーお よびファイルがあるかどうかを判断します。これには、ePolicy Orchestrator のタスク がすべて正しく実行されたかどうかのチェックが含まれます。 ユーザが最新の状態であれば、Host Intrusion Prevention はただちにクライアントを 検疫から解放します。 1 つ以上の ePolicy Orchestrator タスクが実行されていない場合、ユーザは最新の状態 ではないため、Host Intrusion Prevention は自動的に検疫を解除しません。ePolicy Orchestrator エージェントがポリシーおよびファイルをアップデートしている間、ク ライアントは数分間検疫される場合があります。Host Intrusion Prevention は、検疫 オプション ポリシーの設定に従い、検疫を継続するか停止するかを決定します。検疫 の適用を継続するように Host Intrusion Prevention を設定すると、クライアントが検 疫される時間が延長されます。 検疫ポリシーにより、Host Intrusion Prevention は、検疫されたクライアントが通信 できる相手を限定する、厳密なファイアウォール検疫規則セットを適用します。 íç 検疫モードでは、ファイアウォールが有効になっている必要があります。[検疫モード] が有効でも、ファイアウォールが有効でなければ、検疫の効果は発揮されません。 80 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 概要 カスタム 6.0 ファイアウォール規則から 6.1 規則への移行 Host Intrusion Prevention ファイアウォール規則移行ユーティリティを使用して、カ スタム 6.0 のファイアウォール規則ポリシーを、対応するバージョン 6.1 のポリシー に移行します。移行されたポリシーは [ファイアウォール規則] または [検疫規則] に表 示され、名前の先頭に [Migrated] が追加されます。また、対応する 6.0 ポリシーと同じ クライアントに自動的に適用されます。 次の 2 つの方法のいずれかによって 6.0 のファイアウォール規則を移行できます。 [変換] は、ステートフル ファイアウォール機能を利用できるように規則を変更し ます。 [コピー ] は、規則を変更せずにコピーします。 どちらの方法を使用した場合も、移行されたファイアウォール規則ポリシーは、対応 する 6.0 ポリシーと同じクライアントに自動的に適用されます。 íç バージョン 6.0 のクライアントでは [6.0 ファイアウォール規則] ポリシーと [6.0 検疫 規則] ポリシーのみが認識され、バージョン 6.1 のクライアントでは [ファイアウォー ル規則] ポリシーと [検疫規則] ポリシーのみが認識されます。 規則を移行するには 1 インストールされた McAfee ePO フォルダにある移行ユーティリティのリンクを ダブルクリックします (C:\Program Files\McAfee\ePO\3.6.x\Host IPS Firewall Rule Migrator)。 2 ePO グローバル管理者のユーザ名とパスワードを入力し、[ログイン] をクリックし ます。 3 移行方法を選択して([変換] または [コピー ])、[移行] をクリックします。 4 移行が完了したら、[ ファイアウォール規則 ] と [検疫規則 ] で新しいポリシーのリス トを確認し、必要に応じて名前や割り当てを変更します。 事前設定ファイアウォール ポリシー Host Intrusion Prevention ファイアウォール機能には、次の 4 つのポリシー カテゴリ があります。 [ファイアウォール オプション]:ファイアウォール保護のオン/オフを切り替えます。 事前設定ポリシーには、[オフ(McAfee 既定)]、[オン]、[適応、学習] が含まれます。 [6.0 ファイアウォール規則](6.0 クライアントのみ):ファイアウォールの規則を定 義します。事前設定ポリシーには、[最小(McAfee 既定)]、[学習開始レベル]、[クラ イアント - 高]、[クライアント - 中]、[サーバ - 高]、[サーバ - 中] が含まれます。 [ ファイアウォール規則 ](6.1 クライアントのみ):ファイアウォールの規則を定義 します。事前設定ポリシーには、[最小(McAfee 既定)]、[学習開始レベル]、[クライ アント - 高]、[クライアント - 中]、[サーバ - 高]、[サーバ - 中] が含まれます。 [ 検疫オプション ]:検疫モードのオン/オフを切り替えます。事前設定ポリシーは、 [無効(McAfee 既定) ] です。 [6.0 検疫規則](6.0 クライアントのみ) :検疫中に適用するファイアウォールの規則 を定義します。この事前設定ポリシーが、既定のポリシー [(McAfee 既定) ] です。 [検疫規則 ](6.1 クライアントのみ):検疫中に適用するファイアウォールの規則を 定義します。この事前設定ポリシーが、既定のポリシー [(McAfee 既定) ] です。 81 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール オプションのポリシーの設定 クイック アクセス ファイアウォール機能には、ファイアウォール規則とファイアウォール クライアント の規則を監視および管理するためのクイック アクセスへのリンク (*) があります。 図 5-3 ファイアウォール機能 * ファイアウォール オプションのポリシーの設定 ファイアウォール オプション ポリシーを使用すると、ファイアウォールの有効/無効 の切り替え、およびクライアントへの [適応モード] または [学習モード] の適用ができ ます。設定済みの 4 種類のポリシーから選択するか、または新しいポリシーを作成し て適用できます。 ファイアウォール オプション ポリシーを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択し ます。 2 [ポリシー ] タブで、[Host Intrusion Prevention ファイアウォール] 機能を展開します。 3 [ファイアウォール オプション] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 4 次のいずれかを行います。 設定済みポリシーをリストから 1 つ選択して、[適用] をクリックします。 オプション名 設定の内容 [オフ](McAfee 既定) すべて無効にする [オン] [ファイアウォールを有効にする] [通常の保護を有効にする] [クライアント規則を保持する] [ファイアウォールを有効にする] [適応モードを有効にする] [クライアント規則を保持する] [ファイアウォールを有効にする] [学習モードを有効にする]、[受信] および [送信] [クライアント規則を保持する] [適応] [学習] 82 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール オプションのポリシーの設定 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成できます。新しいポ リシーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指 定します。 5 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。 [ファイアウォール オプション] ダイアログ ボックスが表示されます。 図 5-4 ファイアウォール オプション 6 適切な設定を選択します。詳細については、[ヘルプ] をクリックしてください。 7 [適用] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 8 [適用] をクリックします。 83 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 ファイアウォール規則ポリシーの設定 ファイアウォール規則は、システムの動作を決定し、ネットワーク トラフィックを傍 受したときに、トラフィックを許可またはブロックします。適切な設定の [ ファイア ウォール規則] ポリシーを適用して、ファイアウォール規則を作成および管理します。 [ファイアウォール規則] ポリシーでは、次の機能が使用できます。 新しいファイアウォール規則のポリシーの作成 ファイアウォール規則の表示および編集 新しいファイアウォール規則またはファイアウォール グループの作成 ファイアウォール規則またはグループの削除 ファイアウォール クライアントの規則の表示 新しいファイアウォール規則のポリシーの作成 ノード固有ではない新しいポリシーを追加するには、[ ポリシー カタログ ] でポリシー を作成します。詳細については、124 ページの「ポリシー カタログ」を参照してくだ さい。ノードに特有な新しいポリシーを追加するには、このセクションの説明に従い ます。 ファイアウォール規則のポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。 2 [ポリシー ] タブで、ファイアウォール機能を展開します。 3 [ファイアウォール規則] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 4 次のいずれかを行います。 設定済みポリシーをリストから 1 つ選択して、[適用] をクリックします。 84 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 ポリシーの選択 保護の内容 最小(既定) 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック。Host Intrusion Prevention は、そ の他すべての ICMP トラフィックは許可します。 ユーザと同じサブネットにあるコンピュータからの Windows ファイル共有の要求は許可し、それ以外のファイル 共有の要求はブロック(信頼できるネットワーク ポリシー で、[ローカル サブネットを自動的に含める] を選択して おく必要があります) 。 Windows ドメイン、ワークグループ、およびコンピュータ の参照を許可。 通信量の多い受信および送信 UDP トラフィックをすべて 許可。 BOOTP、DNS、および Net Time UDP ポートを使用するト ラフィックを許可。 攻撃者がコンピュータの情報収集に使用できる受信 ICMP トラフィックをブロック。Host Intrusion Prevention は、そ の他すべての ICMP トラフィックは許可します。 ユーザと同じサブネットにあるコンピュータからの Windows ファイル共有の要求は許可し、それ以外のファイ ル共有の要求はブロック(信頼できるネットワーク ポリ シーで、[ローカル サブネットを自動的に含める] を選択 しておく必要があります)。 Windows ドメイン、ワークグループ、およびコンピュータ の参照を許可。 BOOTP、DNS、および Net Time UDP ポートを使用するト ラフィックを許可。 IP ネットワーキング(送信 ping、トレース ルート、および 受信 ICMP メッセージを含む)に必要な ICMP トラフィック の み許 可。Host Intrusion Prevention は、そ の他 す べて の ICMP トラフィックをブロックします。 IP 情報(自 IP アドレス、ネットワーク時間など)にアクセ スする UDP トラフィックを許可。この保護レベルでは、上 位 UDP ポート(1024 以上)のトラフィックも許可します。 Windows のファイル共有は、ローカル サブネットのみで許 可。ローカル サブネット外を参照することはできず、この 保護ブロックはユーザのサブネット外からコンピュータの ファイルへのアクセスをブロックします(信頼できるネット ワーク ポリシーで、[ローカル サブネットを自動的に含め る] を選択しておく必要があります)。 学習開始レベル クライアント - 中 クライアント - 高 攻撃にさらされている場合、または攻撃される可能性が高い場 合に、この保護レベルを使用します。この保護レベルでは、シ ステムから最小限の送受信しか許可しません。 適切なネットワーキングに必要な ICMP トラフィックのみ 許可。この保護ブロックは、送受信 ping ともにブロックし ます。 IP 情報(自 IP アドレス、ネットワーク時間など)にアクセ スする UDP トラフィックのみを許可。 Windows ファイル共有をブロック。 85 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ポリシーの選択 保護の内容 サーバ - 中 ネットワーク サーバにはこの保護レベルを使用します。 サーバ - 高 ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 サーバとクライアント間の通信を円滑にする ICMP トラ フィックを許可。この保護ブロックは、その他すべての ICMP トラフィックをブロックします。 IP 情報にアクセスするために必要な UDP トラフィックを許 可。この保護では、上位 UDP ポート(1024 以上)のトラ フィックも許可します。 インターネットに直接接続され、攻撃のリスクが高いサーバに この保護レベルを使用します。ユーザがカスタマイズした規則 セットを作成する場合、この保護レベルを基準にしてください。 サーバとクライアント間の通信を円滑にする特定の ICMP トラフィックを許可。Host Intrusion Prevention は、その他 すべての ICMP トラフィックをブロックします。 IP 情報にアクセスするために必要な UDP トラフィックを許 可。Host Intrusion Prevention は、その他すべての UDP ト ラフィックをブロックします。 [新しいポリシー ] を選択して、新しいポリシーを作成します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 図 5-5 [新しいポリシーの作成] ダイアログ ボックス 5 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。 [ ファイアウォール規則 ] ダイアログ ボックスが表示されると、ポリシー リスト ペ インで新しいポリシーが選択されています。 図 5-6 [ファイアウォール規則] タブ 86 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 6 次のいずれかを行います。 規則またはグループを追加します(88 ページの「新しいファイアウォール規則 またはファイアウォール グループの作成」を参照)。 規則を編集します(ファイアウォール規則の表示および編集を参照)。 規則を削除します(91 ページの「ファイアウォール規則またはグループの削除」 を参照)。 7 [閉じる] をクリックします。 新しいポリシーの名前がポリシー リストに表示されます。 8 [適用] をクリックします。 íç [ポリシーの追加] または [ポリシーの複製] をクリックして、[ファイアウォール規則] ダイアログ ボックス内から新しいポリシーを作成することもできます。 ファイアウォール規則の表示および編集 規則の詳細を表示したり、規則を編集してオプションを変更することができます。[ファ イアウォール規則 ] ポリシーの [ ファイアウォール規則 ] タブで規則を表示および編集で きます。 ファイアウォール規則を表示および編集するには 1 [ ファイアウォール規則 ] タブで、[ ポリシー ] リストにあるポリシーを選択して、詳 細情報ペインで表示または編集する規則を選択します。 2 ショートカット メニューまたはツール バーの [プロパティ ] をクリックします。 [ファイアウォール規則] ダイアログ ボックスが表示されます。 3 この規則の設定を変更します。詳細については、[ヘルプ] をクリックしてください。 4 [OK] をクリックして変更を保存します。 87 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 新しいファイアウォール規則またはファイアウォール グループの 作成 新しい規則は、最初から作成することも、既存の規則を複製してそれを編集して作成 することもできます。また、規則セットのグループ、接続別グループを作成したり、 定義済み規則を追加したりすることもできます。[ファイアウォール規則] ポリシーの [ファイアウォール規則] タブで新しい規則およびグループを作成します。 ファイアウォール規則を作成するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール規則] タブで、[追加]、次に [新しい規則] をクリックします。 [ファイアウォール規則] ダイアログ ボックスが表示されます。 図 5-7 [新しいファイアウォール規則] ダイアログ ボックス 2 適切な設定を選択します。 3 [OK] をクリックします。 íç 定義済み規則や規則グループをポリシーに追加して規則を作成することもできます。 [追加]、次に [定義済み規則] をクリックします。 [定義済み規則の選択] ダイアログ ボッ クスで、追加するグループまたは個々の規則を選択して、[OK] をクリックします。 88 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 新しい規則グループを作成するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール規則] タブで、[追加]、次に [新しいグループ] をクリックします。 [ファイアウォール グループ] ダイアログ ボックスが表示されます。 図 5-8 [新しいファイアウォール規則グループ] ダイアログ ボックス 2 [名前] フィールドに、このグループの名前を入力します。 3 [OK] をクリックして、グループを追加します。 これで、このグループ内に新しい規則を作成、またはファイアウォール規則リスト から既存の規則を移動することができます。 接続別グループを作成するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール規則] タブで、[追加]、次に [新しい接続別グループ] をクリックします。 [新しい接続別グループ] ダイアログ ボックスが表示されます。 図 5-9 [新しい接続別グループ] ダイアログ ボックス 2 [名前] フィールドに、このグループの名前を入力します。 3 [接続の種類] で、このグループ内の規則を適用する接続の種類([LAN]、[ワイヤレス (802.11)]、[任意])を選択します。 89 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 4 [接続情報] チェックボックスをオンにしてグループを定義し、対応する [リストの編 集] をクリックして、1 つ以上のアドレスまたは DNS サフィックスを追加します。 接続の種類として [任意] を選択した場合、 [IP アドレスのリストを確認する] ま たは [DNS サフィックスのリストを確認する ] のいずれかを選択し、対応する リストを編集する必要があります。 クライアントと同じサブネットにある DHCP サーバに対してのみ DHCP サーバ の MAC アドレスを指定します。リモート DHCP サーバは、IP アドレスのみで 識別します。 íç 5 [OK] をクリックします。 これで、このグループ内に新しい規則を作成、またはファイアウォール規則リストか ら既存の規則を移動することができます。ファイアウォール規則リストに 3 つの接続 別グループすべてが同じアイコンで表示され、括弧内に接続の種類が示されます。 接続別グループの詳細については、77 ページの「ファイアウォール規則グループおよ び接続別グループ」を参照してください。 定義済み規則を追加するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール規則] タブで、[追加]、次に [定義済み規則] をクリックします。 [定義済み規則の選択] ダイアログ ボックスが表示されます。 図 5-10 [定義済み規則の選択] ダイアログ ボックス 2 1 つ以上のグループまたはグループ内の規則を選択します。 3 [OK] をクリックして、選択したグループおよび規則を追加します。 90 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 ファイアウォール規則またはグループの削除 [ファイアウォール規則] ポリシーの [ ファイアウォール規則 ] タブで規則およびグルー プを削除します。 ファイアウォール規則またはグループを削除するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール規則] タブを選択して、削除 する規則またはグループを選択します。 2 [削除] をクリックします。 3 リストからすべての項目を削除するには、[はい] をクリックします。 ファイアウォール クライアントの規則の表示 [ファイアウォール クライアントの規則] タブには、クライアントのシステムで作成した すべてのファイアウォール規則が表示されます。[ 通常ビュー ] には複製を含むすべて の規則が表示され、[ 集約ビュー ] には、指定したものと同じ特性を持つグループの規 則が表示されます。 すべてのファイアウォール クライアントの規則を表示するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール クライアントの規則] タブを 選択して、[通常ビュー ] タブをクリックします。 図 5-11 [ファイアウォール クライアントの規則] - [通常ビュー ] 91 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー ファイアウォール規則ポリシーの設定 2 ビューを変更するには、次のいずれかを行います。 目的 操作 規則の詳細を表示 規則を選択して [プロパティ ] をクリックします。 規則をポリシーに 移動 規則を選択して、[ポリシーに追加] をクリックします。 規則のリストをス クロール ツールバーのナビゲーション ボタンをクリックします。 規則のリストを フィルタリング [ フィルタの設定 ] をクリックします。[ アプリケーション フィ ルタの設定] ダイアログ ボックスで、1 つまたは複数のチェック ボックスを選択し、対応するフィールドに値を入力してフィルタ を設定します。 集約されたファイアウォール クライアントの規則を表示するには 1 [ファイアウォール規則] ポリシーの [ファイアウォール クライアントの規則] タブを 選択して、[集約ビュー ] タブをクリックします。 まだ表示されていない場合、[ 列の選択 ] をクリックして、[ ファイアウォール規則の 集約] ダイアログ ボックスを表示します。 図 5-12 [ファイアウォール クライアントの規則] - [集約ビュー ] 2 1 つまたは複数のチェックボックスをオンにして、表示するクライアント規則を集 約する条件を決め、[OK] をクリックします。 集約したファイアウォール規則の詳細を表示するには [集約ビュー] タブで、 集約された規則を選択し [個々の規則の表示] をクリックします。 集約された規則にある個々の規則がすべて、[通常ビュー ] タブに表示されます。 92 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 検疫オプション ポリシーの設定 検疫オプション ポリシーの設定 検疫オプション ポリシーでは、検疫モードの有効/無効の切り替え、検疫通知メッセー ジの作成、検疫ネットワークの定義、および失敗オプションの設定が可能です。 検疫オプション ポリシーを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。 2 ファイアウォール機能を展開し、[検疫オプション] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成できます。新しいポ リシーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指 定します。 4 複製するポリシーを選択して、新しいポリシーの名前を入力し、[OK] をクリックし ます。 [検疫オプション] ダイアログ ボックスが表示されます。 図 5-13 検疫オプション 5 適切な設定を選択します。 6 [適用] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 7 [適用] をクリックします。 93 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 検疫規則のポリシーの設定 検疫規則のポリシーの設定 [検疫規則] ポリシーは、[検疫モード] が有効な場合に適用されるファイアウォール規則 の特殊なセットです。適切な設定の [検疫規則] ポリシーを適用して、検疫規則を作成 および管理します。 ユーザが VPN ソフトウェアを使用してネットワークに接続する場合、VPN 経由で接 続して認証を受けるために必要なトラフィックが検疫規則に許可されることを確認 します。 íç 通常のファイアウォール機能を使用して、[ 検疫モード ] に必要な VPN 関連規則を判 断することができます。ファイアウォールの [学習モード] または [適応モード] を有効 にしてから、VPN ソフトウェアを使用して接続します。Host Intrusion Prevention は、 自動的に該当する VPN 規則を生成します。この規則は検疫規則に複製できます。 [検疫規則] ポリシーでは、次の機能が使用できます。 新しい検疫規則のポリシーの作成 検疫規則の表示および編集 新しい検疫規則またはグループの作成 検疫規則またはグループの削除 新しい検疫規則のポリシーの作成 ノード固有ではない新しいポリシーを追加するには、[ ポリシー カタログ ] でポリシー を作成します。詳細については、124 ページの「ポリシー カタログ」を参照してくだ さい。ノードに特有な新しいポリシーを追加するには、このセクションの説明に従い ます。 検疫規則のポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択し ます。 2 ファイアウォール機能を展開し、[検疫規則] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 次のいずれかを行います。 設定済みポリシーをリストから 1 つ選択して、[適用] をクリックします。 [新しいポリシー ] を選択して、新しいポリシーを作成します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 4 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。 [検疫規則] ダイアログ ボックスが表示されると、ポリシー リスト ペインで新しい ポリシーが選択されています。 94 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 検疫規則のポリシーの設定 図 5-14 [検疫規則] ダイアログ ボックス 5 次のいずれかを行います。 規則を追加します(96 ページの「新しい検疫規則またはグループの作成」を参 照)。 規則を編集します(検疫規則の表示および編集を参照)。 規則を削除します(96 ページの「検疫規則またはグループの削除」を参照)。 6 [閉じる] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 7 [適用] をクリックします。 íç [ポリシーの追加] または [ポリシーの複製] をクリックして、[検疫規則] ダイアログ ボックス内から新しいポリシーを作成することもできます。 検疫規則の表示および編集 規則の詳細を表示したり、規則のオプションを編集することができます。[検疫規則] ダイアログ ボックスで規則を表示および編集します。 検疫規則を表示および編集するには 1 [ポリシー ] リストでポリシーを選択して、詳細情報ペインで表示または編集する規 則を選択します。 2 [プロパティ ] をクリックします。 [検疫規則] ダイアログ ボックスが表示されます。 3 この規則の設定を変更します。 4 [OK] をクリックして変更を保存します。 95 5 McAfee® Host Intrusion Prevention 6.1 製品ガイド ファイアウォール ポリシー 検疫規則のポリシーの設定 新しい検疫規則またはグループの作成 新しい規則は、最初から作成することも、既存の規則を複製してそれを編集して作成 することもできます。また、規則セットのグループを作成したり、定義済み規則を追 加したりすることもできます。[検疫規則] ダイアログ ボックスで、新しい規則および グループを作成します。 検疫規則を作成するには 1 [検疫規則] ポリシーの [検疫規則] タブで、[追加]、次に [新しい規則] をクリックし ます。 [ファイアウォールの検疫規則] ダイアログ ボックスが表示されます。 2 適切な設定を選択します。 3 [OK] をクリックします。 íç 定義済み規則や規則グループをポリシーに追加して規則を作成することもできます。 [追加]、次に [定義済み規則] をクリックします。 [定義済み規則の選択] ダイアログ ボッ クスで、追加するグループまたは個々の規則を選択して、[OK] をクリックします。 新しい規則グループを作成するには 1 [検疫規則] ポリシーの [検疫規則] タブで、[追加]、次に [新しいグループ] をクリック します。 [ファイアウォールの検疫規則グループ] ダイアログ ボックスが表示されます。 2 [名前] フィールドに、このグループの名前を入力します。 3 [OK] をクリックして、グループを追加します。 これで、このグループ内に新しい規則を作成、またはファイアウォールの検疫規則 リストから既存の規則を移動することができます。 定義済み規則を追加するには 1 [検疫規則] ポリシーの [検疫規則] タブで、[追加]、次に [定義済み規則] をクリックし ます。 [定義済み規則の選択] ダイアログ ボックスが表示されます。 2 1 つ以上のグループまたはグループ内の規則を選択します。 3 [OK] をクリックして、選択したグループおよび規則を追加します。 検疫規則またはグループの削除 [検疫規則] ダイアログ ボックスで、規則およびグループを削除します。 検疫規則またはグループを削除するには 1 [検疫規則] ポリシーの [検疫規則] タブで、削除する規則またはグループを選択し ます。 2 [削除] をクリックします。 3 リストからすべての項目を削除するには、[はい] をクリックします。 96 5 6 アプリケーション ブロック ポリシー Host Intrusion Prevention のアプリケーション ブロック機能は、アプリケーション群 を管理して、実行(アプリケーション作成)または他のアプリケーションとのバイン ド(アプリケーション フック)を許可することができます。 この章では、アプリケーション ブロック機能について、次のトピックを説明します。 概要 アプリケーション ブロックのオプション ポリシーの設定 アプリケーション ブロックの規則ポリシーの設定 概要 アプリケーション ブロック機能では、アプリケーション ブロックの有効/無効の切り 替え、およびアプリケーション ブロック規則の設定が行えます。アプリケーション ブ ロックでは、アプリケーション作成のブロック、アプリケーション フックのブロッ ク、または両方を設定できます。また、手動、または [適応モード] か [学習モード] に より、クライアント上で作成されたアプリケーション ブロックの規則を継続するかど うかも指示できます。 アプリケーション作成 特定のプログラム、または未知のプログラムの実行を防止するには、アプリケーショ ン作成をブロックします。たとえば、トロイの木馬による攻撃は、ユーザが知らない 間にコンピュータ上で不正なアプリケーションを実行する場合があります。アプリ ケーション作成をブロックすると、特定の正当なアプリケーションしか実行されなく なるため、これらの攻撃が成功することを防止できます。また自動の [適応モード] ま たは対話的な [学習モード] をどちらか有効にして、許可するプリケーション群を動的 に構築できます。 97 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー 概要 アプリケーション フック アプリケーション フックをブロックすると、未知のアプリケーションが他のアプリ ケーションにバインドすることを防止します。この種類のフックはカーネル レベルの API で発生し、正当なアプリケーションで必要な場合もありますが、攻撃を示す場合も あります。たとえば、不正なアプリケーションが電子メールのアプリケーションにフッ クして、自分自身を電子メールで送信しようとするかもしれません。アプリケーショ ン フックをブロックすることでこれらの攻撃を防ぐことができ、また特定のアプリ ケーションのみが他のプログラムにバインドできるように設定できます。また自動 の [適応モード] または対話的な [学習モード] をどちらか有効にして、他のアプリケー ションにフックしようとしている未知のアプリケーションを処理することもできます。 アプリケーション ブロック ポリシーの事前設定 アプリケーション ブロック機能には、次の 2 つのポリシー カテゴリがあります。 [アプリケーション ブロックのオプション]:アプリケーション作成およびアプリケー ション フックのブロックのオン/オフを切り替えます。事前設定ポリシーには、[オフ (McAfee 既定) ]、[オン]、[適応、学習] が含まれます。 [アプリケーション ブロックの規則]:アプリケーション ブロックの設定を定義しま す。事前設定ポリシーが、既定 [(McAfee 既定) ] です。 クイック アクセス アプリケーション ブロック機能には、アプリケーション ブロックの規則およびアプ リケーション ブロックのクライアントの規則を監視および管理するためのクイック アクセスへのリンク (*) があります。 図 6-1 アプリケーション ブロック機能 * 98 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックのオプション ポリシーの設定 アプリケーション ブロックのオプション ポリシーの設定 アプリケーション ブロックのオプション ポリシーには 4 つの設定済みポリシーがあ り、その中から選択できます。または、新しいポリシーを作成してそれを適用するこ ともできます。 アプリケーション ブロックのオプション ポリシーを適用するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。 2 [ アプリケーション ブロック ] 機能を展開し、[ アプリケーション ブロックのオプショ ン] ラインで、[編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 次のいずれかを行います。 設定済みポリシーをリストから 1 つ選択し、[適用] をクリックします。 ポリシーの選択 設定の内容 [オフ](McAfee 既定) すべての設定が無効になります。 [オン] アプリケーション作成のブロック、通常の保護 アプリケーション フックのブロック、通常の保護 アプリケーション作成のブロック、[適応モード] アプリケーション フックのブロック、[適応モード] アプリケーション作成のブロック、[学習モード] アプリケーション フックのブロック、[学習モード] [適応] [学習] [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成できます。新しいポ リシーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指 定します。 4 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。 [アプリケーション ブロックのオプション] ダイアログ ボックスが表示されます。 99 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックのオプション ポリシーの設定 図 6-2 アプリケーション ブロックのオプション 5 適切な設定を選択します。 6 [適用] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 7 [適用] をクリックします。 100 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 アプリケーション ブロックの規則ポリシーの設定 規則に従い、アプリケーション ブロック機能がさまざまなアプリケーションを扱う方 法を判断します。[ アプリケーション ブロックの規則 ] ポリシーに適切な設定を適用し て、規則を作成し、管理します。 [アプリケーション ブロックの規則] ポリシーにより、次にアクセスできます。 新しいアプリケーション ブロックの規則ポリシーの作成 アプリケーション ブロックの規則の表示と編集 新しいアプリケーション ブロックの規則の作成 アプリケーション ブロックの規則の削除 アプリケーションのクライアント規則の表示 新しいアプリケーション ブロックの規則ポリシーの作成 ノードに特有ではない新しいポリシーを追加するには、ポリシーをポリシー カタログに 作成します。詳細については、122 ページの「[ポリシー ] タブ」を参照してください。 ノードに特有な新しいポリシーを追加するには、このセクションの説明に従います。 アプリケーション ブロックの規則ポリシーを作成するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択し ます。 2 [アプリケーション ブロック] 機能を展開し、[アプリケーション ブロックの規則] ライ ンで、[編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 図 6-3 [新しいポリシーの作成] ダイアログ ボックス 4 複製するポリシーを選択して、新しいポリシーの名前を入力し、[OK] をクリックし ます。 ポリシー リストのペインで新しいポリシーが選択された状態で、[ アプリケーショ ン ブロックの規則] ダイアログ ボックスが表示されます。 101 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 図 6-4 [アプリケーション ブロックの規則] ダイアログ ボックス 5 次のいずれかを行います。 規則を追加します(103 ページの「新しいアプリケーション ブロックの規則の 作成」を参照)。 規則を編集します(アプリケーション ブロックの規則の表示と編集を参照)。 規則を削除します(104 ページの「アプリケーション ブロックの規則の削除」 を参照)。 6 [閉じる] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 7 [適用] をクリックします。 íç [アプリケーション ブロックの規則] ダイアログ ボックスで、[ポリシーの追加] ま たは [ポリシーの複製] ボタンを使用して新しいポリシーを作成することもできます。 アプリケーション ブロックの規則の表示と編集 規則の詳細を表示、または規則を編集して無効化、規則のカスタマイズ、またアプリ ケーション オプションの変更ができます。規則の表示と編集は、アプリケーション ブ ロックの規則ポリシーの [アプリケーション ブロックの規則] タブで行います。 アプリケーション ブロック規則を表示して編集するには 1 [ アプリケーション ブロックの規則 ] タブで、[ ポリシー ] リストにあるポリシーを選 択して、詳細情報ペインで表示または編集する規則を選択します。 2 [プロパティ ] をクリックします。 [アプリケーション規則] ダイアログ ボックスが表示されます。 3 この規則の設定を変更します。各設定の詳細については、103 ページの「新しいア プリケーション ブロックの規則の作成」を参照してください。 4 [OK] をクリックして変更を保存します。 102 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 新しいアプリケーション ブロックの規則の作成 新しい規則は、最初から作成することも、既存の規則を複製してそれを編集して作成 することもできます。新しい規則は、[ アプリケーション ブロックの規則 ] ダイアログ ボックスの [アプリケーション規則] タブで作成します。 新しいアプリケーション ブロック規則を作成するには 1 アプリケーション ブロックの規則ポリシーの [アプリケーション ブロックの規則] タ ブで、[追加] をクリックします。 íç 既存の規則を選択して [複製] をクリックし、その規則を編集して保存することで 新しい規則を作成することもできます。 [アプリケーション規則] ダイアログ ボックスが表示されます。 図 6-5 [アプリケーション規則] ダイアログ ボックス 2 この規則を適用するアプリケーションを、[ アプリケーション ] リストから選択しま す。このリストにアプリケーションが表示されない場合は、[参照] をクリックして アプリケーションの実行ファイルを選択します。 3 [カスタマイズ] をクリックして、規則のアプリケーションを照合する方法を設定し、 次のいずれかを選択します。 [ アプリケーションの指紋 ]:クライアントのアプリケーションがサーバで参照さ れるアプリケーションと同じバージョンの場合のみ、一致するサーバにあるア プリケーションのハッシュを計算します。 [パスを最初に照合し、一致したら指紋を照合する]:アプリケーションが最初に起 動されるとき、ユーザが指定したパスに基づいて照合されます。これが一致し たら、クライアントで指紋が計算されます。その後は、アプリケーションの指 紋のみに基づいて一致する規則が決まります。 [常にパスを照合し、指紋は照合しない]:アプリケーションが最初に起動されると き、ユーザが指定したパスにのみ基づいて照合されます。 íç [ 参照 ] をクリックすると、ePO サーバ上のアプリケーションに移動できます。 ほとんどの場合、[カスタマイズ] をクリックし、適切なオプションを選択して、 クライアント システムの正しいアプリケーションが適用されていることを確 認します。 4 [アプリケーション オプション] を選択します。 103 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 オプション名 操作内容 [アプリケーション規則をアク ティブにする] この規則を有効にします。 [ アプリケーションの作成を許可 アプリケーションの実行を許可します。 する] [ 他のアプリケーションをフック アプリケーションが他のアプリケーションにバイン することをアプリケーションに ドすることを許可します。 許可する] 5 [OK] をクリックして、新しい規則を [アプリケーション規則] リストに追加します。 アプリケーション ブロックの規則の削除 規則の削除は、アプリケーション ブロックの規則ポリシーの [アプリケーション ブロッ クの規則] タブで行います。 アプリケーション ブロックの規則を削除するには 1 アプリケーション ブロックの規則ポリシーの [アプリケーション ブロックの規則 ] タブで、1 つまたは複数の削除する規則を選択します。 2 [削除] をクリックします。 3 [確認] ダイアログ ボックスで [はい] をクリックし、リストから規則を削除します。 ÉqÉìÉg 規則を削除すると、その規則は完全に失われます。規則を編集して [アクティブ] チェックボックスの選択を解除し、規則を無効にすることをお勧めします。 アプリケーションのクライアント規則の表示 [アプリケーション ブロックのクライアントの規則] タブには、クライアント システム上 で作成されたすべての規則が表示され、アプリケーションを許可またはブロックでき ます。[通常ビュー ] では、複製を含むすべての規則を表示します。[集約ビュー ] では、 規則を類似した特性を持つグループにまとめて表示します。 アプリケーションのクライアント規則をすべて表示するには 1 アプリケーション ブロックの規則ポリシーの [アプリケーション ブロックの規則 ] タブをクリックして、[通常ビュー ] をクリックします。 104 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 図 6-6 [通常ビュー ] タブ 2 ビューを変更するには、次のいずれかを行います。 目的 操作 規則の詳細を表 示 規則を選択して [プロパティ ] をクリックします。 規則をポリシー に移動 規則を選択して、[ポリシーに追加] をクリックします。 規則のリストを スクロール ツールバーのナビゲーション ボタンをクリックします。 規則のリストを フィルタリング [フィルタの設定] をクリックします。[アプリケーション フィル タの設定] ダイアログ ボックスで、1 つまたは複数のチェックボッ クスを選択し、対応するフィールドに値を入力してフィルタを設定 します。 集約されたアプリケーションのクライアント規則を表示するには 1 アプリケーション ブロックの規則ポリシーの [アプリケーション ブロックの規則 ] タブをクリックして、[集約ビュー ] をクリックします。 2 [アプリケーション規則の集約] ダイアログ ボックスが表示されていない場合は、[列 の選択] をクリックして表示させます。 105 6 McAfee® Host Intrusion Prevention 6.1 製品ガイド アプリケーション ブロック ポリシー アプリケーション ブロックの規則ポリシーの設定 図 6-7 [集約ビュー ] タブ 3 1 つ以上のオプションを選択して、クライアント規則を集約する基準を決定し、[OK] をクリックします。 集約されたアプリケーションのクライアント規則の詳細を表示するには [集約ビュー ] タブで、集約規則を選択して、ショートカット メニューまたはツール バーの [個々の規則の表示] をクリックします。 集約された規則にある個々の規則がすべて、[通常ビュー ] タブに表示されます。 106 6 7 全般ポリシー Host Intrusion Prevention の全般機能により、1 つの機能に特定されない共通のポリ シーにアクセスできます。 この章では、次のトピックにより、全般機能について説明します。 概要 ポリシー実施の設定 クライアント UI ポリシーの設定 信頼できるネットワーク ポリシーの設定 信頼できるアプリケーション ポリシーの設定 概要 全般ポリシーは、IPS およびファイアウォール設定に適用され、個別の IPS ポリシー やファイアウォール ポリシーに優先します。 [ポリシー実施] ポリシーは、Host Intrusion Prevention 管理ポリシーをクライアントに 実施するかどうかを切り替える基本のスイッチです。 [クライアント UI] ポリシーでは、Host Intrusion Prevention クライアントが稼働するク ライアント コンピュータで使用できるオプションを決定します。これは、クライアン ト アイコンをシステム トレイに表示するかどうか、侵入アラートの種類、クライア ント インターフェイスにアクセスするパスワードなどです。 [信頼できるネットワーク] ポリシーは、通信しても安全な IP アドレスおよびサブネッ トのリストです。信頼できるネットワークには、サブネット、個々の IP アドレス、ま たは IP アドレスの範囲を指定できます。信頼できるネットワークに設定すると、IPS 例外や追加のファイアウォール規則を作成する必要がなくなるか、または必要が減少 します。 [ 信頼できるアプリケーション規則 ] ポリシーは、安全で、既知の脆弱性がなく、あら ゆる操作の実行が許可されているアプリケーションのリストです。信頼できるアプ リケーションに設定すると、IPS 例外および追加のファイアウォール規則やアプリ ケーション ブロックの規則を作成する必要がなくなるか、または必要が減少します。 [IPS 規則] ポリシー(43 ページの「IPS 規則のポリシーの設定」を参照してください) 同様、このポリシー カテゴリにも複数のポリシー インスタンスを含めることができ ます。 107 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 概要 [信頼できるネットワーク] ポリシーと [信頼できるアプリケーション] ポリシーを設定す ると、誤検知を削減または排除できるため、配布の調整に役立ちます。 図 7-1 全般機能 事前設定全般ポリシー 全般機能には、次の 4 つのポリシー カテゴリがあります。 [ポリシー実施]:管理ポリシーの適用のオン/オフを切り替えます。事前設定ポリシー には、[実施あり(McAfee 既定) ]、[実施なし] が含まれます。 [クライアント UI]:Host Intrusion Prevention クライアント ユーザ インターフェイ スへのアクセスを定義します。事前設定ポリシーは、既定のポリシー [(McAfee 既 定) ] です。 [ 信頼できるネットワーク ]:信頼できるネットワークを設定します。事前設定ポリ シーは、既定のポリシー [(McAfee 既定) ] です。 [信頼できるアプリケーション]:信頼できるアプリケーションを定義します。事前設 定ポリシーは、既定のポリシー [(McAfee 既定) ] です。 108 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー ポリシー実施の設定 ポリシー実施の設定 このポリシーは、ポリシー実施のオン/オフを切り替える基本のスイッチです。このポ リシーは削除も編集もできず、新しいポリシーを作成することもできません。 ポリシーの設定を変更するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。 2 [全般] 機能を展開し、[ポリシー実施] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 [実施なし] または [実施あり] を選択します。 既定の [実施あり] では、管理ポリシーのクライアントへの適用を許可します。[実施 なし] では、管理ポリシーが適用されないようにします。 íç [ 実施なし ] を選択してもクライアントやそのホストに対する保護が無効になるこ とはなく、ただポリシーのアップデートがクライアントに適用できなくなります。 図 7-2 ポリシー実施 4 [適用] をクリックします。 クライアント UI ポリシーの設定 [クライアント UI] ポリシーは、Host Intrusion Prevention で保護されている Windows クライアント コンピュータで使用可能なオプションを決定します。アイコンの表示設 定、侵入イベントの処理、管理者アクセスやクライアント ユーザ アクセスなどが含 まれます。このポリシーのオプションにより、次のような 3 種類の典型的ユーザの要 望を満たすことができます。 通常ユーザ Host Intrusion Prevention クライアントをデスクトップまたはラップトップにインス トールしている、平均的なユーザです。[クライアント UI] ポリシーにより、このユー ザは次の操作を実行できます。 Host Intrusion Prevention クライアント アイコンをシステム トレイに表示して、ク ライアント ユーザ インターフェイスを起動できます。 ポップアップ侵入アラートを受け取るか、ポップアップの表示後、これを無効にで きます。 IPS、ファイアウォール、およびアプリケーション ブロックの規則を追加で作成で きます。 109 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー クライアント UI ポリシーの設定 切断ユーザ おそらくラップトップを使用しており、一定期間 Host Intrusion Prevention に接続し ていないユーザです。Host Intrusion Prevention に技術的な問題がある場合や、また は Host Intrusion Prevention と対話しない操作が必要な場合もあります。[クライアン ト UI] ポリシーにより、このユーザは、特定のコンピュータ用の有効期限があるパス ワードを取得して管理タスクを実行したり、保護機能のオン/オフを切り替えることが できます。 管理者ユーザ すべてのコンピュータの IT 管理者で、管理者に委任されたあらゆるポリシーを変更 し、特別な操作をクライアント コンピュータで行う必要があります。[ クライアント UI] ポリシーにより、このユーザは、無期限の管理者パスワードを取得して管理タス クを実行できます。 切断ユーザと管理ユーザの両者が行う管理タスクには、次のようなものがあります。 IPS、ファイアウォール、アプリケーション ブロックのオプション ポリシーを有効 または無効にします。 ある種の正当な動作がブロックされる場合、IPS、ファイアウォール、アプリケー ション ブロックの規則を追加します。 ePolicy Orchestrator コンソールから管理ポリシーの変更を行っても、パスワードの期 限が切れるまでは実施されません。この間に作成されたクライアント規則は、管理規 則の許可があれば保持されます。 íç クライアント UI ポリシーの作成と適用 既定のクライアント UI の設定が希望に合わない場合、新しいポリシーを作成して適 切なオプションを選択します。その上でポリシーを 1 台のコンピュータまたはコン ピュータのグループに適用できます。 [クライアント UI] ポリシーを設定するには 1 新しいポリシーを適用するグループまたはコンピュータをコンソール ツリーで選 択します。 2 [全般] 機能を展開し、[クライアント UI] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成します。新しいポリ シーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指定 します。 4 複製するポリシーを選択して、新しいポリシーの名前を入力し、[OK] をクリックし ます。 [クライアント UI] ダイアログ ボックスが表示されます。 110 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー クライアント UI ポリシーの設定 図 7-3 [クライアント UI] - [表示オプション] タブ 5 必要に応じて設定を変更します。詳細については、[ヘルプ] をクリックしてくださ い。パスワードの詳細についてはパスワードの設定を、トレイ アイコン コントロー ルの詳細については 113 ページの「トレイ アイコン コントロール」を参照してく ださい。 6 [OK] をクリックして変更を保存します。 クライアント インターフェイスによる操作の詳細については、137 ページの「Host Intrusion Prevention クライアント」を参照してください。 パスワードの設定 [クライアント UI] ポリシーでは、クライアント UI がクライアント コンピュータに表 示された場合、そのロックを解除するために必要なパスワードを作成します。このポ リシーがクライアントに適用されると、パスワードがアクティブになります。 次の 2 種類のパスワードを使用できます。 管理者パスワードは、管理者が設定し、ポリシーがクライアントに適用されている 限り有効です。クライアント UI は、閉じるまでロックされたままです。クライア ント UI を再び開くには、管理者パスワードを再入力します。管理者パスワードを 作成して適用するには、ディレクトリ ツリーでサイト、グループ、またはコン ピュータを選択します。 有効期限のあるパスワードは、自動的に作成され、特定のコンピュータにのみ適用 されて有効期限が設定されます。クライアント UI は、有効期限のあるパスワード が有効である限り、クライアント UI が閉じられた場合でもロックされたままです。 有効期限のあるパスワードを作成して適用するには、ディレクトリ ツリーでコン ピュータを選択します。 111 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド íç 全般ポリシー クライアント UI ポリシーの設定 クライアントがロックされているかどうかに関わらず、ポリシーはクライアントが閉 じられている場合のみクライアントに実施されます。 パスワードを利用して [クライアント UI] のロックを解除する方法の詳細については、 139 ページの「ユーザ インターフェイスのロックの解除」を参照してください。 管理者パスワードを作成するには 1 [クライアント UI] ポリシーで、[詳細オプション] タブをクリックします。 図 7-4 [クライアント UI] - [詳細オプション] タブ 2 [パスワード] テキスト ボックスにパスワードを入力します。パスワードは 10 文字 以上にする必要があります。 3 [パスワードの確認入力] テキスト ボックスにパスワードを再入力します。 4 [適用] をクリックします。 íç クライアント側で管理者パスワードを使用する場合は、必ず [管理者パスワード] チェックボックスをオンにします。 112 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー クライアント UI ポリシーの設定 有効期限のあるパスワードを作成するには 1 [クライアント UI ポリシー ] ダイアログ ボックスで、[詳細オプション] タブをク リックし、[有効期限のあるパスワードを計算する] をクリックします。 [有効期限のあるパスワード] ダイアログ ボックスが表示されます。 図 7-5 [有効期限のあるパスワード] ダイアログ ボックス 2 パスワードの有効期限が切れる日付と時刻を入力し、[ パスワードの計算 ] をクリッ クします。 [パスワード] テキスト ボックスに暗号化されたパスワードが表示されます。 トレイ アイコン コントロール ブロックされている正当なアプリケーションやネットワーク サイトにアクセスする Host Intrusion Prevention 機能を、一部のユーザで一時的にオフにする必要がある場 合などに、Host Intrusion Prevention のトレイ アイコンを使用して、パスワードが必 要なクライアント UI を開かずに機能を無効にすることができます。 トレイ アイコン メニューの使用方法の詳細については、138 ページの「システム ト レイのアイコン」を参照してください。 Windows UI のトレイ アイコン コントロールを有効にするには 1 [表示オプション] タブの [トレイ アイコンを表示する] を選択します。 2 [詳細オプション] タブの [トレイ アイコンからの機能の無効化を許可する] を選択し、 いずれかまたはすべての機能を選択して無効にします。 ポリシーがクライアントに適用されると、Host Intrusion Prevention アイコンがシ ステム トレイに表示され、メニューが拡張されてオプションの無効化および復元 機能が追加されます。無効化された機能は、メニュー コマンドによって復元され るか、機能を有効にするように設定された新しいポリシーがクライアントに適用さ れるまで無効のままです。 以下の点に注意してください。 íç ISP を無効にすると、ホスト IPS とネットワーク IPS の保護が両方とも無効になり ます。 アプリケーション ブロックを無効にすると、アプリケーション作成のブロックと アプリケーション フックのブロックの保護が両方とも無効になります。 クライアント UI が開いている場合、メニュー コマンドは無効です。 113 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるネットワーク ポリシーの設定 信頼できるネットワーク ポリシーの設定 [ 信頼できるネットワーク ] ポリシーにより、ユーザが信頼できると判断したネット ワーク アドレスおよびサブネットのリストを保持できます。[信頼できるネットワーク] ポリシーでは、次の操作を実行できます。 信頼できるネットワークのオプションを設定します。 信頼できるネットワーク リストで、アドレスまたはサブネットを追加または削除 します。 1 つの信頼できるネットワークが、ネットワーク IPS に対して特定の IPS アドレスを 信頼し、別の信頼できるネットワークが、ファイアウォール規則などのネットワーク IPS に対する同じ IPS アドレスを信頼しない場合、最初にリストされたエントリが優 先します。 íç 信頼できるネットワークのオプションを設定するには 1 ポリシーを適用するグループまたはコンピュータをコンソール ツリーで選択します。 2 [全般] 機能を展開し、[信頼できるネットワーク] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 3 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 íç 事前設定ポリシーの詳細を表示するには、ポリシーのダイアログ ボックスの最下 部にある [ 複製 ] をクリックして、新しい複製ポリシーを作成します。新しいポリ シーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指定 します。 4 複製するポリシーを選択し、新しいポリシーに名前を入力して、[OK] をクリックし ます。 [信頼できるネットワーク] ダイアログ ボックスが表示されます。 114 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるネットワーク ポリシーの設定 図 7-6 信頼できるネットワーク 5 次のいずれかを行います。 オプション名 操作内容 [追加] 信頼できるネットワーク アドレスをリストに追加します。 アドレスの種類(単一、範囲、サブネット)を選択してか ら、適切なアドレスを入力し、ネットワーク IPS で信頼でき ると設定するかどうかを選択します。 [編集] 選択した信頼できるネットワーク アドレスのデータを変更 します。 [削除] 選択した信頼できるネットワーク アドレスを削除します。 [ローカル サブネットを自 動的に含める] 同じサブネット上にあるユーザであれば、リストに入ってい なくても、自動的に信頼できるものとして扱います。 [ローカル サブネットを自 動的に含めない] 同じ信頼できるサブネット上にあるユーザも、リストにある ユーザ以外は、信頼できるものとして扱いません。 6 [適用] をクリックしてダイアログ ボックスを閉じます。 新しいポリシーの名前がポリシー リストに表示されます。 7 [適用] をクリックします。 115 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるアプリケーション ポリシーの設定 信頼できるアプリケーション ポリシーの設定 [信頼できるアプリケーション] ポリシーでは、信頼できるアプリケーションのリスト を作成できます。これらのアプリケーションのリストが設定された、プロファイルに 基づくポリシーを 1 つ以上実施すると、ほとんどの誤検知を削減または排除できます。 信頼できるアプリケーション ポリシーの作成と適用 信頼できるアプリケーションを定義する [信頼できるアプリケーション] ポリシーを作 成して適用します。最初から新しいポリシーを作成することも、既存のポリシーに基 づいて作成することもできます。 新しいポリシーを作成するには 1 [全般] 機能を展開し、[アプリケーション規則] ラインで [編集] をクリックします。 ポリシー名のリストがアクティブになります。 2 [新しいポリシー ] を選択します。 [新しいポリシーの作成] ダイアログ ボックスが表示されます。 3 複製するポリシーを選択して、新しいポリシーの名前を入力し、[OK] をクリックし ます。 [信頼できるアプリケーション] タブが表示されます。 図 7-7 [信頼できるアプリケーション] タブ 4 必要に応じて設定を変更します。詳細については、[ ヘルプ ] をクリックしてくだ さい。 5 [閉じる] をクリックして変更を保存します。 116 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるアプリケーション ポリシーの設定 信頼できるアプリケーションの作成 配布の調整では、誤検知を減らすための 1 つの方法として、IPS 例外の規則を作成で きます。数千ものクライアントに対応する場合や、時間やリソースが限られている場 合、この方法は必ずしも現実的ではありません。より良い解決方法は、信頼できるア プリケーションのリストを作成することです。信頼できるアプリケーションとは、特 定の環境下で安全であるとわかっているアプリケーションです。たとえば、バックアッ プ アプリケーションの実行時には頻繁に誤検知が発生する可能性があります。これを 避けるには、バックアップ アプリケーションを信頼できるアプリケーションに設定し ます。 信頼できるアプリケーションは、バッファ オーバフローや不正な使用といった一般的 な問題に対する脆弱性があります。このため、信頼できるアプリケーションであって も監視を続け、不当な使用を防止するためのイベントを起動することができます。 íç 信頼できるアプリケーションを作成するには 1 [信頼できるアプリケーション] タブで、次のいずれかを行います。 ショートカット メニューまたはツール バーの [作成] をクリックします。[新し い信頼できるアプリケーション] ダイアログ ボックスが表示されます。 リストでアプリケーションを選択し、ツールバーまたはショートカット メニュー の [複製] をクリックします。入力済みの [信頼できるアプリケーションの複製] ダ イアログ ボックスが表示されます。 íç イベントに基づいて信頼できるアプリケーションを作成することもできます。詳細 については、64 ページの「イベント ベースの例外と信頼できるアプリケーション の作成」を参照してください。 2 [ 全般 ] タブで、名前、ステータスと、IPS、ファイアウォール、アプリケーション のフックでアプリケーションが信頼できるかどうかを入力します。詳細について は、[ヘルプ] をクリックしてください。 図 7-8 [新しい信頼できるアプリケーション] ダイアログ ボックス - [全般] タブ 117 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるアプリケーション ポリシーの設定 3 [プロセス] タブで、信頼できるアプリケーションを適用するプロセスを選択します。 詳細については、[ヘルプ] をクリックしてください。 図 7-9 [新しい信頼できるアプリケーション] ダイアログ ボックス - [プロセス] タブ 4 [OK] をクリックします。 信頼できるアプリケーションの編集 既存の信頼できるアプリケーションのプロパティを表示および編集できます。 信頼できるアプリケーションのプロパティを編集するには 1 [信頼できるアプリケーション] タブで、信頼できるアプリケーションをダブルクリッ クします。 [信頼できるアプリケーションのプロパティ ] ダイアログ ボックスが表示されます。 2 [ 全般 ] タブおよび [ プロセス ] タブで、修正するデータがあれば修正し、[OK] をク リックします。 信頼できるアプリケーションの有効化と無効化 使用していない信頼できるアプリケーションは、削除せずに一時的に無効にして、後 で有効にすることができます。 信頼できるアプリケーションを有効または無効にするには、 1 [信頼できるアプリケーション] タブで、無効または有効にする信頼できるアプリケー ションを選択します。 2 ツールバーまたはショートカット メニューで [ 無効にする ] または [ 有効にする ] を クリックします。 操作により、[信頼できるアプリケーション] タブのアプリケーション ステータスが 変化します。 118 7 McAfee® Host Intrusion Prevention 6.1 製品ガイド 全般ポリシー 信頼できるアプリケーション ポリシーの設定 信頼できるアプリケーションの削除 信頼できるアプリケーションを恒久的に削除するには、[信頼できるアプリケーション ] タブでアプリケーションを選択してから、ツールバーまたはショートカット メニュー の [削除] をクリックします。 119 7 8 メンテナンス この章では、配布した Host Intrusion Prevention のメンテナンスと微調整に必要な作 業を、次のトピックにより説明します。 配布の微調整 ポリシーのメンテナンスとタスク サーバ タスクの実行 イベントの通知機能の設定 レポートの実行 アップデート 配布の微調整 既定の設定でクライアントを配布したら、セキュリティを微調整して強化し、最適な 保護を得ることができます。配布の微調整には、次の内容が含まれます。 IPS イベントの分析 例外規則と信頼できるアプリケーション規則の作成 クライアント例外規則の作成 新しいポリシーの作成と適用 IPS イベントの分析 IPS イベントは、シグニチャで定義されているセキュリティ違反が検出されたときに 発生します。イベントは、[IPS イベント] タブに重大度レベル(高、中、低、または情 報)とともに表示され、重大度が処理に割り当てられます。 íç 1 つの操作で 2 つのイベントが発生する場合は、より強力な処理を持つイベントが適 用されます。 120 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス 配布の微調整 生成されたイベントのリストから、リスクがないことを示すイベントと怪しい動作を 示すイベントを判断します。イベントを許可するには、システムを次のように設定し ます。 [例外] - シグニチャ規則に優先する許可規則またはブロック規則 [信頼できるアプリケーション] - シグニチャ規則によってブロックされる動作をす る内部アプリケーションのうち、許可される内部アプリケーション この微調整により、誤検知を最小限に抑えることができるので、重大なイベントの分 析により多くの時間を割くことができます。詳細については、58 ページの「IPS イベ ント」を参照してください。 例外規則と信頼できるアプリケーション規則の作成 IPS イベントのリストを分析した後、それぞれの誤検知イベントに対する例外規則ま たは信頼できるアプリケーション規則をユーザ プロファイルごとに作成します。こう することでイベントのリストを最小限に抑えられ、悪意ある攻撃をよく理解できるよ うになり、そうした攻撃に対してシステムを確実に保護することができます。 [IPS イベント] タブから、特定のイベントに基づいて例外規則や信頼できるアプリケー ション規則を作成できます。詳細については、64 ページの「イベント ベースの例外 と信頼できるアプリケーションの作成」を参照してください。 クライアント例外規則の作成 例外規則を作成する簡単な方法は、クライアントを適応モードに配置し、そのクライ アントが自動的に悪意のない動作を許可するクライアント例外規則を作成することを 許可します。すべてのクライアント規則は、[IPS 規則 ] ポリシーの [ クライアント規則 ] タブに表示されます。[ファイアウォール規則] ポリシーと[アプリケーション ブロックの 規則] ポリシーには、[適応モード] または [学習モード] により作成されたクライアント 規則が表示されます。 最も頻繁に生成される規則を取得するには、類似した規則をグループ化する、クライ アント規則の集約ビューを使用します。その後、取得した規則を管理者ポリシーに移 動できます。 クライアント規則の作成に関する詳細については、次の項目を参照してください。 65 ページの「IPS クライアントの規則」 84 ページの「ファイアウォール規則ポリシーの設定」 101 ページの「アプリケーション ブロックの規則ポリシーの設定」 新しいポリシーの作成と適用 新しい例外規則と信頼できるアプリケーションを作成した後、それらの規則を適切な 場所で既存のポリシーに追加します。例外と信頼できるアプリケーションの作成を必 要としたポリシーに基づいて、新しい IPS および信頼できるアプリケーション ポリ シーを作成することもできます。 新しいポリシーの作成と適用に関する詳細については、次の項目を参照してください。 43 ページの「IPS 規則のポリシーの設定」 84 ページの「ファイアウォール規則ポリシーの設定」 101 ページの「アプリケーション ブロックの規則ポリシーの設定」 121 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス ポリシーのメンテナンスとタスク ポリシーのメンテナンスとタスク ePolicy Orchestrator では Host Intrusion Prevention のポリシーとタスクを表示して管 理するためにコンソール ツリー上に次の 2 つの場所を用意しています。 コンソール ツリーで選択したノードの [ポリシー ] タブ ポリシー カタログ ページ [ポリシー ] タブ [ ポリシー ] タブを使用して、選択したノードに関連するポリシー情報の表示、変更、 または作成を行います。詳細については、次の項目を参照してください。 35 ページの「IPS ポリシー」 70 ページの「ファイアウォール ポリシー」 97 ページの「アプリケーション ブロック ポリシー」 107 ページの「全般ポリシー」 ポリシーの継承と割り当て [ポリシー ] タブでは、ポリシーの継承のロックとロック解除、壊れた継承の表示とリ セット、およびノードからノードへのポリシーの割り当てのコピーが行えます。 カスタム ポリシーの割り当てをロックするには 1 コンソール ツリーでグループまたはコンピュータを選択し、[ ポリシー ] タブをク リックします。 2 Host Intrusion Prevention 機能を展開し、ノードに割り当てられたポリシーを表示 します。 3 カスタム ポリシーの [編集] をクリックします。 4 [ロック] を選択し、[適用] をクリックします。 名前付きポリシーをロックできるのは管理者のみです。 íç 特定のノードの下の壊れた継承を表示してリセットするには 1 コンソール ツリーでグループまたはコンピュータを選択し、[ ポリシー ] タブをク リックします。 2 Host Intrusion Prevention 機能を展開し、ノードに割り当てられたポリシーを表示 します。 図 8-1 ポリシーの継承 122 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス ポリシーのメンテナンスとタスク [継承先] の下の数字は、このポリシーの継承が壊れている先のノード数です。 íç これはポリシーが壊れているノード数であって、ポリシーを継承していないシステム 数ではありません。たとえば、特定の 1 グループ ノードのみがポリシーを継承して いない場合は、グループ内のシステム数にかかわらず、 「1 は継承していません」と 表示されます。 3 継承していない子ノードの数を示している、青いテキストをクリックします。 [壊れた継承の表示] ページが表示され、ノード名がリストされます。 図 8-2 [壊れた継承の表示] ページ 4 これらの任意のノードの継承をリセットするには、そのノード名の横のチェック ボックスを選択してから、[継承のリセット] をクリックします。 ノードのポリシーの割り当てをコピーして貼り付けるには 1 コンソール ツリーで、ポリシーの割り当てのコピー元にするグループまたはコン ピュータを選択し、[ポリシー ] タブをクリックします。 2 [ポリシー割り当てのコピー ] をクリックします。 3 ポリシーの割り当てをコピーする対象の機能を選択し、[OK] をクリックします。 4 コンソール ツリーでグループまたはコンピュータを選択し、[ポリシー割り当ての貼 り付け] をクリックします。 5 [OK] をクリックし、割り当ての上書きを確認します。 123 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス ポリシーのメンテナンスとタスク ポリシー カタログ コンソール ツリーの [ポリシー カタログ] ノードを使用すると、特定のノードを参照し なくてもポリシーの表示、作成、および編集が行えます。 ポリシー情報の表示 [ポリシー カタログ] を使用すると、Host Intrusion Prevention のポリシー、割り当て、 および所有者をすべて表示できます。 作成したすべてのポリシーを表示するには 1 コンソール ツリーで、[ポリシー カタログ] を選択します。 2 Host Intrusion Prevention を展開して、ポリシー カテゴリを表示します。 図 8-3 Host Intrusion Prevention の [ポリシー カタログ] 3 ポリシー カテゴリを展開して、そのカテゴリのポリシーを表示します。 図 8-4 IPS 規則カテゴリのポリシー ポリシーが割り当てられているノードを表示するには 1 [ ポリシー カタログ ] ページで、[Host Intrusion Prevention] を展開してから、ポリシー カテゴリを展開します。 2 対象の名前付きポリシーの行の [割り当て] の下の、ポリシーが割り当てられている ノード数を示す青いテキスト [1個の割り当て] などをクリックします。 [ 割り当ての表示 ] ページに、ポリシーを割り当てられている各ノードの [ ノード名 ] と [ノードの種類] が表示されます。このリストには、割り当てポイントのみが表示 され、ポリシーが継承されているノードは表示されません。 124 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス ポリシーのメンテナンスとタスク 図 8-5 ポリシーの割り当ての表示 3 ノード名をクリックして、そのノードの [ポリシーの割り当て] ページを表示します。 ポリシーの設定と所有者を表示するには 1 [ ポリシー カタログ ] ページで、[Host Intrusion Prevention] を展開してから、ポリシー カテゴリを展開します。 名前付きポリシーの所有者が、[所有者] の下に表示されます。 2 ポリシー名をクリックすると、設定が表示されます。 ポリシーの実施が無効な割り当てを表示するには 1 [ポリシー カタログ] ページで、[実施] の横の青いテキストをクリックします。この テキストは実施が無効になっている割り当ての数を示しています。 [ポリシーの実施が無効な割り当てを表示] ページが表示されます。 2 リストの任意のノードをクリックして、そのノードの [ポリシーの割り当て] ページ を開きます。 ポリシー情報の編集 [ポリシー カタログ] ページから、新しい名前付きポリシーを作成できます。既定では、 名前付きポリシーはどのノードにも割り当てられません。 125 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス ポリシーのメンテナンスとタスク ポリシーを編集するには 1 [ ポリシー カタログ ] ページで、[Host Intrusion Prevention] を展開してから、ポリシー カテゴリを展開します。 2 次のいずれかを行います。 目的 操作 ポリシーの作成 [新しいポリシーの定義] をクリックし、名前を付け、設定 を編集します。 ポリシー名の変更 [名前の変更 ] をクリックし、ポリシーの名前を変更します (既定のポリシーには使用できません)。 ポリシーの複製 [ 複製 ] をクリックし、ポリシーの名前を変更し、設定を編 集します。 ポリシーの削除 [ 削除 ] をクリックします(既定のポリシーには使用できま せん) 。 注:ポリシーを削除した場合、そのポリシーが適用されて いたすべてのノードは、このカテゴリのポリシーを親ノー ドから継承します。ポリシーを削除する前に、ポリシーが 割り当てられているすべてのノードを調べ、親ノードから ポリシーを継承させたくない場合は、異なるポリシーを割 り当てます。 ディレクトリ レベルで適用されているポリシーを削除した 場合は、このカテゴリの既定のポリシーが適用されます。 ポリシーの所有者の割り当て ポリシーの所有者をクリックし、リストから別の所有者を 選択します(既定のポリシーには使用できません)。 ポリシーのエクスポート [エクスポート] をクリックした後、ポリシーに名前を付け て適切な場所に保存します(XML ファイル)。 すべてのポリシーのエクス ポート [ すべてのポリシーをエクスポート ] をクリックした後、 ポリシーの XML ファイルに名前を付けて適切な場所に保 存します。 ポリシーのインポート ポリシー カタログ上部の [ ポリシーのインポート ] をク リックし、ポリシーの XML ファイルを選択してから、[OK] をクリックします。 これらの機能の詳細については、『ePolicy Orchestrator 製品ガイド』、またはオン ライン ヘルプを参照してください。 126 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス サーバ タスクの実行 サーバ タスクの実行 Host Intrusion Prevention では、クライアントのセキュリティ レベルの管理やメンテ ナンスを行うサーバ タスクを利用できます。次のような機能があります。 ユーザ ドメイン リストの更新(ディレクトリ ゲートウェイ) イベントのアーカイブとデータベースからの削除 (Event Archiver) 管理を容易にするためのクライアント プロパティの変換 (Property Translator) サーバ タスクの実行に関する詳細な情報については、ePolicy Orchestrator のオンラ イン ヘルプまたは製品ガイドを参照してください。 ディレクトリ ゲートウェイ ディレクトリ ゲートウェイ サーバ タスクは、クライアントが実行されているドメイ ンのリストを更新します。更新されたリストは、IPS 例外規則の作成時に必要になり ます。これは、データベースにリストされたドメインに対してのみ例外規則が実施さ れることによります。ドメインは追加や削除が繰り返されるので、例外が正しく適用 されるようにリストを定期的に更新する必要があります。 このタスクを実行するには、更新するドメインを表示されたリストの中から選択し、 必要なドメイン ユーザ名とパスワードの資格情報を入力します。適切なディレクトリ サーバが照会され、ドメインの更新が行われます。環境の規模に応じて、毎日または 毎週このタスクをスケジュールします。大規模な配布の場合は、もっと頻繁に更新す る必要があります。 Event Archiver Event Archiver サーバ タスクは、データベースからイベントをアーカイブして、デー タベースを最適化するタスクです。長い期間が経過すると、Host Intrusion Prevention から数千のイベントが発生し、データベースのサイズは大幅に増加します。定期的に 古いイベントをアーカイブおよび削除してデータベースのサイズを管理することで、 アプリケーションは正常な機能を維持できます。 このタスクを実行するには、アーカイブ ファイルのディレクトリ パスの場所と、アー カイブの対象となるイベントの最小日数を入力します。現在の日付の名前が付いた XML ファイルが、指定した場所に圧縮形式で作成され、該当するイベントはデータ ベースから削除されます。 Property Translator Property Translator サーバ タスクは、ePolicy Orchestrator に格納されている Host Intrusion Prevention データを変換して、Host Intrusion Prevention でのデータの順序 付け、グループ化、およびフィルタに対応できます。このタスクは、15 分ごとに自動 的に実行される設定になっています。変更しないでください。ただし、必要に応じて 無効にすることはできます。 íç 実行の頻度を 15 分以外に変更するには、元のタスクを無効にして、新しいサーバ タ スクを作成して新しい頻度を設定します。 127 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス イベントの通知機能の設定 イベントの通知機能の設定 通知機能を使用すると、Host Intrusion Prevention クライアントまたはサーバ自体で イベントが発生した場合に、通知を受け取ることができます。受信した特定のイベン トを ePolicy Orchestrator サーバが処理した場合に、電子メール、SMS、ポケットベ ル メッセージ、または SNMP トラップを送信させたり、あるいは外部コマンドを実 行させることができます。通知メッセージを生成するイベントのカテゴリや通知の送 信頻度を指定できます。詳細については、ePolicy Orchestrator のオンライン ヘルプ または製品ガイドを参照してください。 通知のしくみ Host Intrusion Prevention の環境でイベントが発生すると、イベントは ePolicy Orchestrator サーバに送信されます。通知規則は、影響を受けたシステムを含むグルー プまたはサイトに関連しており、このイベントに対して適用されます。規則の条件が 一致すると、規則の規定に従い、通知メッセージの送信または外部コマンドの実行が 行われます。 ディレクトリのレベルごとに個別に規則を設定することができます。集約とスロット ルに基づいたしきい値を設定して、通知メッセージを送信するタイミングを設定する こともできます。 ePolicy Orchestrator には、有効にしてすぐに使用できる既定の規則が用意されていま す。既定の規則を有効にする前に、次の項目を行います。 1 通知メッセージを送信する電子メール サーバを指定します。 2 受信者の電子メールアドレスが正しく設定されていることを確認します。 規則の作成 さまざまなイベント カテゴリに対して規則を作成できます。次のような規則があり ます。 検出され、ブロックされたアク セス保護規則違反 検出されたが、ブロックされな かったアクセス保護規則違反 [ 検疫モード ] に置かれたコン ピュータ フィルタまたはブロックされた 電子メールのコンテンツ 検出された侵入 検出された非準拠のコン ピュータ 正常動作 ポリシーの実施に失敗 リポジトリのアップデートまたは複製に 失敗 ソフトウェアの配布に失敗 ソフトウェアの配布に成功 ソフトウェアの障害またはエラー 不明なカテゴリ アップデート/アップグレードに失敗 アップデート/アップグレードに成功 すべての規則は、次のような同じ基本的方法で作成されます。 1 規則の内容を説明。 2 規則にフィルタを設定。 3 規則にしきい値を設定。 4 送信メッセージとデリバリの種類を作成。 128 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス イベントの通知機能の設定 Host Intrusion Prevention の通知 Host Intrusion Prevention は、次の製品固有の通知カテゴリをサポートします。 検出して処理されたホストへの侵入 検出して処理されたネットワークへの侵入 ブロックされたアプリケーション [検疫モード] に置かれたコンピュータ 通知は、ホスト(またはネットワーク)IPS シグニチャのすべてに対して設定するか、 いずれに対しても設定しないかのどちらかになります。Entercept 5.x では、シグニ チャ ID のセットまたは個別の重大度レベルに基づいて通知をサポートしていました。 Host Intrusion Prevention では、単独の IPS シグニチャ ID の指定を、通知規則設定の [脅威の名前] または [規則名] フィールドとしてサポートします。イベントのシグニチャ ID 属性を脅威の名前に内部でマッピングすることで、IPS シグニチャを一意に識別す る規則が作成されます。 メッセージの件名や本文で許可される Host Intrusion Prevention パラメータの特定 マッピングには、次の項目が含まれます。 パラメータ ホストおよびネット ワーク IPS イベント の値 ブロックされたアプリ ケーション イベント の値 検疫イベントの値 ReceivedThreatNames シグニチャ ID なし なし SourceComputers リモート IP アドレス コンピュータ名 コンピュータ名 AffectedObjects プロセス名 アプリケーション名 コンピュータの IP アドレス EventTimestamp 発生時間 発生時間 発生時間 EventID イ ベ ント ID の ePO マッピング イ ベン ト ID の ePO マッピング イベント ID の ePO マッピング AdditionalInformation ロ ー カラ イズ さ れた シグニチャ名(クライ アント コンピュータ から) アプリケーションの完 全なパス なし 129 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス レポートの実行 レポートの実行 Host Intrusion Prevention ソフトウェア には ePolicy Orchestrator によるレポート機能 があります。クライアントから送信されてデータベースに格納されるイベントとプロ パティをもとに、各種の有用なレポートやクエリを生成し、データベースに格納する ことができます。 Host Intrusion Prevention ソフトウェア では、定義済みのレポート テンプレートおよ びクエリ テンプレートが利用でき、コンソール ツリーの [レポート] にある、レポート リポジトリおよびクエリ リポジトリに格納されています。詳細については、『ePolicy Orchestrator 3.6 レポート ガイド』を参照してください。 íç レポートを表示するには、ePO 資格情報を使用してデータベースにログオンする必要 があります。NT 認証資格情報はサポートされていません。 クライアント システムを選択してグループ化し、そのレポートとクエリを作成でき、 また製品やシステム条件によりレポート結果を制限することもできます。レポートは HTML や Microsoft Excel などのさまざまなファイル形式でエクスポートできます。 レポート機能により、次の内容を実行できます。 ディレクトリ フィルタを設定して、選択した情報のみを収集。レポートに含める ディレクトリのセグメントを選択します。 論理演算子を使用してデータ フィルタを設定し、レポートに反映されるデータの 正確なフィルタを定義。 データベースの情報からグラフィック レポートを生成し、必要に応じてそのレポー トをフィルタ。レポートは、印刷することも他のソフトウェアにエクスポートする こともできます。 コンピュータ、イベント、インストールのクエリを実行。 定型レポート クライアント システムの Host Intrusion Prevention クライアントは、レポート データ ベースに格納されているサーバ情報を送信します。レポートやクエリは、この格納さ れているデータに対して行われます。 Host Intrusion Prevention には、IPS レポートとファイアウォール レポートという 2 つのカテゴリに分類される 8 種類の定型レポートがあります。また、Crystal Reports 8.5 を使用して独自のレポート テンプレートを作成することもできます。 レポート リポジトリ レポート リポジトリには、Host Intrusion Prevention の定型のレポートとクエリのほ かに、ユーザが作成したカスタム レポートとクエリが格納されています。 用途に合わせてレポート リポジトリの編成やメンテナンスを行えます。たとえば、レ ポート テンプレートとしてエクスポートしたレポートを追加して、レポート生成時の カスタム項目を保存することや、カスタム レポート テンプレートを追加することが できます。レポート テンプレートを論理グループ別に編成することもできます。たと えば、日単位、週単位、および月単位で実行するレポートを同じ名前のレポート グ ループにまとめることができます。 130 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス レポートの実行 サマリの情報と詳細 レポートが生成されると、フィルタの設定(ある場合)に応じたサマリの情報が表示 されます。このサマリの情報を使用して、同じレポートの 1 レベルまたは 2 レベル下 の詳細情報にドリルダウンできます。 レポート内容の表示制御 グローバル管理者またはサイト管理者など、ユーザに応じて、表示できるレポート情 報を制御することができます。サイト管理者およびサイト参照者は、権限を持つサイ トのクライアント システムのレポートのみ作成できます。レポート情報もフィルタを 適用して管理できます。 Host Intrusion Prevention レポート Host Intrusion Prevention のレポート テンプレートには次の情報が含まれています。 IPS レポート ファイアウォール レポート シグニチャ別の IPS イベントのサマリ ブロックされたアプリケーションのサマリ 対象別の IPS イベントのサマリ 上位 10 位のブロックされたアプリケーション ソース IP 別のネットワーク侵入のサ マリ 失敗した検疫のアップデート IPS で検出された攻撃件数上位 10 位 のノード アクションのきっかけになった上位 10 種類のシグニチャ シグニチャ別の IPS イベントのサマリ IPS イベントをシグニチャ別に表示する場合は、このレポートを使用します。詳細に は次の項目が含まれます。 初期表示 レベル 1 ドリルダウン レベル 2 ドリルダウン シグニチャ名 > シグニチャ名 OS ユーザ イベント数 プロセス > 処理 カウント ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 シグニチャ、記録時間、重大度レベル、OS ユーザ、処理、プロセス、およびソース IP のフィルタ。 131 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス レポートの実行 対象別の IPS イベントのサマリ IPS イベントをホスト別に表示する場合は、このレポートを使用します。詳細には次 の項目が含まれます。 初期表示 レベル 1 ドリルダウン レベル 2 ドリルダウン ホスト名 > ホスト名 OS ユーザ イベント数 シグニチャ > 処理 カウント プロセス ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 シグニチャ、記録時間、重大度レベル、OS ユーザ、処理、プロセス、およびソース IP のフィルタ。 ソース IP 別のネットワーク侵入のサマリ ネットワーク侵入イベントをソース IP 別に表示する場合は、このレポートを使用しま す。詳細には次の項目が含まれます。 初期表示 レベル 1 ドリルダウン レベル 2 ドリルダウン ソース IP > ソース IP OS ユーザ イベント数 シグニチャ名 > 処理 カウント プロセス ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 ソース IP、シグニチャ、OS ユーザ、処理、記録時間、重大度レベル、およびホスト 名のフィルタ。 132 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス レポートの実行 IPS で検出された攻撃件数上位 10 位のノード IPS イベントが発生した上位 10 位のホストの棒グラフを表示する場合は、このレポー トを使用します。詳細には次の項目が含まれます。 初期表示 レベル 1 ドリルダウン レベル 2 ドリルダウン ホスト名 > ホスト名 OS ユーザ イベント数 シグニチャ > 処理 カウント プロセス ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 プラットフォームおよびシグニチャの種類のフィルタ。 アクションのきっかけになった上位 10 種類のシグニチャ アクションのきっかけとなった上位 10 種類の IPS シグニチャの棒グラフを表示する 場合は、このレポートを使用します。詳細には次の項目が含まれます。 初期表示 レベル 1 ドリルダウン レベル 2 ドリルダウン シグニチャ名 > シグニチャ名 OS ユーザ イベント数 プロセス > 処理 カウント ノード名 ソース IP 発生時間 記録時間 重大度レベル イベントの説明 詳細 プラットフォームおよびシグニチャの種類のフィルタ。 133 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス レポートの実行 ブロックされたアプリケーションのサマリ ブロックされたアプリケーション イベントのサマリをアプリケーション別に表示す るには、このレポートを使用します。詳細には次の項目が含まれます。 初期表示 アプリケーション の説明 > イベント数 ドリルダウン ホスト名 ホスト IP イベントの時刻 プロセス名 アプリケーション のパス アプリケーション のバージョン アプリケーション ハッシュ アプリケーションの説明およびイベントの時刻のフィルタ。 上位 10 位のブロックされたアプリケーション ブロックされた上位 10 位のアプリケーションの棒グラフを表示する場合は、このレ ポートを使用します。詳細には次の項目が含まれます。 初期表示 アプリケーション の説明 > イベント数 ドリルダウン ホスト名 ホスト IP イベントの時刻 プロセス名 アプリケーション のパス アプリケーション のバージョン アプリケーション ハッシュ アプリケーションの説明、ホスト名、およびイベントの時刻のフィルタ。 失敗した検疫のアップデート 失敗した検疫のアップデートをホスト別に表示する場合は、このレポートを使用しま す。詳細には次の項目が含まれます。 初期表示 ドリルダウン ホスト名 > ホスト名 イベント数 ホスト IP イベントの時刻 アプリケーションのホスト名、ホスト IP、およびイベントの時刻のフィルタ。 134 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス アップデート アップデート ePO データベースには、シグニチャなど、Host Intrusion Prevention セキュリティ コ ンテンツ データが格納されており、Host intrusion Prevention ポリシーに表示されま す。Host Intrusion Prevention は、複数バージョンのクライアント コンテンツやコー ドをサポートし、利用できる最新のコンテンツが ePO コンソールに表示されます。新 しいコンテンツは、後でリリースされたバージョンで常にサポートされるため、コン テンツのアップデートに含まれるのはほとんどが新しい情報、または既存の情報を多 少変更したものです。 アップデートは、コンテンツ アップデート パッケージで処理されます。このパッケー ジには、コンテンツのバージョン情報およびアップデート スクリプトが含まれていま す。チェックインすると、パッケージのバージョンが、データベースの最新コンテン ツ情報のバージョンと比較されます。パッケージの方が新しい場合、パッケージのス クリプトが解凍され、実行されます。この新しいコンテンツ情報は、次回のエージェ ント/サーバ間の通信時にクライアントに伝達されます。 íç Host Intrusion Prevention のコンテンツ アップデートは、クライアントに配信するた めに、ePO リポジトリにチェックインする必要があります。Host Intrusion Prevention クライアントは、ePO サーバとの通信によってのみアップデートを取得し、直接 FTP または HTTP プロトコルにより取得しないようにします。 基本的なプロセスとしては、アップデート パッケージを ePO リポジトリにチェック インしてから、アップデート情報をクライアントに送信します。 アップデート パッケージのチェックイン コンテンツ アップデート パッケージを ePO リポジトリに自動的にチェックインする ePO サーバ タスクを作成することも、アップデート パッケージをダウンロードして 手動でチェックインすることもできます。 アップデート パッケージを自動的に追加するには 1 ePO コンソール ツリーで ePO サーバ名を選択して、[予定されたタスク] タブをク リックします。 2 [タスクの作成] をクリックします。 「HIP コンテンツ アップデート」などのようにタス 3 [新しいタスクの設定] ペインで、 クの名前を入力します。 4 [タスクの種類] リストから、[リポジトリ プル] を選択します。 5 [スケジュールの種類] リストから、頻度を選択します。 6 [次へ] をクリックします。 7 ソース リポジトリ([McAfeeHttp] または [McAfeeFtp])およびその他の使用できるオ プションを選択します。 8 [完了] をクリックします。 このタスクは、コンテンツ アップデート パッケージを直接 McAfee から指定した頻 度でダウンロードして、リポジトリに追加し、新しい Host Intrusion Prevention コン テンツでデータベースをアップデートします。 135 8 McAfee® Host Intrusion Prevention 6.1 製品ガイド メンテナンス アップデート アップデート パッケージを手動で追加するには 1 ePO コンソール ツリーから [リポジトリ] を選択し、[パッケージのチェックイン] を クリックします。 2 [次へ] をクリックして、[製品またはアップデート] を選択します。 3 [次へ] をクリックして、PkgCatalog.z ファイルの完全なパスを入力します。 4 [次へ] をクリックして、[完了] をクリックします。 クライアントのアップデート アップデート パッケージをリポジトリにチェックインした後、アップデート タスク を実行するかまたはエージェント起動コールを送信して、クライアントにアップデー トを送信できます。A client can also request updates. アップデート タスクを実行するには 1 コンテンツ アップデートを送信するコンピュータ、グループ、またはサイトを ePO コンソール ツリーで選択して、[タスク] タブを選択します。 2 ショートカット メニューから [タスクのスケジュール設定] を選択します。 3 タスク名を入力し、[ePolicy Orchestrator エージェントのアップデート ] を選択して、 [OK] をクリックします。 4 タスクを右クリックし、[タスクの編集] を選択します。 5 ePolicy Orchestrator の [スケジューラ] ダイアログ ボックスで、[設定] をクリック します。 6 表示されるダイアログ ボックスで、[HIP コンテンツ] を選択し、[OK] をクリックし ます(このオプションは、コンテンツ パッケージがリポジトリにチェックインさ れている場合のみ使用できます) 。 7 ePolicy Orchestrator の [スケジューラ] ダイアログ ボックスで、[スケジューラ] タブ をクリックして、直ちにタスクを実行するように設定します。 8 [タスク] タブで、[継承] の選択を解除し、[有効にする] をクリックします。 9 [適用] をクリックして [OK] をクリックします。 エージェント起動コールを送信するには 1 コンテンツ アップデートを送信するコンピュータ、グループ、またはサイトを ePO コンソール ツリーで右クリックして、[エージェント起動コール] を選択します。 2 ランダム化を 0 分に設定して、[OK] をクリックします。 コンテンツ アップデートが送信され、クライアントに適用されます。 クライアントがアップデートを要求するようにするには (ePO エージェント アイコンがシステム トレイに表示されている場合のみ有効) システム トレイの [ePO] アイコンを右クリックして、[今すぐアップデート] を選択 します。 [McAfee 自動アップデートの進捗状況] ダイアログ ボックスが開きます。コンテンツ アップデートが、プルされてクライアントに適用されます。 136 8 9 Host Intrusion Prevention クライアント Host Intrusion Prevention クライアントは、Windows、Solaris、および Linux プラッ トフォームにインストールできます。インターフェイスは Windows バージョンのク ライアントにしかありませんが、トラブルシューティング機能はいずれのバージョン でも使用できます。この章では、それぞれのクライアント バージョンの基本的な機能 について説明します。 Windows クライアント Solaris クライアント Linux クライアント Windows クライアント Host Intrusion Prevention Windows クライアントのクライアント側での直接管理は、 クライアント インターフェイスにより行うことができます。クライアント コンソー ルを表示するには、システム トレイのクライアント アイコンをダブルクリックする か、または [スタート] メニューで、[プログラム] → [McAfee] → [Host Intrusion Prevention] を選択します。 クライアント コンソールが最初に表示されたとき、ほとんどのオプションはロックさ れています。コンソールがロック モードの場合、表示できるのは現在の設定のみで、 [クライアント UI] ポリシーでクライアント規則の手動作成が有効になっている場合、 手動でクライアント規則を作成できます。コンソールのすべての設定を完全に管理す るには、適用した [クライアント UI] ポリシーで作成したパスワードでインターフェ イスのロックを解除します。これらの [クライアント UI] ポリシーの設定に関する詳 細については、110 ページの「クライアント UI ポリシーの作成と適用」を参照して ください。 137 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント システム トレイのアイコン Host Intrusion Prevention アイコンがシステム トレイに表示される場合、このアイコ ンからクライアント コンソールにアクセスでき、またクライアントのステータスを示 します。 アイコン Host Intrusion Prevention ステータス 正常に動作 潜在的な攻撃を検出 オフになっているか、サービスが正常に動作していない アイコンの上にマウスのポインタを置くと、ステータスの説明が表示されます。ショー トカット メニューにアクセスするには、アイコンを右クリックします。 クリックするメニュー項目 操作内容 [設定] Host Intrusion Prevention クライアント コンソールを開きます。 [バージョン情報...] [バージョン情報] ダイアログ ボックスが開かれ、バージョン番 号およびその他の製品情報が表示されます。 [トレイ アイコンからの機能の無効化を許可する] オプションがクライアントに適用され ている場合は、さらに以下の一部またはすべてのコマンドを使用できます。 クリックするメニュー項目 操作内容 [設定の復元] 無効になっているすべての機能を有効にします。1 つ以上の機能 が無効になっている場合のみ使用できます。 [すべて無効にする] IPS、ファイアウォール、アプリケーション ブロック機能を無効 にします。これらのすべての機能が有効になっている場合のみ使 用できます。 [IPS を無効にする] IPS 機能を無効にします。ホスト IPS とネットワーク IPS 機能の 両方が対象になります。この機能が有効になっている場合のみ使 用できます。 [ファイアウォールを無効 ファイアウォール機能を無効にします。この機能が有効になって いる場合のみ使用できます。 にする] [アプリケーション ブ ロックを無効にする] アプリケーション ブロック機能を無効にします。アプリケー ション作成のブロックとアプリケーション フックのブロックの 両方が対象になります。この機能が有効になっている場合のみ使 用できます。 138 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント クライアント コンソール Host Intrusion Prevention クライアント コンソールからは、いくつかの設定オプショ ンにアクセスすることができます。コンソールを開くには、次のいずれかを行います。 システム トレイのアイコンをダブルクリック。 タスクを右クリックし、[設定] を選択。 [スタート] から、[プログラム] → [McAfee] → [Host Intrusion Prevention] を選択。 コンソールでは、Host Intrusion Prevention 機能についての情報を設定および表示で きます。コンソールには複数のタブがあり、それぞれが Host Intrusion Prevention の 特定の機能に対応しています。詳細については、次の項目を参照してください。 148 ページの [IPS ポリシー ] タブ 150 ページの [ファイアウォール ポリシー ] タブ 152 ページの [アプリケーション ポリシー ] タブ 154 ページの [ブロックされたホスト] タブ 156 ページの [アプリケーション保護] タブ 157 ページの [動作ログ] タブ ユーザ インターフェイスのロックの解除 ePolicy Orchestrator を使用してリモートから Host Intrusion Prevention を管理する管 理者は、不注意で変更されないようにインターフェイスをパスワードで保護しておく ことができます。有効期限があるコンピュータ固有のパスワードを使用すると、管理 者やユーザは一時的にインターフェイスのロックを解除し、変更を加えることができ ます。 Host Intrusion Prevention インターフェイスのロックを解除するには 1 Host Intrusion Prevention 管理者からパスワードを入手します。 íç パスワード作成の詳細については、111 ページの「パスワードの設定」を参照して ください。 2 [タスク] メニューで、[ユーザ インターフェイスのロック解除] を選択します。 [ログイン] ダイアログ ボックスが表示されます。 3 パスワードを入力し、[OK] をクリックします。入力したのが管理者パスワードであ り、有効期限があるパスワードではない場合、[OK] をクリックする前に [ 管理者パ スワード] を選択します。 オプションの設定 Host Intrusion Prevention クライアント コンソールからは、[ クライアント UI] ポリ シーによって提供されるいくつかの設定にアクセスすることができ、クライアントご とにそれらの設定をカスタマイズすることができます。 139 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント クライアント オプションをカスタマイズするには 1 [編集] メニューの [オプション] をクリックします。 [Host Intrusion Prevention オプション] ダイアログ ボックスが表示されます。 2 必要に応じて、オプションを選択/選択解除します。 オプション名 目的の操作 [ポップアップ アラートを表示する] 攻撃が発生すると、アラート ダイアログ ボックス が表示されます。詳細については、142 ページの 「アラート」を参照してください。 [音を鳴らす] 攻撃が発生したときに音を鳴らします。 [トレイのアイコンを点滅させる] このアイコンは、通常のステータスと、攻撃が発 生したときの攻撃ステータスの間で切り替えられ ます。 [利用可能な場合、Sniffer Capture を 侵入パケットのデータが取得されたことを示す Sniffer Capture 列が動作ログに追加されます。こ 作成する] のデータを McAfee Sniffer.cap ファイルに保存し て、さらに分析します。 [トレイ アイコンを表示する] システム トレイに [Host Intrusion Prevention] ア イコンが表示されます。 [エラーをレポートする] McAfee にエラーを送信するようにソフトウェア エラーのレポート ユーティリティが有効にされま す。詳細については、 「エラー報告」を参照してく ださい。 エラー報告 Host Intrusion Prevention には、ソフトウェアの障害を追跡し、ログに記録するエラー 報告ユーティリティが含まれています。有効にすると、検出した問題のデータを McAfee のテクニカル サポートに転送するように促すメッセージが表示されます。 McAfee のテクニカル サポートでは、適切な場合に、転送されたデータを使用してサ ポート ケースを開きます。 エラー報告ユーティリティを使用するには、コンピュータからインターネットへのア クセスが可能で、Java Script 対応の Web ブラウザが用意されている必要があります。 íç 障害が発生したコンピュータが存在するネットワーク上に McAfee Alert Manager が インストールされている場合、ネットワーク管理者に、問題が検出されたことが通知 されます。ネットワーク管理者は、問題に対処する方法をユーザに指示できます。 ユーティリティによって障害が検出された場合、ユーザは次のオプションのいずれか を選択します。 [データを送信する] - McAfee テクニカル サポート Web サイトに接続し、デー タを送信します。 [エラーを無視する] - 接続は行われません。 データを McAfee テクニカル サポート Web サイトに送信するときに、ユーザは追 加の情報を求められる場合があります。その問題に既知の原因がある場合、その問 題についての情報と対処方が記載された Web ページがユーザに示されることがあ ります。 140 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント トラブルシューティング Host Intrusion Prevention には、[ ヘルプ ] メニューに [ トラブルシューティング ] オプ ションがあり、インターフェイスのロックが解除されている場合に利用できます。IPS やファイアウォールを有効にするオプションや、システム エンジンを無効にするオプ ションが含まれています。 ログの記録 トラブルシューティングの一部として、システム上で分析したり、McAfee のサポー トに送信して問題の解決に役立てることができる、IPS とファイアウォールの動作ロ グを作成できます。 図 9-1 トラブルシューティング オプション IPS ログ記録オプションを設定するには 1 [IPS] の [ログ記録を有効にする] チェック ボックスをオンにします。 2 メッセージの種類を選択します([ すべて ]、または [ 情報 ]、[ 警告 ]、[ デバッグ ]、[ エ ラー ]、[セキュリティ違反] の組み合わせ) 。 少なくとも、[エラー ] と [セキュリティ違反] は選択する必要があります。 3 [OK] をクリックします。 情報は、Program Files\McAfee\Host Intrusion Prevention フォルダの CSlog.txt ファイルに書き込まれます。 ファイアウォール ログ記録オプションを設定するには 1 [ファイアウォール] の [ログ記録を有効にする] チェック ボックスをオンにします。 2 メッセージの種類を選択します([すべて]、または [情報]、[警告]、[エラー ]、[カー ネル] の組み合わせ) 。 3 [OK] をクリックします。 情報は、Program Files\McAfee\Host Intrusion Prevention フォルダの FireSvc.dbg ファイルに書き込まれます。 141 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント ホスト IPS エンジン トラブルシューティングの一環として、クライアントを保護するエンジンを無効にす ることもできます。McAfee では、McAfee サポートと連絡を取っている管理者だけ が、このトラブルシューティング手順を使用することをお勧めします。 この機能にアクセスするには、[ トラブルシューティング オプション ] ダイアログ ボッ クスで [機能] をクリックします。表示される [HIPS エンジン] ダイアログ ボックスで、 エンジンの横にあるチェック ボックスをオフにして、1 つまたは複数のクライアント システム エンジンを無効にします。問題が解決された後で、通常の動作環境に戻るた め、すべてのエンジンが選択されていることを確認します。 図 9-2 HIPS エンジン アラート ユーザは、数種類のアラートに遭遇する可能性があり、アラートに対応する必要があ ります。アラートには、侵入の検出、ファイアウォール、検疫、アプリケーション ブ ロック、およびなりすまし検出アラートなどがあります。ファイアウォール アラート およびアプリケーション ブロック アラートは、クライアントがこれらの機能につい て [学習モード] になっている場合のみ表示されます。 侵入アラート IPS 保護と [ポップアップ アラートを表示する] オプションを有効にしている場合、Host Intrusion Prevention が潜在的な攻撃を検出すると、このアラートが自動的に表示され ます。クライアントが適応モードの場合、このアラートは、[クライアント規則の許可] オプションが、イベント発生の原因となったシグニチャに対して無効にされている場 合のみ表示されます。 [侵入情報] タブには、攻撃についての説明、攻撃が発生したユーザ/クライアントのコ ンピュータ、攻撃に関連するプロセス、Host Intrusion Prevention によって攻撃が阻 止された日付と時刻を含めて、アラートを生成した攻撃に関する詳細が表示されます。 また、管理者指定の全般的なメッセージも表示されます。 142 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 図 9-3 [侵入検出アラート] ダイアログ ボックス [無視] をクリックすると、イベントを無視でき、[例外の作成] をクリックすると、イベ ントに対する例外規則を作成できます。[例外の作成] ボタンは、[クライアント規則の許 可] オプションが、 イベント発生の原因となったシグニチャに対して有効にされている 場合のみアクティブになります。 アラートが HIP シグニチャの結果である場合、[例外規則] ダイアログ ボックスには、 プロセス、ユーザ、およびシグニチャが事前入力されています。[ すべてのシグニチャ ] または [ すべてのプロセス ] を選択できますが、両方は選択できません。例外には常に ユーザ名が含まれます。 アラートが NIP シグニチャの結果である場合、[例外規則] ダイアログ ボックスには、 シグニチャ名およびホスト IP アドレスが事前入力されています。オプションとして、 [すべてのホスト] を選択することもできます。 . また、[管理者に通知] をクリックして、イベントに関する情報を Host Intrusion Prevention 管理者に送信できます。このボタンは、適用した [クライアント UI] ポリ シーで、[管理者に通知することをユーザに許可する] オプションが有効になっている場 合のみアクティブになります。 [IPS イベントのアラートは表示しない] を選択すると、IPS イベントのアラートは表示さ れません。このオプションを選択した後、アラートを再表示するには、[オプション] ダ イアログ ボックスで、[ポップアップ アラートを表示する] を選択します。 íç ファイアウォール規則が、[規則に一致する場合は侵入として扱う] オプションが選 択されているものと一致すると、この侵入アラートはファイアウォールの侵入にも表 示されます。 ファイアウォール アラート ファイアウォール保護と [学習モード] を受信トラフィックまたは送信トラフィックの いずれかに対して有効にしている場合、ファイアウォール アラートが表示されます。 [アプリケーション情報] タブには、アプリケーション名、パス、バージョンなどを含め て、ネットワークにアクセスしようとしているアプリケーションの情報が表示されま す。[接続情報] タブには、トラフィック プロトコル、アドレス、およびポートに関す る情報が表示されます。 143 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント ファイアウォールの [学習モード] アラートに対応するには 1 アラート ダイアログ ボックスの [アプリケーション情報] タブで、次のいずれかの 操作を行います。 このトラフィックおよび類似のトラフィックをすべてブロックするには、[ 拒否 ] をクリックします。 このトラフィックおよび類似のトラフィックをすべて許可するには、[許可] をク リックします。 2 オプション:[接続情報] タブで、新しいファイアウォール規則で使用する可能性が あるオプションを選択します。 オプション名 操作内容 [すべてのポートおよびサービス にファイアウォール アプリケー ション規則を作成する] 任意のポートまたはサービスにアプリケーションのト ラフィックを許可またはブロックする規則を作成しま す。このオプションを選択しない場合、新しいファイ アウォール規則では特定のポートしか許可またはブ ロックされません。 [アプリケーションの終了時にこ の規則を削除する] 阻止されたトラフィックが 1024 未満のポートを使 用する場合、新しい規則では、この特定のポートの みを許可またはブロックします。 トラフィックが、1024 以上のポートを使用する場 合、新しいポートは 1024 ~ 65535 の範囲のポート を許可またはブロックします。 アプリケーションを閉じると削除される、一時的に許 可またはブロックする規則を作成します。このオプ ションを選択しない場合、新しいファイアウォール規 則は恒常的なクライアント規則として作成されます。 Host Intrusion Prevention は、選択されたオプションに基づいて新しいファイアウォー ルを作成し、[ファイアウォール規則] リストに追加して、類似トラフィックを自動的に 許可またはブロックします。 図 9-4 [ファイアウォール アラート] - [アプリケーション情報] タブおよび [接続情報] タブ アプリケーション ブロック アラート [ アプリケーション ブロックのオプション ] ポリシーでアプリケーション作成またはア プリケーション フックが有効になっている場合、Host Intrusion Prevention によりア プリケーションの動作が監視され、[アプリケーション ブロックの規則] ポリシーにある 規則に基づいてその動作が許可またはブロックされます。 144 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 作成のブロックまたはフックのブロックに対して [ 学習 ] モードを有効にしている場 合、Host Intrusion Prevention により未知のアプリケーションが実行または他のプロ グラムにバインドしようとしていることが検知されると、[ アプリケーション作成のア ラート] または [アプリケーション フックのアラート] が表示されます。 [アプリケーション情報] タブには、アプリケーション名、パス、バージョンなどを含め て、実行(作成)または別のプロセスにフック(フック)しようとしているアプリケー ションの情報が表示されます。 このダイアログ ボックスを使用してアクションを選択します。 [許可] をクリックするとアプリケーションのアクションが次のように完了します。 [アプリケーション作成のアラート] では、[許可] をクリックするとアプリケーショ ンが実行されます。 [アプリケーション フックのアラート] では、[許可] をクリックするとアプリケー ションが他のプログラムにバインドされます。 [拒否] をクリックするとアプリケーションが次のようにブロックされます。 [アプリケーション作成のアラート] では、[拒否] をクリックするとアプリケーショ ンが実行されません。 [アプリケーション フックのアラート] では、[拒否] をクリックするとアプリケー ションは他のプログラムにバインドされません。 [許可] または [拒否] をクリックすると、 その選択に基づいて、Host Intrusion Prevention により新しいアプリケーション規則が作成されます。クライアント プロパティを収集 した後、この規則は [ アプリケーション規則 ] ポリシーの [ アプリケーションのクライア ント規則] タブに追加されます。これでアプリケーションは自動的に許可またはブロッ クされます。 図 9-5 アプリケーション ブロックの作成およびフックのアラート 検疫アラート [検疫モード] を有効にして、[検疫オプション] ポリシーでの検疫の実施にクライアント の IP アドレスを含めている場合、次の状況で検疫アラートが表示されます。 クライアント コンピュータの IP アドレスを変更する場合 クライアント イーサネット接続を切断して再接続する場合 クライアントを再起動する場合 145 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 図 9-6 検疫アラート なりすまし検出アラート IPS 機能を有効にした場合、コンピュータ上のアプリケーションがなりすましたネッ トワーク トラフィックを送信していることが Host Intrusion Prevention によって検出 されると、このアラートが自動的に表示されます。これは、使用中のコンピュータか らのトラフィックが、異なるコンピュータから実際に到着しているように、そのアプ リケーションが見せかけようとしていることを意味します。これは、送信パケット内 の IP アドレスを変更することによって行われます。なりすましはいずれにしても疑わ しい動作です。このダイアログ ボックスが表示された場合、なりすましたトラフィッ クを送信しているアプリケーションを直ちに調査してください。 íç [なりすまし検出アラート] ダイアログ ボックスは、[ポップアップ アラートを表示 する] オプションを選択している場合のみ表示されます。このオプションを選択して いない場合、なりすまされたトラフィックは Host Intrusion Prevention によって自動 的にブロックされますが、ユーザへの通知は行われません。 [なりすまし検出アラート] ダイアログ ボックスは、ファイアウォール機能の [学習モー ド] のアラートとよく似ています。[アプリケーション情報] および [接続情報] の 2 つの タブに、阻止したトラフィックに関する情報が表示されます。 [アプリケーション情報] タブには次の情報が表示されます。 トラフィックの送信元として偽られた IP アドレス なりすまされたトラフィックを生成したプログラムについての情報 Host Intrusion Prevention によってトラフィックが阻止された日付と時刻 [ 接続情報 ] タブには、さらに詳細なネットワーク情報が表示されます。特に、[ ローカ ル アドレス] にはアプリケーションが持っているように見せかけている IP アドレスが 表示され、[リモート アドレス] には実際の IP アドレスが表示されます。 146 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 図 9-7 IP の [なりすまし検出アラート] ダイアログ ボックス Host Intrusion Prevention は、なりすまされたネットワーク トラフィックを検出する と、トラフィックおよびそれを生成したアプリケーションの両方をブロックしようと します。これは、ファイアウォールの規則リストの最後に新しい規則を追加すること によって行われます。この [なりすまし攻撃者をブロックする] 規則は、具体的には、規 則リストの別の規則によって変更されない限り、疑わしいアプリケーションによって 作成されたトラフィックをすべてブロックします。 147 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント [IPS ポリシー ] タブ [IPS ポリシー ] タブを使用して、シグニチャと動作規則に基づいて侵入攻撃からホス トを保護する IPS 機能を設定できます。このタブからは、機能を有効または無効にし て、クライアント例外規則を設定することができます。IPS ポリシーの詳細について は、第 4 章、IPS ポリシーを参照してください。 図 9-8 [IPS ポリシー ] タブ IPS ポリシーのオプション タブの最上部にあるオプションを使用すると、クライアントのインターフェイスの ロックが解除された後は、サーバ側の IPS ポリシーによって提供される設定を制御で きます。 IPS ポリシーのオプションをカスタマイズするには 1 [IPS ポリシー ] タブをクリックします。 2 必要に応じて、オプションを選択および選択解除します。 オプション名 操作内容 [ホスト IPS を有効に する] ホスト侵入防止保護を有効にします。 [ネットワーク IPS を有 ネットワーク侵入防止保護を有効にします。 効にする] [適応モードを有効に する] 適応モードを有効にして、侵入防止シグニチャに対する例外を 自動的に作成します。 [攻撃者を自動的にブ ロックする] 設定された期間の間、ネットワークへの侵入攻撃を自動的にブ ロックします。[削除されるまで] を選択して攻撃が削除される までブロックするか、[次の時間(分)] を選択して設定した時 間(分単位、既定値は 30)の間攻撃をブロックします。 148 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント IPS ポリシーの例外規則 IPS 例外規則リストには、表示および編集が可能なクライアント例外規則が表示され ます。 例外規則を編集するには 1 [追加] をクリックして規則を追加します。 [例外規則] ダイアログ ボックスが表示されます。 2 規則の説明を入力します。 3 アプリケーション リストから、規則が適用されるアプリケーションを選択するか、 [参照] をクリックしてアプリケーションを見つけます。 4 [例外規則をアクティブにする] チェック ボックスをオンにして規則をアクティブに します。 既定では有効ではなく、選択されていない [ すべてのシグニチャに例外を適用する ] を使用すると、すべてのシグニチャに例外が適用されます。 5 [OK] をクリックします。 新しい規則がリストに表示されます。 6 他の編集操作については、次のいずれかを実行してください。 目的 操作 規則の詳細を表 示する、または規 則を編集する 規則をダブルクリックするか、規則を選択して [プロパティ ] をクリッ クします。[例外規則] ダイアログ ボックスが表示され、編集可能な規 則の情報が表示されます。 規則をアクティ ブまたはアク ティブでない状 態にする [ 例外規則 ] ダイアログ ボックスで、[ 例外規則をアクティブにする ] チェックボックスをオンまたはオフにします。リスト内で、規則アイ コンの横にあるチェック ボックスをオンまたはオフにすることもで きます。 規則を削除する 規則を選択し、[削除] をクリックします。 例外規則リスト 例外規則リストには、クライアントに関連する例外規則が表示され、各規則のサマリ と詳細な情報が示されます。 列名 表示される内容 [例外] 例外の名前。 [シグニチャ ] それに対して例外が作成されるシグニチャの名前。 [アプリケーション] この規則が適用されるアプリケーションの名前(プログラムの名前 や実行可能ファイルの名前を含む) 。 149 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント [ファイアウォール ポリシー ] タブ [ ファイアウォール ポリシー ] タブを使用して、ユーザが定義する規則に基づいてネッ トワーク通信を許可またはブロックする、ファイアウォール機能を設定します。この タブからは、機能を有効または無効にして、クライアント ファイアウォール規則を設 定することができます。ファイアウォール ポリシーの詳細については、第 5 章、ファ イアウォール ポリシーを参照してください。 図 9-9 [ファイアウォール ポリシー ] タブ ファイアウォール ポリシーのオプション タブの最上部にあるオプションを使用すると、サーバ側のファイアウォール ポリシー によって提供される設定を制御できます。 ファイアウォール ポリシーのオプションをカスタマイズするには 1 [IPS ポリシー ] タブをクリックします。 2 必要に応じて、オプションを選択および選択解除します。 オプション名 操作内容 [ファイア ウォールを有効 にする] ファイアウォール ポリシーによる保護を有効にします。 [学習モード受 信有効] 受信トラフィックについて学習モードを有効にします。 [学習モード送 信有効] 送信トラフィックについて学習モードを有効にします。 [信頼できる...] 信頼できるネットワークを作成します。詳細については、114 ページ の「信頼できるネットワーク ポリシーの設定」を参照してください。 150 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント ファイアウォール ポリシーの規則 ファイアウォール規則リストには、表示および編集が可能なクライアント規則が表示 されます。ファイアウォール規則の操作の詳細については、次を参照してください。 87 ページの「ファイアウォール規則の表示および編集」 88 ページの「新しいファイアウォール規則またはファイアウォール グループの 作成」 91 ページの「ファイアウォール規則またはグループの削除」 íç クライアントから、ファイアウォールの接続別グループを追加することはできませ ん。この機能を使用できるのは、ePolicy Orchestrator コンソールでファイアウォール 規則ポリシーを管理する場合だけです。 ファイアウォール規則リスト ファイアウォール規則リストには、クライアントに関連する規則と規則グループが表 示され、各規則のサマリと詳細な情報が示されます。 列名 表示される内容 [説明] この規則または規則グループの目的。 [プロトコル] 規則が適用されるプロトコル (TCP、UDP、ICMP)。 規則でトラフィックが許可されるか、ブロックされるかが次のように示 されます。 トラフィックを許可します。 トラフィックをブロックします。 規則の適用対象が、受信トラフィック、送信トラフィック、またはそれ らの両方のどれであるかが示されます。 受信トラフィック。 送信トラフィック。 両方向。 この規則に一致するトラフィックが、Host Intrusion Prevention によっ てシステムでの侵入(攻撃)として処理されるかどうか。 この規則を特定の時間帯のみ適用するかどうか。 [サービス (L)] この規則が適用される、コンピュータ上のサービス。可能な場合、この 列には関連付けられているポート番号が表示されます。個々のサービ ス、サービスの範囲、または特定のサービスのリストを定義できます。 または、すべてのサービスを指定する([任意])ことも、どのサービス も指定しない ([N/A]) こともできます。 [サービス (R)] トラフィックの送信先または発信元のコンピュータで、この規則が適用 されるサービス。可能な場合、この列には関連付けられているポート番 号が表示されます。個々のサービス、サービスの範囲、または特定の サービスのリストを定義できます。または、すべてのサービスを指定す る([任意])ことも、どのサービスも指定しない ([N/A]) こともできます。 151 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 列名 表示される内容 [アドレス] この規則が適用される IP アドレス、サブネット、ドメイン、または他 の特定の識別子。 [アプリケーション] この規則が適用されるアプリケーションの名前(プログラムの名前や実 行可能ファイルの名前を含む)。 [アプリケーション ポリシー ] タブ [アプリケーション ポリシー ] タブを使用して、アプリケーション ブロック機能を設定 します。アプリケーションが実行可能(「アプリケーション作成」と呼ばれます)かど うか、他のアプリケーションにバインドできる(「アプリケーション フック」と呼ば れます)かどうか、アプリケーションの作成およびフックについて学習モードを有効 にするかどうかの指定と、アプリケーションのクライアント規則の設定が可能です。 アプリケーション ブロックの詳細については、第 6 章、アプリケーション ブロック ポリシーを参照してください。 図 9-10 [アプリケーション ポリシー ] タブ アプリケーション ポリシーのオプション タブの最上部にあるオプションを使用すると、サーバ側のアプリケーション ポリシー によって提供される設定を制御できます。 152 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント アプリケーション ポリシーのオプションをカスタマイズするには 1 [アプリケーション ポリシー ] タブをクリックします。 2 必要に応じて、オプションを選択および選択解除します。 オプション名 操作内容 [ アプリケーション アプリケーション作成のブロックを有効にします。[学習モードの 作成のブロックを アプリケーション作成を有効にする ] オプションが有効になり 有効にする] ます。 [ アプリケーション アプリケーション フックのブロックを有効にします。[学習モード フックのブロック のアプリケーション フックを有効にする ] オプションが有効にな を有効にする] ります。 [ 学習モードのアプ アプリケーション作成の学習モードを有効にします。ユーザは、ア リケーション作成 プリケーション作成を許可するかブロックするかの指示を求めら れます。 を有効にする] [ 学習モードのアプ アプリケーション フックの学習モードを有効にします。ユーザは、 リケーション フッ アプリケーション フックを許可するかブロックするかの指示を求 められます。 クを有効にする] アプリケーション ポリシーの規則 アプリケーション ポリシー規則リストには、表示および編集が可能なクライアント規 則が表示されます。アプリケーション ブロック規則の操作の詳細については、次を参 照してください。 102 ページの「アプリケーション ブロックの規則の表示と編集」 103 ページの「新しいアプリケーション ブロックの規則の作成」 104 ページの「アプリケーション ブロックの規則の削除」 アプリケーション規則リスト アプリケーション規則リストには、クライアントに関連する規則が表示され、各規則 のサマリと詳細な情報が示されます。 列名 表示される内容 [説明] この規則の目的。 [作成] アプリケーションの実行を許可します。 アプリケーションの実行をブロックします。 [フック] アプリケーションが他のアプリケーションをフックするこ とを許可します。 アプリケーションが他のアプリケーションをフックしない ようにブロックします。 [アプリケーション] この規則が適用されるアプリケーションのファイル名とパス。 153 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント [ブロックされたホスト] タブ [ブロックされたホスト] タブを使用して、ネットワーク IPS (NIPS) による保護が有効に される(148 ページの「IPS ポリシーのオプション」を参照)と自動的に作成される、 ブロックされたホスト(IP アドレス)のリストを監視します。ePolicy Orchestrator コ ンソールの [IPS オプション] ポリシーで、[クライアント規則を作成する] が選択されて いる場合は、ブロックされたホストのリストへの追加と編集が可能です。 図 9-11 [ブロックされたホスト] タブ [ブロックされたホスト] リスト ブロックされたアドレスのリストを表示して編集できます。編集には、ブロックされ たホストの追加、削除、編集、およびブロックされたホストの詳細表示が含まれます。 ブロックされたホストのリストには、Host Intrusion Prevention によって現在ブロッ クされているすべてのホストが表示されます。各行が 1 つのホストを表しています。 各列の情報を読むと、個々のホストについてさらに詳細な情報を入手できます。 列名 表示される内容 [ソース] Host Intrusion Prevention によってブロックされている IP ア ドレス。 [ブロックされた理由] このアドレスが Host Intrusion Prevention によってブロック されている理由の説明。 システムに攻撃を試みたことが理由で、このアドレスがリス トに追加された場合は、この列に攻撃の種類が示されます。 ファイアウォール規則の 1 つが、[規則に一致する場合は侵 入として扱う] オプションを使用しているためにこのアドレ スが追加された場合、この列には、関連するファイアウォー ル規則の名前が示されます。 このアドレスをユーザが手動で追加した場合、この列には ユーザがブロックした IP アドレスだけが示されます。 154 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント 列名 表示される内容 [時刻] ブロックされたアドレスのリストに、このアドレスを追加し た日付と時刻。 [残り時間] Host Intrusion Prevention でこのアドレスのブロックを続け る時間。 アドレスをブロックしたときに有効期限を指定した場合、こ の列には、Host Intrusion Prevention によってリストからア ドレスが削除されるまでの残り時間(分)が表示されます。 リストから手動で削除するまでこのアドレスをブロックする ことを指定した場合、この列には [削除されるまで] と表示 されます。 [ブロックされたホスト] リストを編集するには 1 [追加] をクリックしてホストを追加します。 [ブロックされたホスト] ダイアログ ボックスが表示されます。 2 ブロックする IP アドレスを入力します。ドメイン名で IPS アドレスを検索するに は、[DNS 参照] をクリックします。 3 どれくらいの時間 IP アドレスをブロックするかを決定します。 [削除されるまで] を選択すると、ホストが削除されるまでブロックし続けます。 [ 次の時間(分) ] を選択し、60 分までの時間を入力して、ホストのブロックを 一定の時間続けます。 4 [ソースのトレース] をクリックすると、IP アドレスをトレースし、近くのアドレス の NetBIOS ユーザ、MAC アドレス、Telnet サーバ バナー、HTTP サーバ バナー、 FTP サーバ バナー、SMTP サーバ バナー、DNS 名などの情報を収集します。 5 [OK] をクリックします。 新しいブロックされたホストがリストに表示されます。 íç ブロックされたアドレスを作成すると、Host Intrusion Prevention によって、[アプ リケーション保護 ] タブのリストに新しいエントリが追加されます。ブロックさ れたアドレスのリストからその IP アドレスを削除するか、設定した時間が経過す るまで、その IP アドレスから試みられるすべての通信がブロックされます。 6 他の編集操作については、次のいずれかを実行してください。 目的 操作 ブロックされたホ ストの詳細を表示 す る、ま た は ブ ロックされたホス トを編集する ホストのエントリをダブルクリックするか、ホストを選択して [プロ パティ] をクリックします。[ブロックされたホスト] ダイアログ ボッ クスに編集可能な情報が表示されます。 ブロックされたホ ストを削除する ホストを選択し、[削除] をクリックします。 155 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント [アプリケーション保護] タブ [アプリケーション保護] タブには、クライアントで保護されているアプリケーションの リストが表示されます。これは、管理ポリシーおよびヒューリスティックに作成した 特定クライアントのためのアプリケーション リストからデータが格納される表示専 用のリストです。詳細については、54 ページの「アプリケーション保護規則」を参照 してください。 図 9-12 [アプリケーション保護リスト] タブ アプリケーション保護リスト このリストには、クライアントにある監視されているすべてのプロセスが表示され ます。 列名 表示される内容 [プロセス] アプリケーション プロセス。 [PID] プロセス ID。プロセスのキャッシュ参照用のキーです。 [プロセスの完全なパス] アプリケーション プロセスの完全なパス名。 156 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Windows クライアント [動作ログ] タブ [動作ログ] タブを使用して、ログ記録の機能を設定し、Host Intrusion Prevention のア クションを追跡します。 図 9-13 [動作ログ] タブ 動作ログのオプション タブの最上部にあるオプションを使用すると、どの項目をログに記録し、表示するか を制御できます。 動作ログのオプションをカスタマイズするには 1 [動作ログ] タブをクリックします。 2 必要に応じて、オプションを選択および選択解除します。 オプション名 操作内容 [トラフィックのログ記 録] - [ブロックされた ものをすべてログに記 録する] ブロックされたファイアウォール トラフィックをすべてロ グに記録します。 [トラフィックのログ記 録] - [許可されたものを すべてログに記録する] 許可されたファイアウォール トラフィックをすべてログに 記録します。 [フィルタ オプション] - [トラフィック] データにフィルタを適用し、ブロックされたファイアウォー ル トラフィックや許可されたファイアウォール トラフィッ クを表示します。 [フィルタ オプション] - [アプリケーション] データにフィルタを適用し、アプリケーションが原因となっ たイベントを表示します。 [フィルタ オプション] - [侵入] データにフィルタを適用し、侵入を表示します。 157 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド íç Host Intrusion Prevention クライアント Windows クライアント ファイアウォール トラフィックのログ記録は有効または無効にすることが可能で すが、IPS 機能やアプリケーション ブロック機能のログ記録は有効無効を切り替 えられません。ただし、これらのイベントをフィルタで除外し、ログで非表示に することは選択できます。 動作ログ リスト 動作ログには、動作の継続的なログが含まれています。最新の動作がリストの最下部 に表示されます。 列名 表示される内容 [時刻] Host Intrusion Prevention のアクションの日付と 時刻。 [イベント] アクションを実行した機能。 [トラフィック] はファイアウォールのアクショ ンを示しています。 [ アプリケーション ] はアプリケーション ブロッ クのアクションを示しています。 [侵入] は IPS のアクションを示しています。 [ システム ] は、ソフトウェアの内部コンポーネ ントに関連するイベントを示しています。 [ サービス ] は、ソフトウェアのサービスまたは ドライバに関連するイベントを示しています。 この通信の送信先、または発信元のリモート アド レス。 [ソース] [侵入データ] 注:この列は、[McAfee Host Intrusion Prevention オプション] ダイアログ ボックスで [Sniffer Capture の作成...] オプションを選択した場合のみ表示さ れます。 Host Intrusion Prevention で、この攻撃に関連する パケット データが保存されたことを示すアイコン (このアイコンは IPS ログのエントリのみに表示さ れます)。 は、このログ エントリに関連付けられているパ ケット データをエクスポートできることを示しま す。ログ エントリを右クリックし、Sniffer ファイ ルにデータを保存します。 [アプリケーション] アクションの原因となったアプリケーション。 [メッセージ] アクションの説明。可能な限りの詳細が示されます。 ログの内容を削除するか、.txt ファイルに保存することによって、リストを消去でき ます。 目的 操作 ログの内容を完全に削除する [クリア] をクリックします。 ログの内容を保存してタブからリストを 削除する [ 保存 ] をクリックします。表示された [ ログ ファ イルの保存先 ] ダイアログ ボックスで、.txt ファ イルに名前を付けて保存します。 158 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Solaris クライアント Solaris クライアント Host Intrusion Prevention 6.1 Solaris クライアントは、Solaris サーバのファイルやア プリケーションに対する侵入の危険性を特定して防止します。サーバのオペレーティ ング システム、Apache Web サーバ、および Sun Web サーバを、特にバッファ オー バフロー攻撃から保護します。 Solaris クライアントでのポリシーの実施 Windows クライアントを保護するポリシーのすべてを、Linux クライアントで使用で きるわけではありません。Host Intrusion Prevention は危険な攻撃からホスト サーバ を保護しますが、ファイアウォール保護は提供しません。有効なポリシーは次のとお りです。 ポリシー 使用可能なオプション HIP 6.1 全般: クライアント UI トラブルシューティング ツールを使用するための [ 管理者 パスワード] または [時間ベースのパスワード] のみ。 信頼できるネットワーク なし 信頼できるアプリケーション 信頼できるアプリケーションを追加するための [IPS で信 頼できると設定] および [新しいプロセス名] のみ。 HIP 6.1 IPS : IPS オプション HIPS を有効にする 適応モードを有効にする 既存のクライアント規則を保持する IPS による保護 すべて IPS 規則 例外規則 シグニチャ(既定およびカスタムの HIPS 規則のみ) 注:NIPS シグニチャおよび [ アプリケーション保護規則 ] は使用できません。 IPS イベント すべて IPS クライアントの規則 すべて IPS 例外規則の検索 すべて HIP 6.1 ファイアウォール なし HIP 6.1 アプリケーション ブロック なし トラブルシューティング Solaris クライアントをインストールして起動したら、ホストが保護されます。ただ し、インストール上または操作上の問題のトラブルシューティングが必要な場合もあ ります。 クライアントのインストール上の問題 クライアントのインストール時やアンインストール時に問題が発生した場合、調査す る点がいくつかあります。すべての必要なファイルが正しいディレクトリにインス トールされたかどうかの確認、クライアントのアンインストールと再インストール、 プロセス ログの確認などです。 159 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Solaris クライアント インストール ファイルの確認 インストールの後、すべてのファイルがクライアント上の適切なディレクトリにイン ストールされたことを確認してください。/opt/McAfee/hip ディレクトリに、次の重 要なファイルとディレクトリが含まれている必要があります。 ファイル名/ディレクトリ名 説明 HipClient Solaris クライアント HipClient-bin HipClientPolicy.xml ポリシーの規則 hipts トラブルシューティング ツール hipts-bin *.so Host Intrusion Prevention と ePO エージェントの共 有オブジェクト モジュール log directory HIPShield.log および HIPClient.log のログ ファイル が含まれる イ ン ス ト ー ル 履 歴 は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion Prevention クライアントのインストール プロセスまたは削除プロセスにつ いて疑問点があれば、このファイルを参照してください。 クライアントが実行されているかどうかの確認 クライアントが正しくインストールされていても、操作時に問題が発生する場合があ ります。たとえば、ePO コンソールにクライアントが表示されない場合は、次のいず れかのコマンドを使用して、クライアントが実行されているかどうかを確認してくだ さい。 /etc/rc2.d/SS99hip status ps -ef | grep hip クライアントの操作上の問題 Solaris クライアントには、操作上の問題のトラブルシューティングを行うユーザ イン ターフェイスがありません。コマンド ラインのトラブルシューティング ツール hipts が提供されており、/opt/McAfee/hip ディレクトリ内にあります。このツールを使用 するには、Host Intrusion Prevention クライアント パスワードを入力する必要があり ます。クライアントに付属している既定のパスワード (abcde12345) を使用するか、ク ライアント UI ポリシーに管理者パスワードまたは時間ベースのパスワードのいずれ かを設定してクライアントに送信し、このパスワードを使用します。 トラブルシューティング ツールは、次のことに使用します。 クライアントのログ記録の設定とエンジン ステータスを指定します。 メッセージのログ記録のオン/オフを切り替えます。 エンジンのオン/オフを切り替えます。 160 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Solaris クライアント root としてログオンし、次のコマンドを実行すると、トラブルシューティングに役立 ちます。 実行するコマンド 操作内容 hipts status クライアントの現在のステータスを取得し、有効な ログ記録の種類と実行中のエンジンを確認します。 hipts logging on 特定のメッセージの種類に対してログ記録をオン にします。 hipts logging off すべてのメッセージの種類に対してログ記録をオフ にします。既定ではログ記録がオフにされています。 hipts message <メッセージ名>:on ログ記録がオンに設定されている場合に、指定した メッセージの種類を表示します。次のようなメッ セージがあります。 error warning debug info violations hipts message <メッセージ名>:off ログ記録がオンに設定されている場合に、指定した メッセージの種類を非表示にします。既定ではメッ セージ エラーがオフにされています。 hipts message all:on ログ記録がオンに設定されている場合に、すべての メッセージの種類を表示します。 hipts message all:off ログ記録がオンに設定されている場合に、すべての メッセージの種類を非表示にします。 hipts engines <エンジン名>:on 指定したエンジンをオンにします。既定ではエンジ ンがオンにされています。次のようなエンジンがあ ります。 MISC FILES GUID MMAP BO ENV HTTP hipts engines <エンジン名>:off 指定したエンジンをオフにします。 hipts engines all:on すべてのエンジンをオンにします。 hipts engines all:off すべてのエンジンをオフにします。 ÉqÉìÉg 操作の検証や問題の追跡には、トラブルシューティング ツールを使用するほか、 /opt/McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイルも参照してください。 クライアントの起動と停止 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる 場合があります。 161 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Linux クライアント Solaris クライアントを停止するには 1 IPS による保護を無効にします。次のいずれかの手順を使用します。 ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア ントに適用します。 次のコマンドを実行します。hipts engines MISC:off 2 次のコマンドを実行します。/etc/rc2.d/S99hip stop Solaris クライアントを再起動するには 1 次のコマンドを実行します。/etc/rc2.d/S99hip restart 2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、 次のいずれかを実行します。 ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア ントに適用します。 次のコマンドを実行します。hipts engines MISC:on Linux クライアント Host Intrusion Prevention 6.1 Linux クライアントは、Linux サーバのファイルやアプ リケーションに対する侵入の危険性を特定して防止します。SELinux のネイティブな 保護メカニズムに基づいて、IPS ポリシーから SELinux 規則への変換や、SELinux イ ベントから IPS イベントへの変換を行い、また ePO コンソールで簡単に管理するこ とができます。 Linux クライアントでのポリシーの実施 Windows クライアントを保護するポリシーのすべてを、Linux クライアントで使用で きるわけではありません。つまり、Host Intrusion Prevention は危険な攻撃からホス ト サーバを保護できても、バッファ オーバフローなど、ネットワーク侵入を防止す ることまではできないのです。有効なポリシーは次のとおりです。 ポリシー 使用可能なオプション HIP 6.1 全般: クライアント UI トラブルシューティング ツールを使用するための [ 管理 者パスワード] または [時間ベースのパスワード] のみ。 信頼できるネットワーク なし 信頼できるアプリケーション 信頼できるアプリケーションを追加するための [IPS で信 頼できると設定] および [新しいプロセス名] のみ。 HIP 6.1 IPS : IPS オプション HIPS を有効にする 適応モードを有効にする 既存のクライアント規則を保持する IPS による保護 すべて IPS 規則 例外規則 シグニチャ(既定およびカスタムの HIPS 規則のみ) 注:NIPS シグニチャおよび [アプリケーション保護規則] は使用できません。 162 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド ポリシー Host Intrusion Prevention クライアント Linux クライアント 使用可能なオプション IPS イベント すべて IPS クライアントの規則 すべて IPS 例外規則の検索 すべて HIP 6.1 ファイアウォール なし HIP 6.1 アプリケーション ブロック なし Linux クライアントについての注意事項 既存の SELinux ポリシーや既定の保護設定を使用している場合は、Linux クライア ントをインストールすると McAfee Host Intrusion Prevention の既定ポリシーに置 き換わります。Linux クライアントをアンインストールすると元の SELinux ポリ シーが復元されます。 Linux クライアントでは、SELinux がインストールされて有効になっている(実施 または許可するように設定されている)必要があります。インストールされていて も無効になっている場合は、対象のポリシーに対して有効にし、Linux クライアン トのインストール前にコンピュータを再起動する必要があります。 Linux では、ファイル属性の変更を単一の SELinux アクセス許可 (file:setattr) で制 御します。chdir や symlink(ディレクトリの変更やシンボリック リンクの作成)を 個別に制御することはできません。 SELinux は、LSM (Linux Security Modules) フレームワークによって Linux カーネ ルに実装されている必須アクセス制御メカニズムを使用します。このフレームワー クは、Linux の標準の任意アクセス制御がチェックされた後に、許可されている操 作をチェックします。Linux クライアントが LSM を使用するため、LSM を使用す る他のアプリケーションは、スタックを実装しないと動作しません。 トラブルシューティング Linux クライアントをインストールして起動したら、ホストが保護されます。ただし、 インストール上または操作上の問題のトラブルシューティングが必要な場合もあり ます。 クライアントのインストール上の問題 クライアントのインストール時やアンインストール時に問題が発生した場合、調査す る点がいくつかあります。すべての必要なファイルが正しいディレクトリにインス トールされたかどうかの確認、クライアントのアンインストールと再インストール、 プロセス ログの確認などです。 163 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Linux クライアント インストール ファイルの確認 インストールの後、すべてのファイルがクライアント上の適切なディレクトリにイン ストールされたことを確認してください。opt/McAfee/hip ディレクトリに、次の重 要なファイルとディレクトリが含まれている必要があります。 ファイル名 説明 HipClient Linux クライアント HipClient-bin HipClientPolicy.xml ポリシーの規則 hipts トラブルシューティング ツール hipts-bin *.so Host Intrusion Prevention と ePO エージェントの共 有オブジェクト モジュール log directory HIPShield.log および HIPClient.log のログ ファイル が含まれる インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion Prevention クライアントのインストール プロセスまたは削除プロセスにつ いて疑問点があれば、このファイルを参照してください。 クライアントが実行されているかどうかの確認 たとえば、ePO コンソールにクライアントが表示されない場合は、クライアントが 実行されているかどうかを確認してください。そのためには、次のコマンドを実行し ます。 ps -ef | grep hip クライアントの操作上の問題 クライアントが正しくインストールされていても、クライアントの操作時に問題が発 生する場合があります。そのような場合は、クライアントが実行されているかどうか を確認し、クライアントをいったん停止して再起動します。 トラブルシューティング ツール Linux クライアントには、操作上の問題のトラブルシューティングを行うユーザ イン ターフェイスがありません。コマンド ラインのトラブルシューティング ツール hipts が提供されており、opt/McAfee/hip ディレクトリ内にあります。このツールを使用 するには、Host Intrusion Prevention クライアント パスワードを入力する必要があり ます。クライアントに付属している既定のパスワード (abcde12345) を使用するか、ク ライアント UI ポリシーに管理者パスワードまたは時間ベースのパスワードのいずれ かを設定してクライアントに送信し、このパスワードを使用します。 トラブルシューティング ツールは、次のことに使用します。 クライアントのログ記録の設定とエンジン ステータスを指定します。 メッセージのログ記録のオン/オフを切り替えます。 エンジンのオン/オフを切り替えます。 root としてログオンし、次のコマンドを実行すると、トラブルシューティングに役立 ちます。 164 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Linux クライアント 実行するコマンド 操作内容 hipts status クライアントの現在のステータスを取得し、有効な ログ記録の種類と実行中のエンジンを確認します。 hipts logging on 特定のメッセージの種類に対してログ記録をオン にします。 hipts logging off すべてのメッセージの種類に対してログ記録をオフ にします。既定ではログ記録がオフにされています。 hipts message <メッセージ名>:on ログ記録がオンに設定されている場合に、指定した メッセージの種類を表示します。次のようなメッ セージがあります。 error warning debug info violations hipts message <メッセージ名>:off ログ記録がオンに設定されている場合に、指定した メッセージの種類を非表示にします。既定ではメッ セージ エラーがオフにされています。 hipts message all:on ログ記録がオンに設定されている場合に、すべての メッセージの種類を表示します。 hipts message all:off ログ記録がオンに設定されている場合に、すべての メッセージの種類を非表示にします。 hipts engines <エンジン名>:on 指定したエンジンをオンにします。既定ではエンジ ンがオンにされています。次のようなエンジンがあ ります。 MISC FILES hipts engines <エンジン名>:off 指定したエンジンをオフにします。 hipts engines all:on すべてのエンジンをオンにします。 hipts engines all:off すべてのエンジンをオフにします。 ÉqÉìÉg 操作の検証や問題の追跡には、トラブルシューティング ツールを使用するほか、 McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイル も参照してください。 165 9 McAfee® Host Intrusion Prevention 6.1 製品ガイド Host Intrusion Prevention クライアント Linux クライアント クライアントの起動と停止 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる 場合があります。 Linux クライアントを停止するには 1 IPS による保護を無効にします。次のいずれかの手順を使用します。 ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア ントに適用します。 次のコマンドを実行します。hipts engines MISC:off 2 次のコマンドを実行します。hipts agent off Linux クライアントを再起動するには 1 次のコマンドを実行します。hipts agent on 2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、 次のいずれかを実行します。 ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア ントに適用します。 次のコマンドを実行します。hipts engines MISC:on 166 9 10 よく寄せられる質問 (FAQ) この章では、Host Intrusion Prevention 6.0 の使用時に生じることがある実務的な質問 の一部に回答します。 ポリシーとは何ですか? McAfee の既定のポリシーとは何ですか? ユーザが新しいポリシーを割り当てたノードの下にあるディレクトリのノードに は、どのような影響がありますか? ポリシーが変更された場合、そのポリシーが適用されているノードにはどのような 影響がありますか? 割り当てた新しい Host Intrusion Prevention ポリシーが、実施されていないのはな ぜですか? IPS およびファイアウォール ポリシーの管理を、地理的に異なる場所にいる別の管 理者に委任することができますか? 同じセキュリティ設定を異なるシステムに適用することができますか? 特定のノードまたはクライアントに適用されるポリシーを表示または編集するこ とは可能ですか? どのようにして、使用できるすべてのポリシーと、それらが割り当てられている ノードを表示しますか? クライアントが発生させた IPS イベントはどのようにして表示しますか? どのように IPS イベントに基づいて例外を作成しますか? どのようにして、自動化された調整の仕組みによって IPS 規則のポリシーを修正し ますか? IPS ポリシーのカスタム シグニチャはどのように作成しますか? 既存の例外とカスタム シグニチャは、どのように再編成して新しいポリシーにす るのですか? 特定のプロファイルに合致する既存のポリシーはどのようにして見つけますか? ポリシーとは何ですか? ポリシーは、ポリシーのカテゴリに対応させてカスタマイズした、製品設定のサブセッ トです。ポリシー カテゴリごとに、名前が付けられたポリシーを必要な数だけ作成、 変更、または削除できます。 167 McAfee® Host Intrusion Prevention 6.1 製品ガイド よく寄せられる質問 (FAQ) McAfee の既定のポリシーとは何ですか? インストール時に、各ポリシー カテゴリには名前が付けられたポリシーが少なくとも 1 つ含まれています(McAfee 既定)。McAfee の既定のポリシーを編集したり、名前 を変更したり、削除したりすることはできません。 ユーザが新しいポリシーを割り当てたノードの下にあるディレクトリのノードには、 どのような影響がありますか? 特定のポリシー カテゴリに対して継承が有効にされているすべてのノードは、親ノー ドに適用されたポリシーを継承します。 ポリシーが変更された場合、そのポリシーが適用されているノードにはどのような影 響がありますか? あるポリシーが適用されているすべてのノードは、次回のエージェント/サーバ間通信 のとき、またはエージェント起動コールを実行することで、そのポリシーに対する変 更をすべて受け取ります。ポリシーはそのうえ、ポリシーの実施間隔ごとに実施され ます。 割り当てた新しい Host Intrusion Prevention ポリシーが、実施されていないのはなぜ ですか? ポリシーの新しい割り当ては、割り当てを行った後、次のエージェント / サーバ間通 信、またはエージェント起動コールを実行するまで実施されません。また、クライア ント UI がパスワードでロック解除されている場合、新しいポリシーの割り当ては実 施されません。 IPS およびファイアウォール ポリシーの管理を、地理的に異なる場所にいる別の管理 者に委任することができますか? はい。Host Intrusion Prevention では、IPS やファイアウォールのような製品機能の、 すべてまたは一部の管理責任を委任することができます。ある機能に含まれるより小 さな単位での役割、たとえばクライアントの管理や例外の作成はサポートされていま せん。 ルート ディレクトリの 1 つ下のレベルであるサイト レベルでユーザ権利を割り当て ると、それらの権利はそのサイトの下にあるすべてのノードに継承されます。サイト レベルの下のノードでは、明示的なユーザ アクセス許可がサポートされていません。 地理的な場所で管理を委任するには、サイト ノードで 1 つの地理的な場所を割り当て てから、適切なユーザ権利を適用します。 同じセキュリティ設定を異なるシステムに適用することができますか? コンソール ツリーでは、ノードが階層構造で編成されます。ポリシーはノードで割り 当てるため、サイト レベルのノードは通常、[すべてのサーバ]、[すべてのデスクトッ プ]、[IIS サーバ]、[SQL サーバ] など、プロファイルに基づいたグループを表していま す。このグループのパターンは、各サイト ノードの下に複製できます。 ePolicy Orchestrator では、特定のノードには依存せず、すべてのノード間で共有する ことができるポリシーを作成できます。ノードにポリシーを割り当てると、そのポリ シーは、他のポリシーによって変更されなければ、ノードの子に自動的に継承されま す。IIS サーバ ポリシーのように、各プロファイルに合わせたポリシーを作成し、そ のポリシーを IIS サーバのような対応するノード グループそれぞれに適用することが できます。 新しい Host Intrusion Prevention クライアントを備えたコンピュータを、正しいセ キュリティ ポリシーが割り当てられる適切なプロファイル グループに配置します。こ の方法が不可能な場合、個々のノード レベルでポリシーを変更することによって、各 クライアントのポリシーを設定できます。継承されたポリシーのほとんどは、そのポ リシーに強制継承が割り当てられている場合以外は変更できます。 168 10 McAfee® Host Intrusion Prevention 6.1 製品ガイド íç よく寄せられる質問 (FAQ) ePolicy Orchestrator のツリー ノードが Host Intrusion Prevention には適さない構造の 製品をサポートするためにすでに編成されていると、ツリーを再編成することが難し い場合があります。再編成を行うと、既存のポリシーの割り当てを壊すおそれがある ため、該当する製品すべての知識と、それらに対するアクセス許可が必要になります。 特定のノードまたはクライアントに適用されるポリシーを表示または編集することは 可能ですか? はい。Host Intrusion Prevention ポリシーには、IPS 規則や IPS 保護のような特定のカ テゴリがあり、それぞれが特定の設定を提供します。各 Host Intrusion Prevention 機 能の下で、選択したノードのカテゴリを [ポリシー ] タブで確認できます。各カテゴリ には、割り当てられているポリシーの名前が 1 つ以上表示されます。IPS 保護などの ほとんどのカテゴリでは 1 つのポリシーが表示され、IPS 規則や信頼できるアプリ ケーションのカテゴリでは、1 つ以上のポリシー インスタンスが表示されます。これ らの各ポリシーの詳細を表示するには、ポリシーの名前をクリックします。 どのようにして、使用できるすべてのポリシーと、それらが割り当てられているノー ドを表示しますか? ePolicy Orchestrator ツリーには、[ポリシー カタログ] ノードがあり、各カテゴリに含 まれるすべてのポリシーのリストが、それらの割り当て数とともに表示されます。割 り当て数の値をクリックすると、ポリシーが直接割り当てられているすべてのノード のリストが表示されます。この数には、ポリシーが継承されたノードは含まれていま せん。 クライアントが発生させた IPS イベントはどのようにして表示しますか? ePolicy Orchestrator に専用のイベント ビューアは用意されていないため、イベント は Host Intrusion Prevention の、[IPS 規則] ポリシー内の [IPS イベント] タブで処理さ れます。選択したノードに関連付けられているイベントのリストを表示するには、[ポ リシー ] タブをクリックし、[IPS イベント] リンクをクリックします。[IPS イベント] タブには、特定の日数の間に、選択したノードに属するクライアントによって生成さ れた IPS イベントを合わせたセットが表示されます。この表示は、新しいイベントが 発生すると自動的に更新され、次の操作を行うことができます。 1 つの属性でイベントを並べ替えたり、さまざまな属性でフィルタを適用したり する。 イベントの詳細を表示する。 イベントを開封または非表示に設定する、開封イベント、未開封イベント、および 非表示のイベントの組み合わせでイベントを表示する。 イベントに基づいて例外や信頼できるアプリケーションを作成する。 どのように IPS イベントに基づいて例外を作成しますか? [IPS イベント] タブでイベントを 1 つ選択し、[例外の作成] をクリックします。元のイ ベントに基づいてあらかじめ入力された [ 新しい例外 ] ダイアログ ボックスが表示さ れます。[新しい例外] ダイアログ ボックスのタブに、作成時にこの例外の配置先にな る IPS 規則のポリシーのインスタンス リストが表示されます。 169 10 McAfee® Host Intrusion Prevention 6.1 製品ガイド よく寄せられる質問 (FAQ) 新しい例外を配置できる場所は、編集可能な既存のポリシーの中だけです。 íç 特定のクライアントまたは複数のクライアントのどちらかに 1 つの例外を適用しま す。例外を適用する対象ポリシーは、特定のクライアントのポリシー、または共通プ ロファイルに適合するポリシーのいずれかです。ただし、すべてのポリシーは既定で 共有可能であり、各ノードの割り当てリストに表示されます。少数のポリシーを注意 して作成して管理し、すべてのクライアントの必要性がまとめて満たされるようにす ることをお勧めします。 新しい例外を作成する代わりに、[関連する例外の検索] 機能を使用して、既存のポリ シーの類似した属性を持つ既存の例外を検索し、それを編集することができます。 どのようにして、自動化された調整の仕組みによって IPS 規則のポリシーを修正しま すか? Host Intrusion Prevention では適応モード オプションが提供されており、クライアン トはユーザの操作なしで、ブロックされても悪意がなかった動作の実行は許可するク ライアント規則を自動的に作成できます。クライアントが一定の間適応モードになっ ていた後で、管理者は次のことを行えます。 類似したプロファイルを持つ一連のクライアントで作成されたクライアント規則 のリストを表示し、その情報に基づいて新しいポリシーを作成する。この新しいポ リシーは次に、同じプロファイルを持つより多くのクライアントのセットに適用で きる。 あるクライアント規則がセキュリティ違反を表すことを明らかにして、そのような 規則を IPS 規則のポリシーの一部としてブロックする。 例外が集約されたリストを表示し、同じプロファイルを持つ異なるクライアント で、同じ操作がどれほど行われているかを認識する。 クライアント例外規則をポリシーの例外リストに移動する。 既存のポリシーの例外を検索し、編集可能で、クライアント例外に類似している例 外を見つける。 IPS ポリシーのカスタム シグニチャはどのように作成しますか? カスタム シグニチャは IPS 規則のポリシーの一部で、プロファイルの特定のセキュリ ティ ニーズに合うように作成することができます。簡単なシグニチャ用にカスタム シ グニチャのウィザードを利用できますが、詳しい知識があるユーザは、カスタム シグ ニチャの標準モードとエキスパート モードを使用できます。 既存の例外とカスタム シグニチャは、どのように再編成して新しいポリシーにするの ですか? 管理者が、いくつかのクライアントで誤検知を数個見つけ、それらのために例外を作 成したとします。これらの誤検知イベントは孤立しているように思われたため、最初 はさまざまなポリシーの中に例外を配置します。例外を見直してみると、専用のポリ シーに分離することができる新しいパターンを見つけることができます。 これらの例外を新しいポリシーに再編成するには、新しい IPS 規則のポリシーを作成 し、それを適切なノードの IPS 規則のポリシー リストに追加します。そのノードに割 り当てられている、さまざまなポリシーの例外を、リストですべて表示します。適切 な例外を 1 つ以上選択し、それらを新しいポリシーに移動します。 この新しいポリシーは次に、新しく識別されたプロファイルに適合する他のクライア ントに個々に適用するか、グループとして適用することができます。 170 10 McAfee® Host Intrusion Prevention 6.1 製品ガイド よく寄せられる質問 (FAQ) 特定のプロファイルに合致する既存のポリシーはどのようにして見つけますか? 一般的に、1 つの組織は IPS 規則のポリシーを複数用意し、IIS サーバや SQL サーバ のようなクライアントのプロファイルごとに、1 つのポリシーを使用します。複数の 管理者がシステムの異なる部分を管理し、しばしば異なる時間帯に勤務することが一 般的だと想定すると、適切に管理された少数のポリシーを備える必要があります。こ れによって、管理者がすばやく現在のポリシーの編成を理解し、探しているポリシー を見つけることに役立ちます。 IPS 例外検索を使用すると、属性に基づいて例外を検索し、プロセス内でそれらの親 ポリシーを見つけることができます。この検索では、次のことが可能です。 あるアプリケーションの例外を含むポリシーを検索する。 あるシグニチャのために作成された例外を検索する。 誤検知イベントの 1 つ以上の属性に合致する例外が含まれるポリシーを検索する。 171 10 A カスタム シグニチャの記述 この章では、カスタム シグニチャの構造について説明し、さまざまなクライアント プラットフォームのためにカスタム シグニチャを記述する方法を紹介します。次の トピックがあります。 規則の構造 Windows のカスタム シグニチャ Solaris のカスタム シグニチャ Linux のカスタム シグニチャ 規則の構造 どのシグニチャにも、ANSI Tool Command Language (TCL) 構文で記述された規則が 1 つ以上含まれています。各規則には、必須およびオプションのセクションが含まれ、 1 行あたり 1 つのセクションになっています。オプションのセクションは、オペレー ティング システムと規則のクラスによって異なります。各セクションでは、規則の カテゴリとその値を定義します。1 つのセクションでは必ず規則のクラスを識別し ます。このクラスにより、規則の全般的な動作が定義されます。 規則の基本的な構造は次のとおりです。 Rule { SectionA value SectionB value SectionC value ... } íç カスタム規則を作成する前に、TCL の記述文字列とエスケープ シーケンスの規則を確 認してください。TCL の標準リファレンスに目を通すことにより、適切な値を正しく 入力できます。 172 McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 規則の構造 http 要求クエリ内に「subject」がある要求が Web サーバに送信されないようにする 規則は、次の形式になります。 Rule { Class Isapi Id 4001 level 4 query { Include “*subject*” } method { Include “GET” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d isapi:request } さまざまなセクションと値の説明については、178 ページの「Windows のカスタム シグニチャ」を参照してください。 必須の共通セクション 規則の必須セクションとその値には、下に示す項目が含まれます。選択された Class セクションに関連する必須セクションについては、「Windows のカスタム シグニ チャ」、「Unix のカスタム シグニチャ」、および「Linux のカスタム シグニチャ」の Class のセクションを参照してください。キーワードの Include および Exclude は、Id、 level、および directives 以外のすべてのセクションで使用されます。Include は、指定 した値に対してそのセクションが作用することを意味し、Exclude は、指定したもの 以外のすべての値に対してそのセクションが作用することを意味します。 セクション名 値 説明 Class オペレーティング システムに よって異なります。 この規則の適用対象になるクラスを指 定します。 以下を参照してください。 178 ページの「Windows のカスタム シグニチャ」 190 ページの「Solaris のカスタム シ グニチャ」 194 ページの「Linux のカスタム シグ ニチャ」 Id 4000 - 7999 シグニチャの一意の ID 番号。この番 号は、カスタム規則で使用できる番号 です。 level 0 シグニチャのセキュリティ レベル。 1 0 = 無効 2 1 = 白色 3 2 = 黄色 4 3 = オレンジ色 4 = 赤色 time {Include “*”} 173 このセクションに含まれるのはこの値 だけです。 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 規則の構造 セクション名 値 説明 user_name {Include/Exclude「ユ ーザ またはシステム アカウント」} 規則の適用対象になるユーザ。特定の ユーザまたはすべてのユーザを指定し ます。 Windows での注意: ローカル ユーザの場合:<コンピュー タ名>/<ローカル ユーザ名> の形式を 使用します。 ドメイン ユーザの場合:<ドメイン 名>/<ドメイン ユーザ名> の形式を使 用します。 ローカル システムの場合: Local/System を使用します。これ は、Windows NT での NT Authority/System および Windows 2000 での <ドメイン>/<コンピュータ> と同等です。 リモートから開始されたアクションの 一部は、リモート ユーザの ID をレポー トしませんが、ローカル サービスとそ のユーザ コンテキストが代わりに使用 されます。規則の開発時には、それに応 じて計画する必要があります。プロセス が Null セッションのコンテキストで発 生した場合、ユーザとドメインは「匿 名」です。すべてのユーザに規則を適用 する場合は、* を使用します。Solaris で は、このセクションで大文字と小文字 が識別されます。 application {Include/Exclude「パスお よびアプリケーション名」 そのインスタンスを作成した操作を実 行したプロセスの完全なパス。操作が リモートである場合、application は操 作を処理するローカルのサービスまた はサーバです。 一部のローカルの操作は、リモートで あるかのように処理されます。たとえ ば、Windows の場合、application の名 前は操作を処理するローカルのサービ スまたはサーバになります。すべての アプリケーションに規則を適用する場 合は、* を使用します。Solaris では、 このセクションで大文字と小文字が識 別されます。 directives -c -d íç 操作の種類 操作の種類はクラスによって異なりま す。後のセクションで、各クラスの操 作の種類を示します。スイッチの -c お よび -d を使用する必要があることに注 意してください。 1 つの規則の後に別の規則を追加し、複数の規則があるシグニチャを作成することが できます。同じシグニチャ内に含める各規則の Id セクションおよび level セクション は、同じ値である必要があります。 174 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 規則の構造 Include と Exclude の使用 セクションの値を Include として設定した場合、そのセクションは指定した値に対し て作用し、Exclude として設定した場合、そのセクションは指定したもの以外のすべ ての値に対して作用します。これらのキーワードを使用する場合、キーワードには中 かっこ { ... }、その値は二重引用符 “ ...” を使用します。 たとえば、C:\test\ にあるすべてのテキスト ファイルを監視するには、次のように記 述します。 files { Include “C:\\test\\*.txt” } C:\test\ にあるテキスト ファイル以外のすべてのファイルを監視するには、次のよう に記述します。 files { Exclude “C:\\test\\*.txt” } 含めた値のセットから特定の値を除外するには、キーワードを組み合わせます。 C:\test\ フォルダで、abc.txt 以外のテキスト ファイルをすべて監視するには、次のよ うに記述します。 files { Include “C:\\test\\*.txt” } files { Exclude “C:\\test\\acb.txt” } 同じキーワードを持つ同じセクションを追加するたびに、操作が追加されます。 C:\test\ フォルダで、名前が「abc」という文字列で始まるすべてのテキスト ファイル を監視するには、次のように記述します。 files { Include “C:\\test\\*.txt”} files { Include “C:\\test\\acb*”} オプションの共通セクション オプションである規則の共通セクションとその値には、下に示す項目が含まれます。 選 択 さ れ た class セクションに関連するオプションのセクションについては、 「Windows のカスタム シグニチャ」、 「Unix のカスタム シグニチャ」、 「Linux のカスタ ム シグニチャ」の Class のセクションを参照してください。キーワードの Include と Exclude は、dependencies と attributes の両方のセクションで使用されます。Include は、指定した値に対してそのセクションが作用することを意味し、Exclude は、指定 したもの以外のすべての値に対してそのセクションが作用することを意味します。 セクション 値 説明 dependencies -c -d {Include/Exclude「規 則の Id」} 規則間の依存関係を定義し、 依 存する規則が呼び出されない ようにします。-c および -d の スイッチだけが使用されます。 dependencies セクションの使用 より限定的な規則と一緒に一般的な規則が呼び出されないようにするには、オプショ ンのセクションである dependencies を追加します。たとえば、C:\test\ 内の 1 つのテ キスト ファイルを監視する、次の規則があるとします。 files { Include “C:\\test\\abc.txt” } また、C:\test\ にあるすべてのテキスト ファイルを監視する、次の規則もあるとします。 files { Include “C:\\test\\*.txt” } 175 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 規則の構造 より限定的な規則に dependencies のセクションを追加し、限定的な規則が呼び出さ れた場合は、基本的に一般的な規則は呼び出さないように指定します。 files { Include “C:\\test\\abc.txt” } dependencies -c -d “the general rule” セクションでの値の変数 指定可能なセクションでは、ワイルドカード、メタシンボル、および定義済み変数を 値として使用できます。 ワイルドカードの使用 環境変数の使用 定義済み変数の使用 ワイルドカードの使用 一部のセクションの値には、ワイルドカードを使用できます。 文字 表すもの ? (疑問符) 1 つの文字。 * (アスタリスク) 複数の文字。 user_name { Include “*” } & (アンパサンド) / と \ を除く複数の文字。サブフォルダではなく、フォル ダのルート レベルの内容と一致させるために使用します。 files { Include “C:\\test\\&.txt” } ! (感嘆符) ワイルドカードのエスケープ。 files { Include “C:\\test\\yahoo!!.txt” } 環境変数の使用 環境変数(1 つのパラメータ(変数名)を使用する iEnv コマンド)は、Windows の ファイルおよびディレクトリのパス名を指定する省略表現として使用します。 環境変数 表すもの iEnv SystemRoot C:\winnt\ を表します。C は Windows システム フォルダを格納してい るドライブです。 例: files {Include “[iEnv SystemRoot]\\system32\\abc.txt” } iEnv SystemDrive C:\ を表します。C は Windows システム フォルダを格納しているドラ イブです。 例: files {Include “[iEnv System Root]\\system32\\abc.txt”} 176 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 規則の構造 定義済み変数の使用 Host Intrusion Prevention には、規則記述用の定義済みの変数が用意されています。 「$」で始まるこれらの変数を、以下のリストに示します。 Windows IIS Web サーバ 変数 意味 IIS_BinDir inetinfo.exe があるディレクトリ IIS_Computer IIS が実行されているコンピュータの名前 IIS_Envelope IIS がアクセスを許可されているすべてのファイルを含むエンベロープ IIS_Exe_Dirs ファイルの実行を可能にする、システム ルートと IIS ルートを含む仮想 ディレクトリ IIS_Ftp_Dir FTP サイトのルート ディレクトリ IIS_FTP_USR ローカルの FTP 匿名ユーザ アカウント名 IIS_FtpLogDir FTP ログ ファイルのディレクトリ IIS_IUSR ローカルの Web 匿名ユーザ アカウント名 IIS_IUSRD ドメインの Web 匿名ユーザ アカウント名 IIS_IWAM IIS Web アプリケーション管理者のユーザ アカウント名 IIS_LogFileDir Web ログ ファイルのディレクトリ IIS_LVirt_Root すべての IIS 仮想ディレクトリ IIS_Processes IIS リソースに対するアクセス権を持つプロセス IIS_Services IIS の正しい動作に必要なすべてのサービス MS SQL データベース サーバ MSSQL_Allowed_Access_Paths アクセス可能な \WINNT や \WINNT\System32 のようなディレクトリ MSSQL_Allowed_Execution_Paths 実行可能な \WINNT や \WINNT\System32 の ようなディレクトリ MSSQL_Allowed_Modification_Paths 変更可能な \WINNT\Temp のようなディレク トリ MSSQL_Auxiliary_Services システムで検出された補助的な MS SQL サー ビス MSSQL_Core_Services システムで検出された MS SQL コア サービス MSSQL_Data_Paths MS SQL に関連付けられており、 MSSQL_DataRoot_Path ディレクトリの外に置 かれている可能性がある他のすべてのデータ ファイル MSSQL_DataRoot_Paths 各インスタンスでの MS SQL データ ファイル へのパス MSSQL_Instances インストールされている各 MS SQL インスタン スの名前 MSSQL_Registry_Paths MS SQL に関連付けられているすべてのレジス トリの場所 177 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ Solaris Apache および iPlanet 変数 意味 UAPACHE_Bins Apache バイナリへのパス UAPACHE_CgiRoots CGI ルートへのパス UAPACHE_ConfDirs Apache 設定ファイルを含むディレクトリ UAPACHE_DocRoots ドキュメント ルートへのパス UAPACHE_Logs Apache ログ ファイル UAPACHE_Logs_dir ログ ファイルのディレクトリ UAPACHE_Roots Apache Web ルート UAPACHE_Users Apache の実行ユーザ UAPACHE_VcgiRoots 仮想サーバの CGI ルートへのパス UAPACHE_VdocRoots 仮想ドキュメント ルート UAPACHE_Vlogs 仮想サーバのログ ファイル UAPACHE_Vlogs_dir 仮想サーバのログ ファイル用のディレクトリ UIPLANET_BinDirs iPlanet バイナリへのパス UIPLANET_CgiDirs CGI ディレクトリへのパス UIPLANET_DocDirs ドキュメント ディレクトリへのパス UIPLANET_Process iPlanet ns-httpd バイナリへのパス UIPLANET_Roots iPlanet ルートへのパス Windows のカスタム シグニチャ このトピックでは、Windows のカスタム シグニチャを記述する方法について説明し ます。 íç Windows の Files クラスの規則では二重の円記号を、Solaris の UNIX_File クラスの規 則では一重の円記号を使用します。 Class セクションの値は、セキュリティの問題の性質と、規則で提供できる保護によっ て異なります。Windows の場合、次の値を使用できます。 クラス 用途 Files ファイルまたはディレクトリの操作用。詳細については、179 ページの 「Files クラス」を参照してください。 Isapi IIS に対する要求の監視用。詳細については、182 ページの「Isapi クラ ス」を参照してください。 Registry Services レジストリ キーとその値の操作用。詳細については、185 ページの 「Registry クラス」を参照してください。 サービスの操作用。詳細については、187 ページの「Services クラス」 を参照してください。 178 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ Files クラス 次の表に、Files クラスで使用できるセクションのリストを示します。 セクション 値 Class Files 説明 Id 4000 - 7999 level 0, 1, 2, 3, 4 time * user-name システム アカウントのユーザ application パスとアプリケーション名 files 操作に必要なファイルまたは フォルダ 解説 1 と解説 2 を参照してくだ さい。 dest_file 操作にソース ファイルと出力 先ファイルが必要な場合の対 象ファイル このセクションはオプションで す。解説 1 と解説 2 を参照して ください。 directives -c -d files:create ファイル ディレクトリを作成す るか、ディレクトリ内にファイ ルを移動します。 files:read ファイルを読み取りモードで開 きます。 files:write ファイルを書き込みモードで開 きます。 files:execute ファイルを実行します( 「ディレ クトリを実行する」とは、その ディレクトリが現在のディレク トリになることを意味します)。 files:delete ディレクトリからファイルを削 除するか、別のディレクトリに ファイルを移動します。 files:rename 同じディレクトリ内の名前を変 更します。解説 2 を参照してく ださい。 files:attribute ファイルの属性を変更します。 監視される属性は「読み取り専 用」、「非表示」、「アーカイブ」、 および「システム」です。 Windows 2000 専用の属性であ る「インデックス」、「圧縮」、 および「暗号化」は監視されま せん。 解説 1 files セクションが使用されている場合、監視対象のフォルダまたはファイルへのパス は、完全なパスまたはワイルドカードのどちらかで指定できます。たとえば、以下は 有効なパスの表現です。 files { Include “C:\\test\\abc.txt” } files { Include “*\\test\\abc.txt” } files { Include “*\\abc.txt” } 179 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ dest_file セクションが使用されている場合、絶対パスは使用できず、パスの先頭にワ イルドカードを記述し、ドライブを表す必要があります。たとえば、以下は有効なパ スの表現です。 dest_file { Include “*\\test\\abc.txt” } dest_file { Include “*\\abc.txt” } 解説 2 ディレクティブの files:rename は、files セクションおよび dest_file セクションと組み 合わせて使用する場合は異なる意味になります。 files セクションと組み合わせた場合、files セクションで指定したファイルの名前 の変更が監視されることを意味します。たとえば次の規則では、C:\test\abc.txt ファイルのファイル名変更が監視されます。 Rule { Class Files Id 4001 level 1 files { Include “C:\\test\\abc.txt” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d files:rename } dest_file セクションと組み合わせた場合、どのファイルも、dest_file セクションで 指定したファイルの名前に変更できないことを意味します。たとえば次の規則で は、ファイル名 C:\test\abc.txt への変更が監視されます。 Rule { Class Files Id 4001 level 1 dest_file { Include “*\\test\\abc.txt” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d files:rename } íç files セクションは、dest_file セクションが使用される場合は必須ではありません。 files セクションを使用する場合は、files セクションと dest_file セクションの両方が 一致する必要があります。 180 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ 詳細 Files クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部また はすべてが表示されます。これらのパラメータの値は、シグニチャが呼び出された理 由を理解するために役立ちます。 GUI での名前 説明 files アクセスされたファイルの名前。 dest file ファイル名を変更する場合のみ適用可能:変更後のファイルの新 しい名前です。 次の規則は、任意のユーザまたはプロセスによって C:\test\ フォルダ内に「abc.txt」 が作成されないようにします。 Rule { Class Files Id 4001 level 4 files { Include “C:\\test\\abc.txt” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d files:create } この規則の各セクションの意味は次のとおりです。 Class Files:この規則がファイル操作のクラスに関連することを示します。 Id 4001:この規則に ID 4001 を割り当てます。カスタム シグニチャに複数の規則 が存在する場合は、それらの規則は例外なく同じ ID を使用する必要があります。 level 4:この規則に「高」のセキュリティ レベルを割り当てます。カスタム シグ ニチャに複数の規則が存在する場合は、それらの規則が例外なく同じレベルを使用 する必要があります。 files { Include “C:\\test\\abc.txt” }:この規則が、C:\test\abc.txt という特定のファ イルおよびパスに適用されることを示します。規則を複数のファイルに適用する場 合、そ れ ら の フ ァ イ ル は 別 の 行 で こ の セ ク シ ョ ン に 追 加 し ま す。た と え ば、 C:\test\abc.txt ファイルと C:\test\xyz.txt ファイルを監視する場合は、セクション を files { Include “C:\\test\\abc.txt” “C:\\test\\xyz.txt”} のように変更します。 time { Include “*” }:このセクションは現在使用されていませんが、このように規 則に含める必要があります。 application { Include “*”}:この規則が、すべてのプロセスに対して有効であること を示します。規則の適用範囲を特定のプロセスに制限する場合は、ここですべての パス名を完全に指定します。 user_name { Include “*”}:この規則がすべてのユーザ(より明確に言えばプロセ スが実行されるセキュリティ コンテキスト)に対して有効であることを示します。 規則の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで「ローカ ル/ユーザ」または「ドメイン/ユーザ」の形式で完全に指定します。詳細について は、「必須の共通セクション」の段落を参照してください。 directives -c -d files:create:この規則ではファイルの作成を扱うことを示します。 directives セクションでは常に、-c スイッチと -d スイッチを使用する必要があり ます。 181 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ Isapi クラス 次の表に、Isapi クラスで使用できるセクションのリストを示します。 セクション 値 Class Isapi Id 4000 - 7999 説明 level 0, 1, 2, 3, 4 time * user_name ユーザまたはシステム アカウント application パスとアプリケーション名 url このセクションはオプ ションです。このセク ションは受信要求の url 部分と比較されます。解 説の 1、2、3、および 4 を参照してください。 query このセクションはオプ ションです。このセク ションは受信要求のクエ リ部分と比較されます。 解説の 1、2、3、および 4 を参照してください。 method directives -c -d 「GET」、「POST」、「INDEX」、およびそ の他の許可されている http メソッドのす べて このセクションはオプ ションです。解説 4 を参 照してください。 isapi:request 解説 1 受信 http 要求は、http://www.myserver.com/ {url}?{query} として表すことができます。 このドキュメントでは、{url} のことを http 要求の「url」部分と呼び、{query} のこと を http 要求の「クエリ」部分と呼びます。これにより、 「url」セクションは {url} と比 較され、「query」セクションは {query} と比較されると言い表すことができます。 たとえば次の規則は、IIS が http 要求の http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を受信し た場合に呼び出されます。 Rule { Class Isapi Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d isapi:request } この規則が呼び出されるのは、{url} が /search/abc.exe であることが、 「url」 セクショ ンの値(すなわち abc)と一致するためです。 182 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ 解説 2 比較が行われる前に、要求をエンコードやエスケープ シーケンスでいっぱいにするこ とができないように、 「url」セクションと「query」セクションがデコードされて正規 化されます。 解説 3 「url」セクションと「query」セクションのために最大長の制限を定義できます。これ らのセクションの値に “;number-of-chars” を追加すると、{url} や {query} の文字数 が “number-of-chars” より多い場合のみ、規則を一致させることができます。たとえ ば次の規則は、要求の url 部分に、「abc」が含まれていて 500 を超える文字がある場 合にのみ一致します。 Rule { Class Isapi Id 4001 level 1 url { Include “*abc*;500” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d isapi:request} } 解説 4 1 つの規則には、オプションのセクションである url、query、および method のうち、 少なくとも 1 つを含める必要があります。 詳細 Isapi クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部また はすべてが表示されます。これらのパラメータの値は、シグニチャが呼び出された理 由を理解するために役立ちます。 GUI での名前 説明 url 受信 HTTP 要求の、デコードと正規化が行われた場所の部分(? の 前の部分)。 query 受信 HTTP 要求の、デコードと正規化が行われたクエリ部分(最初 の ? の後にある部分)。 web server type 使用される Web サーバ アプリケーションの種類とバージョン。 method 受信 HTTP 要求のメソッド(Get、Put、Post、Query など) 。 local file 要求によって取得されたファイル、または取得が試みられたファイ ルの物理名。IIS でデコードされ、正規化されます。 raw url 受信 HTTP 要求の「未処理」 (デコードと正規化が行われていない) の要求行。要求行は、 「<メソッド> <場所[?クエリ]> <http バージョ ン> CRLF」の形式です。 user 要求を発行しているクライアントのユーザ名。この情報は、要求が 認証される場合のみ提供されます。 source HTTP 要求送信元のコンピュータのクライアント名または IP アド レス。 183 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ GUI での名前 説明 server イベントが作成された Web サーバ(クライアントがインストール されているコンピュータ)に関する、<ホスト名>:<IP アドレス>:< ポート> という形式での情報。このホスト名は、HTTP ヘッダのホ スト変数です。情報がない場合は空白のままになります。 content len クエリのメッセージ部分の本文に含まれるバイト数。 次の規則では、http 要求のクエリ部分に「subject」が含まれる要求は、Web サーバ に送信されなくなります。 Rule { Class Isapi Id 4001 level 4 query { Include “*subject*” } method { Include “GET” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d isapi:request } たとえば、http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean という GET 要求は、この規則によっ て中止されます。 この規則の各セクションの意味は次のとおりです。 Class Isapi:この規則が Isapi 操作のクラスに関連することを示します。 Id 4001:この規則に ID 4001 を割り当てます。カスタム シグニチャに複数の規則 が存在する場合は、それらの規則は例外なく同じ ID を使用する必要があります。 level 4:この規則に「高」のセキュリティ レベルを割り当てます。カスタム シグ ニチャに複数の規則が存在する場合は、それらの規則が例外なく同じレベルを使用 する必要があります。 query { Include “*subject*” }:この規則は、http 要求のクエリ部分に「subject」と いう文字列が含まれるすべての (GET) 要求に一致することを示します。規則を複数 のクエリ部分ファイルに適用する場合、それらは別の行でこのセクションに追加し ます。 method { Include “GET” }:この規則は GET 要求のみに一致することを示します。 time { Include “*” }:このセクションは現在使用されていませんが、このように規 則に含める必要があります。 application { Include “*”}:この規則が、すべてのプロセスに対して有効であること を示します。規則の適用範囲を特定のプロセスに制限する場合は、ここですべての パス名を完全に指定します。 184 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ user_name { Include “*” }:この規則がすべてのユーザ(より明確に言えばプロセ スが実行されるセキュリティ コンテキスト)に対して有効であることを示します。 規則の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで「ローカ ル/ユーザ」または「ドメイン/ユーザ」の形式で完全に指定します。詳細について は、「必須の共通セクション」の段落を参照してください。 directives -c -d isapi:request:この規則では http 要求を扱うことを示します。 directives セクションでは常に、-c スイッチと -d スイッチを使用する必要があります。 Registry クラス 次の表に、Registry クラスで使用できるセクションのリストを示します。 セクション 値 Class Registry 説明 Id 4000 - 7999 level 0, 1, 2, 3, 4 time * user_name ユーザまたはシステム アカ ウント application パスとアプリケーション名 keys or values レジストリ キーまたは値 解説 1 を参照してください。 old data 値の以前のデータ このセクションはオプションです。<ディ レクティブ>の modify 専用です。解説 2 を参照してください。 new data 値の新しいデータ このセクションはオプションです。<ディ レクティブ>の modify または create 専 用です。解説 2 を参照してください。 directives -c -d registry:delete レジストリのキーまたは値を削除します。 registry:modify レジストリ値の内容、またはレジストリ キーの情報を変更します。 registry:permissions レジストリ キーのアクセス許可を変更し ます。 registry:read レジストリ キーの情報(サブ キーの数な ど)を取得するか、レジストリ値の内容 を取得します。 registry:enumerate レジストリ キーを列挙します。つまり、 すべてのキーのサブ キーと値のリストを 取得します。 解説 1 HKEY_LOCAL_MACHINE は \REGISTRY\MACHINE\ で置き換えられるレジストリ パスで、CurrentControlSet は ControlSet で置き換えられます。たとえば、レジスト リ キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa の下にあ るレジストリ値「abc」は、 \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc として表されます。 解説 2 old data セクションと new data セクションのデータは 16 進数にする必要がありま す。たとえば、レジストリ値 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc のデータ 'def' は、old_data { Include “%64%65%66”} と表現する必要があります。 185 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ 詳細 Registry クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部ま たはすべてが表示されます。これらのパラメータの値は、シグニチャが呼び出された 理由を理解するために役立ちます。 GUI での名前 説明 レジストリ キー パス名を含む、影響を受けるレジストリ キーの名前。プレ フィックス \REGIS-TRY\MACHINE\ は HKEY_LOCAL_MACHINE\ を表し、 \REGISTRY\CURRENT_USER\ は \HKEY_USER\ を表し ます。 レジストリ値 完全なキーの名前と連結されたレジストリ値の名前。 old data New Data old data type new data type レジストリ値を変更する場合のみ適用可能:変更される前、 または変更が試みられる前にレジストリ値に格納されてい ていたデータ。レジストリ値を変更する場合のみ適用可能: 変更後にレジストリ値に格納されていたデータ、または変更 が完了した場合にレジストリ値に格納されていたはずの データ。レジストリ値を変更する場合のみ適用可能:変更さ れる前、または変更が試みられる前にレジストリ値に格納さ れていていたデータ型。レジストリ値を変更する場合のみ適 用可能:変更後にレジストリ値に格納されていたデータ型、 または変更が完了した場合にレジストリ値に格納されてい たはずのデータ型。 例 次の規則では、すべてのユーザおよびプロセスが、レジストリ キー “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” の下にあるレ ジストリ値「abc」を削除できなくなります。 Rule { Class Registry Id 4001 level 4 values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d registry:delete } この規則の各セクションの意味は次のとおりです。 Class Registry:この規則が IIS に送信される要求に関連することを示します。 Id 4001:この規則に ID 4001 を割り当てます。カスタム シグニチャに複数の規則 が存在する場合は、それらの規則は例外なく同じ ID を使用する必要があります。 level 4:この規則に「高」のセキュリティ レベルを割り当てます。カスタム シグ ニチャに複数の規則が存在する場合は、それらの規則が例外なく同じレベルを使用 する必要があります。 186 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } : レジストリ キー “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” の下にあ るレジストリ値 abc を監視する規則を示します。規則を複数の値に適用する場合、 それらの値は別の行でこのセクションに追加します。 time { Include “*” }:このセクションは現在使用されていませんが、このように規 則に含める必要があります。 application { Include “*”}:この規則が、すべてのプロセスに対して有効であること を示します。規則の適用範囲を特定のプロセスに制限する場合は、ここですべての パス名を完全に指定します。 user_name { Include “*” }:この規則がすべてのユーザ(より明確に言えばプロセ スが実行されるセキュリティ コンテキスト)に対して有効であることを示します。 規則の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで「ローカ ル/ユーザ」または「ドメイン/ユーザ」の形式で完全に指定します。詳細について は、「必須の共通セクション」の段落を参照してください。 directives -c -d registry:delete:この規則では、レジストリ キーまたはレジストリ 値の削除を扱うことを指定します。directives セクションでは常に、-c スイッチと -d スイッチを使用する必要があります。 Services クラス 次の表に、Services クラスで使用できるセクションのリストを示します。 セクション 値 Class Services 説明 Id 4000 - 7999 level 0, 1, 2, 3, 4 time * user_name ユーザまたはシステム アカウント application パスとアプリケーショ ン名 services インスタンスを作成す 「services」セクションまたは る 操 作 の 主 体 で あ る 「display_names」セクションのどちらかを使 サービスの名前 用する必要があります。サービスの名前は、 HKLM\SYSTEM\CurrentControlSet\Services \ の下のレジストリに記載されています。解 説 1 を参照してください。 display_names サービスの表示名 コントロール パネルの [サービス] には、この 名前が表示されます。解説 1 を参照してくだ さい。 directives -c -d services:delete サービスを削除します。 services:create サービスを作成します。 services:start サービスに開始コマンドを発行します。 services:stop サービスに停止コマンドを発行します。 services:pause サービスに一時停止コマンドを発行します。 services:continue サービスに続行コマンドを発行します。 services:startup サービスのスタートアップ モードを変更し ます。 187 A McAfee® Host Intrusion Prevention 6.1 製品ガイド セクション カスタム シグニチャの記述 Windows のカスタム シグニチャ 値 説明 services:profile_enable ハードウェア プロファイルを有効にします。 services:profile_disable ハードウェア プロファイルを無効にします。 services:logon サービスのログオン情報を変更します。 解説 1 service セクションには、 HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ の下にある、対応 するレジストリ キーのサービスの名前を含める必要があります。 display_names セクションには、サービスの名前を含める必要があります。これは、 コントロール パネルの [サービス] に表示される名前で、レジストリ値 HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service> \DisplayName に記載されています。 詳細 Services クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部ま たはすべてが表示されます。これらのパラメータの値は、シグニチャが呼び出された 理由を理解するために役立ちます。 GUI での名前 説明 display names コントロール パネルの [ サービ ス ] に表示される Windows サー ビスの名前。 表示される可能性がある値 services Windows サービスのシステム名 (HKLM\CurrentControlSet\Ser vices\ に示されます) 。この名前 は、コントロール パネルの [サー ビス ] に表示される名前とは異 なる場合があります。 params サービスを開始する場合のみ 適用可能:アクティブにすると きにサービスに渡すパラメー タです。 old startup サービスのスタートアップ モー Boot(ブート)、System(システム)、 ドを作成または変更する場合 Automatic(自動)、Manual(手動)、 のみ適用可能:変更される前、 Disabled(無効) または変更が試みられる前の スタートアップ モードを示し ます。 new startup サービスのスタートアップ モー ドを変更する場合のみ適用可 能:変更後のサービスのスター トアップ モード、または変更 が完了した場合のサービスの スタートアップ モードを示し ます。 logon サービスのログオン モードを 変 更 す る 場 合 の み 適 用 可 能: サービスによって使用されるロ グ オ ン 情 報(シ ス テ ム ま た は ユーザ アカウント)です。 188 Boot(ブート)、System(システム)、 Automatic(自動)、Manual(手動)、 Disabled(無効) A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Windows のカスタム シグニチャ 次の規則では、Alerter サービスが非アクティブ化されないようにします。 Rule { Class Services Id 4001 level 4 Service { Include “Alerter” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d service:stop } この規則の各セクションの意味は次のとおりです。 Class Services:この規則がファイル操作のクラスに関連することを示します。 Id 4001:この規則に ID 4001 を割り当てます。カスタム シグニチャに複数の規則 が存在する場合は、それらの規則は例外なく同じ ID を使用する必要があります。 level 4:この規則に「高」のセキュリティ レベルを割り当てます。カスタム シグ ニチャに複数の規則が存在する場合は、それらの規則が例外なく同じレベルを使用 する必要があります。 Service { Include “Alerter” }:この規則では、 「Alerter」という名前のサービスを扱 うことを示します。規則を複数のサービスに適用する場合、それらのサービスは別 の行でこのセクションに追加します。 time { Include “*”}:このセクションは現在使用されていませんが、このように規 則に含める必要があります。 application { Include “*”}:この規則が、すべてのプロセスに対して有効であること を示します。規則の適用範囲を特定のプロセスに制限する場合は、ここですべての パス名を完全に指定します。 user_name { Include “*” }:この規則がすべてのユーザ(より明確に言えばプロセ スが実行されるセキュリティ コンテキスト)に対して有効であることを示します。 規則の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで「ローカ ル/ユーザ」または「ドメイン/ユーザ」の形式で完全に指定します。詳細について は、「必須の共通セクション」の段落を参照してください。 directives -c -d service:stop:この規則ではサービスの非アクティブ化を扱うことを 示します。directives セクションでは常に、-c スイッチと -d スイッチを使用する必 要があります。 189 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Solaris のカスタム シグニチャ Solaris のカスタム シグニチャ このトピックでは、Solaris のカスタム シグニチャを記述する方法について説明します。 íç Windows の Files クラスの規則では二重の円記号を、Solaris の UNIX_File クラスの規 則では一重の円記号を使用します。 シグニチャのクラスは、セキュリティの問題の性質と、規則で提供できる保護によっ て異なります。次の表に、使用できる Solaris クラスのリストを示します。 クラス 説明 UNIX_file ファイルまたはディレクトリの操作に使用します。詳細につい ては、UNIX_file クラスを参照してください。 UNIX_apache http 操作に使用します。詳細については、192 ページの 「UNIX_apache クラス」を参照してください。 UNIX_file クラス 次の表に、Files クラスで使用できるセクションのリストを示します。 セクション 値 Class UNIX_file Id 4000 - 7999 説明 level 0, 1, 2, 3, 4 time * user_name ユーザまたはシステム アカウン ト application ユーザまたはシステム アカウン ト パスとアプリケーション名 files ソース ファイル 検索するファイル。source セクショ ンを使用する場合はオプションで す。解説 1 を参照してください。 source 対象ファイル名 このセクションはオプションです。 解説 1 を参照してください。 file permission ソース ファイルのアクセス許可 名のリスト このセクションはオプションです。 解説 2 を参照してください。 new permission 新しく作成されたファイルまた は変更された許可の許可モード このセクションはオプションです。 解説 2 を参照してください。 directives unixfile:symlink シンボリック リンクを作成します。 unixfile:link ハード リンクを作成します。解説 3 を参照してください。 unixfile:read ファイルを読み取りモードで開き ます。 unixfile:write ファイルを書き込みモードで開き ます。 unixfile:unlink ディレクトリからフィアルを削除 します。または、ディレクトリを削 除します。 unixfile:rename ファイルの名前を変更します。解説 4 を参照してください。 190 A McAfee® Host Intrusion Prevention 6.1 製品ガイド セクション カスタム シグニチャの記述 Solaris のカスタム シグニチャ 値 説明 unixfile:chmod ディレクトリまたはファイルのア クセス許可を変更します。 unixfile:chown ディレクトリまたはファイルの所 有権を変更します。 unixfile:create ファイルを作成します。 unixfile:mkdir ディレクトリを作成します。 unixfile:rmdir ディレクトリを削除します。 unixfile:chdir 作業ディレクトリを変更します。 解説 1 各セクションに関連するディレクティブ (X) ディレクティブ file source file permission new permission symlink X X - X read X - - - write X - - - unlink X - - - rename X X - - chmod X - X X chown X - - - create X - X X mkdir X - - - rmdir X - - - chdir X - - - 解説 2 file permissions セクションと new permissions セクションの値は、アクセス制御リス ト (ACL) に対応しています。これらのセクションでは「SUID」または「SGID」の値 のみ使用できます。 解説 3 ディレクティブの Unixfile:link は、files セクションおよび source セクションと組み合 わせて使用する場合は異なる意味になります。 files セクションと組み合わせた場合、files セクションで指定したファイルへのリン クの作成が監視されることを意味します。 source セクションと組み合わせた場合、どのリンクも、source セクションで指定 した名前を使用して作成できないことを意味します。 解説 4 ディレクティブの Unixfile:rename は、files セクションおよび source セクションと組 み合わせて使用する場合は異なる意味になります。 files セクションと組み合わせた場合、files セクションで指定したファイルの名前 の変更が監視されることを意味します。 source セクションと組み合わせた場合、どのファイルも、source セクションで指 定したファイルの名前に変更できないことを意味します。 191 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Solaris のカスタム シグニチャ 詳細 UNIX_Files クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一 部またはすべてが表示されます。これらのパラメータの値は、シグニチャが呼び出さ れた理由を理解するために役立ちます。 GUI での名前 説明 files アクセスされた、またはアクセスが試みられたファイルの 名前。 source ファイル間でシンボリック リンクを作成する操作の場合の み適用可能:ネットワーク リンクの名前。ファイルの名前を 変更する操作の場合のみ適用可能:ファイルの新しい名前。 file permission ファイルのアクセス許可。 source permission ファイル間でシンボリック リンクを作成する操作の場合の み適用可能:対象ファイル(リンク先ファイル)のアクセス 許可。 new permission 新しいファイルを作成する場合、または chmod 操作を実行 する場合のみ適用可能:新しいファイルのアクセス許可。 UNIX_apache クラス 次の表に、Unix_apache クラスで使用できるセクションのリストを示します。このク ラスは、Apache、iPlanet および Netscape Enterprise Web サーバで使用できます。 セクション 値 Class UNIX_apache 説明 Id 4000 - 7999 level 0, 1, 2, 3, 4 time * user_name ユーザまたはシステ ム アカウント application パスとアプリケー ション名 url このセクションはオプションです。このセクション は受信要求の url 部分と比較されます。解説の 1、 2、3、および 4 を参照してください。 query このセクションはオプションです。このセクション は受信要求のクエリ部分と比較されます。解説の 1、2、3、および 4 を参照してください。 method directives -c -d 「GET」、 「POST」、 「INDEX」 、およびそ の他の http メソッド このセクションはオプションです。解説 4 を参照 してください。 apache:request 解説 1 受信 http 要求は、http://www.myserver.com/ {url}?{query} として表すことができ ます。このドキュメントでは、{url} のことを http 要求の「url」; 部分と呼び、{query} のことを http 要求の「クエリ」部分と呼びます。これにより、 「url」セクションは {url} と比較され、 「query」セクションは {query} と比較されると言い表すことができます。 192 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Solaris のカスタム シグニチャ たとえば次の規則は、IIS が http 要求の http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を受信 した場合に呼び出されます。 Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d apache:request } この規則が呼び出されるのは、{url} が /search/abc.exe であることが、 「url」セクショ ンの値(すなわち abc)と一致するためです。 解説 2 比較が行われる前に、要求をエンコードやエスケープ シーケンスでいっぱいにするこ とができないように、 「url」セクションと「query」セクションがデコードされて正規 化されます。 解説 3 「url」セクションと「query」セクションのために最大長の制限を定義できます。これ らのセクションの値に “;number-of-chars” を追加すると、{url} や {query} の文字数 が “number-of-chars” より多い場合のみ、規則を一致させることができます。たとえ ば次の規則は、要求の url 部分に、「abc」が含まれていて 500 を超える文字がある場 合にのみ一致します。 Rule { Class UNIX_Apache Id 4001 level 1 url { Include “*abc*;500” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives -c -d apache:request} } 解説 4 1 つの規則には、オプションのセクションである url、query、および method のうち、 少なくとも 1 つを含める必要があります。 193 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 Linux のカスタム シグニチャ Linux のカスタム シグニチャ このトピックでは、Linux のカスタム シグニチャを記述する方法について説明します。 シグニチャのクラスは、セキュリティの問題の性質と、規則で提供できる保護によっ て異なります。次の表に、使用できる Linux クラスのリストを示します。 クラス 説明 UNIX_file ファイルまたはディレクトリの操作に使用します。UNIX_file クラスを参照してください。 UNIX_file クラス 次の表に、Files クラスで使用できるセクションのリストを示します。 セクション 値 Class UNIX_file Id 4000 - 7999 level 0, 1, 2, 3, 4 time * 説明 user_name ユーザまたはシステム アカウント application ユーザまたはシステム アカウント パスとアプリケーション名 files ソース ファイル 検索するファイル。source セク ションを使用する場合はオプショ ンです。解説 1 を参照してくだ さい。 directives unixfile:link ハード リンクを作成します。 registry:read ファイルを読み取りモードで開き ます。 unixfile:write ファイルを書き込みモードで開き ます。 unixfile:unlink ディレクトリからファイルを削除 します。または、ディレクトリを 削除します。 unixfile:rename ファイルの名前を変更します。 unixfile:setattr ディレクトリまたはファイルのア クセス許可と所有権を変更します。 unixfile:create ファイルを作成します。 unixfile:mkdir ディレクトリを作成します。 unixfile:rmdir ディレクトリを削除します。 194 A McAfee® Host Intrusion Prevention 6.1 製品ガイド カスタム シグニチャの記述 パラメータおよびディレクティブのサマリ パラメータおよびディレクティブのサマリ 以下の表に、パラメータとディレクティブを種類別に示します。 種類別パラメータ リスト 種類 パラメータ ファイル、Windows プ ラットフォーム Application、Destination File、Files、User Name HTTP、Windows プ ラットフォーム Application、Method、Query、URL、User Name ファイル、Solaris およ び Linux プラット フォーム Application、Source、Files、User Name レジストリ Application、Registry Key、User Name、Registry Value サービス Application、Display Name、Service、User Name Apache、Solaris プ ラットフォーム Application、URL、Query、Method、User Name 種類別ディレクティブ リスト 種類 ディレクティブ ファイル、Windows プ ラットフォーム create、read、write、execute、delete、rename、attribute HTTP、Windows プ ラットフォーム request ファイル、Solaris プ ラットフォーム create、symlink、link、chown、chmod、write、rmdir、chdir、read、 unlink、mkdir、rename ファイル、Linux プラッ トフォーム create、link、setattr、write、rmdir、read、unlink、mkdir、rename レジストリ create、read、delete、modify、permissions、enumerate、monitor、 restore、replace、load サービス start、stop、pause、continue、startup、profile_enable、 profile_disable、logon、create、delete Apache、Solaris プラッ トフォーム request 195 A 用語集 ASCI 「エージェント/サーバ間通信」を参照してください。 Back Orifice インターネット リンクを経由して、コンピュータに対する好ましくないアクセスや、コンピュータの制御 を提供することができるリモート管理ツール。Windows 95、Windows 98、および Windows NT で動作し ます。 DAT ファイル 検出定義ファイル。シグニチャ ファイルと呼ばれることもあります。 「EXTRA.DAT ファイル」、「差分 DAT ファイル」、および「SuperDAT」も参照してください。 DoS 攻撃 コンピュータ、サーバ、またはネットワークに対する攻撃、すなわち進入の手段。正当な接続要求に応答す る機能を中断させます。DoS 攻撃によって、攻撃対象はにせの接続要求で圧倒されるため、攻撃対象では正 当な要求が無視されます。 ePolicy Orchestrator エージェント 管 理 対 象 の コン ピ ュ ー タ でバ ッ ク グ ラ ウン ド タ ス ク を 実 行す る ア プ リ ケー シ ョ ン。ま た、ePolicy Orchestrator サーバと、それらのコンピュータ上のウィルス対策およびセキュリティ製品との間ですべての 要求を調停し、実行したタスクのステータスを示すレポートをサーバに返します。 ePolicy Orchestrator コンソール 管理対象のコンピュータをリモートから制御および監視するために使用される、ePolicy Orchestrator ソフト ウェアのユーザ インターフェイス。 「ePolicy Orchestrator リモート コンソール」も参照してください。 ePolicy Orchestrator サーバ ePolicy Orchestrator ソフトウェアのバックエンド コンポーネント。 「ePolicy Orchestrator エージェント」と「ePolicy Orchestrator コンソール」も参照してください。 ePolicy Orchestrator データベース ePolicy Orchestrator サーバが ePolicy Orchestrator エージェントから受信したすべてのデータと、サーバ自 体で行われたすべての設定を格納するデータベース。 「ePolicy Orchestrator データベース サーバ」も参照してください。 ePolicy Orchestrator データベース サーバ ePolicy Orchestrator データベースをホストするコンピュータ。ePolicy Orchestrator サーバがインストール されているのと同じコンピュータである場合も、別個のコンピュータの場合もあります。 ePolicy Orchestrator リモート コンソール ePolicy Orchestrator サーバとは別のコンピュータにインストールされた場合の ePolicy Orchestrator のユー ザ インターフェイス。 「ePolicy Orchestrator コンソール」も参照してください。 196 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 EXTRA.DAT ファイル 緊急用ウィルス定義ファイル。新しいウィルスや既存のウィルスの新しい亜種の発生に対応して作成され ます。 「DAT ファイル」、「差分 DAT ファイル」、および「SuperDAT」も参照してください。 FRAMEPKG.EXE 「エージェント インストール パッケージ」を参照してください。 Host Intrusion Prevention (HIP) クライアント ネットワーク内の各ホスト システムにインストールされる Host Intrusion Prevention モジュール。クライア ントは、コンピュータのオペレーティング システムおよびアプリケーションを囲む保護層として機能し、疑 わしいセキュリティ違反や悪意のある攻撃を識別し、それらを防止します。 HotFix リリース(現在はパッチ リリース) 特定の問題を修正する、製品の中間リリース。 .NAP ファイル ePolicy Orchestrator で管理するために、ソフトウェア リポジトリにインストールされた McAfee ソフトウェ ア アプリケーション ファイルを示すために使用されるファイル拡張子。 Ping of Death 対象に大量の ICMP パケットを送信することによってサービス拒否を発生させるために使用される、ハッキ ング テクニックの 1 つ。対象がパケットを組み立て直そうとするときに、パケットのサイズによってバッ ファをオーバフローさせ、対象に再起動やハングを生じさせることができます。 ping 攻撃 ping コマンドでネットワークを圧倒する方法。 Smurf 攻撃 ICMP Echo (ping) 要求に対する応答で対象をあふれさせるサービス拒否攻撃の 1 つ。Smurf 攻撃では、イ ンターネット ブロードキャスト アドレスに ping 要求が送信され、そのアドレスからサブネット上に存在 する最大で 255 のホストに、ping 要求が転送されます。ping 要求の返信用アドレスは、攻撃対象のアドレ スに偽装されます。ping 要求を受信したすべてのホストは攻撃対象に応答するので、攻撃対象は応答があ ふれる状態になります。 SYN フラッド サービス拒否を発生させるために使用される、ハッキング テクニックの 1 つ。SYN パケットは、なりすま された IP アドレスを持つクライアントから、ホスト上の TCP スタックで処理可能な速度より速く送信され ます。クライアント アドレスがなりすまされているときには、クライアントは SYN-ACK を送信しませんが、 ホストを SYN パケットでいっぱいにし続けて、ホストのリソースを占有しようと試みます。 アクティブでないエージェント 指定された時間内に ePolicy Orchestrator サーバとの通信を行っていないエージェント。 アップデート 既存の製品にアップデートをインストールするプロセス、または新しいバージョンの製品にアップグレード するプロセス。 アップデート パッケージ 製品に対するアップデートが提供される McAfee からのパッケージ ファイル。製品のバイナリ(セットアッ プ)ファイル以外、すべてのパッケージは製品のアップデートだと考えられます。 アプリケーション ブロック 特定のアプリケーションを許可またはブロックする機能。アプリケーション作成およびアプリケーション フックという 2 種類のアプリケーション ブロックを使用できます。 アラート 「イベント」も参照してください。 197 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 一時保管グループ ディレクトリ内での適切な場所が特定できないコンピュータを、一時的に格納するために使用されるグ ループ。 イベント シグニチャで定義されたとおりのセキュリティ違反が発生したときに呼び出されるアラート。選択したホス トで発生したすべてのイベントは、IPS イベントのリストに表示されます。 「シグニチャ」も参照してください。 エージェント ホスト 「クライアント コンピュータ」を参照してください。 エージェント / サーバ間通信 ePolicy Orchestrator エージェントと ePolicy Orchestrator サーバの間で発生するすべての通信。 その通信でエー ジェントとサーバがデータを交換します。通常は、エージェントがサーバとの通信をすべて開始します。 エージェント / サーバ間通信間隔 (ASCI) 定義済みのエージェント/サーバ間通信の時間間隔。 エージェント起動コール エージェント/サーバ間通信をサーバ側から開始する機能。 「SuperAgent 起動コール」も参照してください。 エラー報告ユーティリティ システム上の McAfee ソフトウェア内で障害を追跡し、ログに記録するために特に設計されたユーティリ ティ。取得された情報は、問題を解析するために使用できます。 学習モード ユーザによってアクションを許可するかブロックするかを指定されてから規則が学習されて追加される Host Intrusion Prevention の保護設定。このモードは、ファイアウォールおよびアプリケーション ブロック の機能に適用されます。 カスタム アップデート クライアント コンピュータが分散ソフトウェア リポジトリから取得するアップデートのバージョンを指定 する機能。 「ブランチ」も参照してください。 カスタム エージェント インストール パッケージ 現在ログオンしているユーザではなく、ユーザが指定したユーザ資格情報を使用してインストールを実行す るエージェント インストール パッケージ。 カテゴリ ポリシーの割り当て対象にできる、Host Intrusion Prevention 機能の区分の 1 つ。たとえば、IPS 機能には、 IPS オプション、IPS 保護、および IPS 規則の各カテゴリがあります。 管理対象製品 ePolicy Orchestrator から管理される Host Intrustion Prevention のようなセキュリティ製品。 機能 製品を機能上分割したもの。Host Intrusion Prevention には、IPS、ファイアウォール、アプリケーション ブ ロック、および全般の機能が含まれます。 キャンプアウト システムに侵入してから、システムを監視する、情報を格納する、または後でシステムに再侵入するための 安全な場所を見つけるハッキング テクニックの 1 つ。 強制インストール、強制アンインストール 「製品配布クライアント タスク」を参照してください。 198 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 共通フレームワーク 異なる McAfee 製品で、共通のコンポーネントおよびコードを共有できるようにするアーキテクチャ。共有さ れるものには、スケジューラ、自動アップデート、および ePolicy Orchestrator エージェントがあります。 クライアント コンピュータ ePolicy Orchestrator エージェントと Host Intrusion Prevention クライアントがインストールされるコン ピュータ。 クライアント規則 そのままではブロックされる正当な動作を許可するためにクライアントで作成される IPS、ファイアウォー ル、またはアプリケーション ブロック規則。クライアント規則は、サーバ側のポリシーではありませんが、 他のクライアントに対するアプリケーション用のポリシーに移動できます。 グループ コンソール ツリー内の、管理しやすいように整理された論理的なエンティティの集まり。グループには、他 のグループやコンピュータを含めることができ、IP アドレスの範囲や IP サブネット マスクを割り当てて、 コンピュータを IP アドレスで並び替えることができます。Windows NT ドメインをインポートしてグルー プを作成した場合は、インポートされたドメイン内のすべてのコンピュータに、エージェント インストー ル パッケージを自動的に送信できます。 グローバル アップデート マスター リポジトリにファイルがチェックインされたらすぐに、ユーザの操作なしで製品のアップデート を配布する方法。ファイルは直ちに、すべての SuperAgent およびグローバル分散リポジトリに複製されま す。ePolicy Orchestrator サーバがすべての SuperAgent に起動コールを送信すると、SuperAgent は同じサ ブネットに属するすべてのエージェントにブロードキャストによって起動コールを送信します。そして、す べてのクライアント コンピュータが、アップデートされたファイルを最も近くにあるリポジトリから取得 します。 グローバル ブラックリスト 企業全体の標準として管理者が作成する電子メール アドレスやドメインのリスト。グローバル ブラックリ ストに記載されているアドレスまたはドメインからの電子メール メッセージはすべて、常にスパムとして 処理されます。 「グローバル ホワイトリスト」と比較してください。「ブラックリスト」も参照してください。 グローバル ポリシー 1 つのカテゴリにおける McAfee の既定のポリシー。 グローバル レビューア 読み取り専用アクセス許可を持つユーザ アカウント。インストールされているソフトウェア全体の設定を すべて表示できますが、設定を変更することはできません。 「グローバル管理者」、「サイト管理者」 、および「サイト レビューア」と比較してください。 グローバル /McAfee の既定ポリシー すぐ使える保護が設定されたカテゴリの基本ポリシー設定。 グローバル管理者 読み取り、書き込み、および削除のアクセス許可を持っているユーザ アカウント。すべての操作の権利、特 に、インストールしたソフトウェア全体に影響を与える操作に対する権利も持っています。これらの操作は、 グローバル管理者のみが使用するために予約されています。 「グローバル レビューア」、「サイト管理者」、および「サイト レビューア」と比較してください。 グローバル分散リポジトリ マスター リポジトリの最新の内容を自動的に維持できる分散ソフトウェア リポジトリ。 「複製する、複製」も参照してください。 継承する、継承 階層内でより上位にある項目から、その項目のために定義された設定を適用する行為。 199 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 検疫モード 保護ポリシーをアップデートするためのアクションが実行可能になるまでコンピュータを強制的に分離す ること。 構成設定 「ポリシー」を参照してください。 攻撃 システム セキュリティ違反の試み。攻撃の範囲は、重大度の点で、システム上のデータが許可を受けずに 表示される低レベルから、データの破壊や盗難、またはシステムのシャットダウンが行われる高レベルまで にわたります。 項目 「コンソール ツリー項目」を参照してください。 誤検知 侵入ではなく、害のないプロセスの正当な操作によって発生したイベント。 コンソール ツリー ePolicy Orchestrator コンソールの左側のペインにある [ツリー ] タブの内容。コンソールで使用できる項目 が表示されます。 コンソール ツリー項目 ePolicy Orchestrator コンソールのコンソール ツリー内に表示される個々のアイコン。 コンピュータ コンソール ツリー内の、ePolicy Orchestrator によって管理されるネットワーク上の物理的なコンピュータ。 コンピュータは、ディレクトリ内の既存のサイトやグループの下に追加することができます。 サーバ タスク ソフトウェアのサーバ側で実行することができるタスク。 サービス拒否 (DoS) にせの要求によってコンピュータを圧倒する攻撃方法の 1 つ。コンピュータをクラッシュさせたり、正当な 要求を適切に処理できないようにします。 サイト レビューア 読み取り専用アクセス許可を持つユーザ アカウント。指定されたサイトのソフトウェアの設定をすべて表 示できますが、設定を変更することはできません。 「グローバル管理者」、「グローバル レビューア」、および「サイト管理者」と比較してください。 サイト コンソール ツリー内の、管理しやすいように整理された論理的なエンティティの集まり。サイトには、グ ループまたはコンピュータを含めることができ、IP アドレスの範囲、IP サブネット マスク、場所、部門な どによって整理することができます。 サイト管理者 読み取り、書き込み、および削除のアクセス許可を持っているユーザ アカウント。コンソール ツリーでは、 指定されたサイトと、それに属するすべてのグループおよびコンピュータに対するすべての操作の権利も 持っています(グローバル管理者に限定された権利は除きます)。 「グローバル レビューア」、「グローバル管理者」、および「サイト レビューア」と比較してください。 サイレント インストール インストール方法の 1 つ。ソフトウェア パッケージは対話操作なしでコンピュータにインストールされま す。ユーザは操作を行う必要がありません。 200 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 シグニチャ ホストまたはネットワークに対するセキュリティの脅威と指示を記述した規則のセット。IPS シグニチャは、 ホスト (HIPS)、カスタム (HIPS)、およびネットワーク (NIPS) の 3 種類があり、それぞれに、潜在的な攻撃 の危険性を示す重大度レベルが関連付けられています。 「動作規則」も参照してください。 シグニチャ ファイル 「DAT ファイル」を参照してください。 実施する、実施 定義済みの設定を、定義済みの間隔でクライアント コンピュータに適用する行為。 重大度レベル シグニチャに割り当てられた 4 つのリスクのレベルのいずれか。 情報(青色)- システム設定に対する変更、または重要なシステム コンポーネントに対するアクセスの試 みを指しますが、通常は攻撃を示すものではありません。 低(黄色)- システム設定に対する変更、または重要なシステム コンポーネントに対するアクセスの試みで すが、既知の攻撃としては識別されず、ユーザまたはアプリケーション側での怪しい動作を指しています。 中(オレンジ色)- リスクが低から中である既知の攻撃、またはユーザやアプリケーション側での非常に 怪しい動作を指しています。 高(赤色)- セキュリティに対する深刻な脅威となる攻撃を指しています。 集約ビュー 1 つのエンティティにグループ化された同一の項目のビュー。 詳細情報ペイン ePolicy Orchestrator コンソールの右側のペイン。現在選択されているコンソール ツリーの項目の詳細が表 示されます。 状態 クライアントが実際に機能している様子(現在の状態)、またはサーバとの次の通信の後に機能している様 子(要求された状態)を表すもの。コンソールでは、4 つの異なる状態として、[正常]、[アンインストール 中]、[接続なし]、および [ライセンスなし] が認識されます。 処理 シグニチャで識別されたものを阻止したときのクライアントの対応。[ 無視 ](操作を無視します)、[ ログに 記録](その操作を侵入としてデータベースに記録します)、および [防止](特定の不正な操作が発生しない ようにしてログに記録します)の 3 つの処理が行われる可能性があります。 処理後の全プロパティ エージェント/サーバ間通信中にやりとりされる完全なプロパティのセット。 「差分プロパティ」も参照してください。 信頼できるアプリケーション ある環境内で安全であることが知られており、既知の脆弱性がなく、任意の操作を実行することが許可され たアプリケーション。 ステータス モニタ 「エージェント モニタ」を参照してください。 スヌーピング ネットワークを受動的に観察すること。 製品配布クライアント タスク 現在マスター リポジトリにチェックインされているすべての製品を一度に配布するためにスケジュールさ れたタスク。混雑していない時間帯やポリシー実施間隔の間に、製品のインストールと削除をスケジュール することができます。 201 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 ゼロデイ攻撃 脆弱性が一般に認識されるのと同じ日にセキュリティの脆弱性を利用する攻撃手段。 総当たり攻撃 パスワードや暗号化キーを見つけるために使用されるハッキング方法の 1 つ。コードが解読されるまで、考 えられるすべての文字の組み合わせを試します。 タスク 「クライアント タスク」と「サーバ タスク」を参照してください。 ダウンロード サイト ユーザが製品や DAT のアップデートを取得する McAfee の Web サイト。 「アップデート サイト」も参照してください。 チェックインする、チェックイン ファイルをマスター リポジトリに追加するプロセス。 調整 誤検知の数を減らし、イベントが生成されないようにする目的で、いくつかのプロファイルを識別してそれ らのためのポリシーを作成するプロセス。 ディレクトリ コンソール ツリー内の、ePolicy Orchestrator によって管理されるすべてのコンピュータのリスト。これら のコンピュータを管理するための主なインターフェイスへのリンクです。 適応モード ユーザの操作なしで規則が学習されて自動的に追加される HIP クライアントの保護設定。このモードは、 IPS、ファイアウォール、およびアプリケーション ブロックの規則に適用されます。 動作規則 正当な動作のプロファイルを定義する IPS 規則。動作がプロファイルと一致しないと、イベントが発生し ます。 「シグニチャ」も参照してください。 トロイの木馬 有益な機能や好ましい機能を備えているふりをしていたり、そのような機能があると説明されているが、実 際には損害を与えるペイロードが含まれているアプリケーション。トロイの木馬は複製されないので、技術 的にはウィルスではありません。 なりすまし 自分の場所や身元を隠すために IP アドレスなどを偽造すること。 ネットワーク IPS (NIPS) ネットワークへの攻撃の監視と防止を行うネットワーク保護規則。 ノード 「コンソール ツリー項目」を参照してください。 配布する、配布 集中管理の場所からクライアント コンピュータを配布、インストール、および設定する行為。 ハイリスク アプリケーション アプリケーション保護の規則では、メモリ領域または動的ライブラリにコードが組み込まれることに無防備 で、保護が必要なアプリケーション。 バックドア 許可されていないデータへのアクセスを許可可能なように計画されたアプリケーション内のセキュリティ 違反。 202 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 バッファ オーバフロー攻撃 昇格させた権限を持つ何かのコードを挿入して実行するために、ソフトウェア バッファを過度にいっぱい にする方法。挿入されるコードは多くの場合、さらにコマンドを発行できる場所になるシェルです。 パッケージ カタログ ファイル 各アップデート パッケージについての詳細が記載されているファイル。そのアップデートが対象とする製 品の名前、言語バージョン、インストールの依存関係(存在する場合)などが含まれています。 ファイアウォール コンピュータとネットワーク間の接続でファイアウォール規則に基づいてトラフィックを許可またはブ ロックするフィルタ。ステートフル フィルタ機能では接続の状態が追跡され、ステートフル検査機能では さらにネットワーク スタックでコマンドの追跡が調査されます。両方使用することで、接続に対するより 強力なコントロールおよびセキュリティが実現します。 フォールバック リポジトリ 分散ソフトウェア リポジトリの 1 つの種類。クライアント コンピュータが、定義済みのどの分散リポジト リにもアクセスできない場合に使用されます。通常は、別のソース リポジトリがフォールバック リポジト リとして定義されます。 「複製する、複製」も参照してください。 フル プロパティ エージェント/サーバ間通信中にやりとりすることができるすべてのプロパティ。 「最小プロパティ」も参照してください。 ブランチ 選択したアップデートの異なるバージョンを格納して配布することができるマスター リポジトリ上の場所。 「カスタム アップデート」も参照してください。 ブロックされたホスト そこからの通信をブロックすることが Host Intrusion Prevention によって許可される特定のホスト。Host Intrusion Prevention は、ブロックされたホストから受信したパケットのソースをトレースしようと試みます。 プル ファイルをソース リポジトリまたはフォールバック リポジトリからマスター リポジトリにコピーする動 作。マスター リポジトリにはその他のファイルを手動で追加できるため、ソース リポジトリまたはフォー ルバック リポジトリ上にあるファイルのみが上書きされます。 プロパティ エージェント / サーバ間通信中にやりとりされるデータ。管理対象の各コンピュータに関する情報(ハード ウェアとソフトウェアなど)と、管理対象の製品に関する情報(特定のポリシー設定や製品のバージョン番 号など)が含まれます。 プロファイル アプリケーションの共通の使用方法、ネットワークの場所、またはアクセス権や特権に基づくポリシーのグ ループ分け。 分散ソフトウェア リポジトリ 帯域幅の点で効率的なクライアント コンピュータへのアクセスが提供されるような方法でネットワーク全 体にわたって配置された Web サイトまたはコンピュータの集まり。分散ソフトウェア リポジトリには、サ ポートされる製品とそれらの製品のアップデートをインストールするためにクライアント コンピュータに 必要なファイルが格納されます。 「フォールバック リポジトリ」、 「グローバル分散リポジトリ」、 「ローカル分散リポジトリ」、 「マスター リポ ジトリ」、 「ミラー分散リポジトリ」、「ソース リポジトリ」、および「SuperAgent 分散リポジトリ」も参照 してください。 ホスト IPS (HIPS) ホスト システムのオペレーティング システムとアプリケーションに対する攻撃の監視と防止を行うホスト 保護規則。 203 McAfee® Host Intrusion Prevention 6.1 製品ガイド 用語集 ホスト、ホスト コンピュータ 「クライアント コンピュータ」を参照してください。 ポート スキャン サービスを参加させる攻撃手段を計画する目的で TCP/IP ポートを調べて利用できるサービスを明らかに し、特定のコンピュータのオペレーティング システムを特定するために使用されるハッキング テクニック の 1 つ。 ポリシー 製品機能のカテゴリに割り当てられた設定のグループ。ほとんどのカテゴリでは、各カテゴリに対して使用 できる名前付きのポリシーは 1 つだけです。IPS 規則とアプリケーション規則は例外で、1 つ以上の名前つ きのポリシーを適用できます。 ポリシー ファイル ePolicy Orchestrator サーバのローカル ドライブに保存されているが、リモート コンソールによるアクセス はできない 1 つ以上の製品に向けた、ポリシー設定のセット。 「ポリシー テンプレート」も参照してください。 ポリシー ページ ePolicy Orchestrator コンソールの一部。このページで、ユーザは製品のためにポリシーの設定やスケジュー ルしたタスクの作成を行うことができます。このページは、個々の ePolicy Orchestrator サーバに格納され ます(マスター リポジトリには追加されません) 。 ポリシー実施間隔 ePolicy Orchestrator サーバから受信した設定を、エージェントが実施する時間の間隔。これらの設定はロー カルで実施されるため、この間隔のために必要な帯域幅はありません。 マスター リポジトリ 分散ソフトウェア リポジトリの 1 つの種類。このリポジトリの内容は他の分散リポジトリすべての標準と して機能します。一般的に、マスター リポジトリの内容は、ソース リポジトリの内容と、マスター リポジ トリに手動で追加されたその他のファイルの組み合わせから定義されます。 「プル」と「複製する、複製」も参照してください。 有効なポリシー クライアント コンピュータに適用される IPS 規則のポリシーと信頼できるアプリケーション規則のポリ シーの組み合わせ。 リポジトリ 製品の管理に使用されるポリシー ページを格納する場所。 リモート コンソール 「ePolicy Orchestrator リモート コンソール」を参照してください。 例外規則 そのままではシグニチャによってブロックされる正当な動作を可能にする許可規則。 ローカル分散リポジトリ 分散ソフトウェア リポジトリの 1 つの種類。内容が手動でアップデートされます。 204 索引 英数 ビューの設定, 60 Avert Labs 脅威センター , 14 ビューのフィルタ, 60 [IPS ポリシー ] タブ, 148 Avert Labs 脅威ライブラリ, 14 表示, 59, 169 [IPS ポリシー ] タブのオプ ション, 148 DAT ファイル Avert Labs アップデート通知 サービス, 14 アップデート、Web サイト, 14 ePO Host Intrusion Prevention とと もに使用する場合の操作, 25 コンソール, 25 通知, 27 ポリシーの管理, 26 ポリシーの所有者, 27 レポート, 28 Host Intrusion Prevention ePO の使用方法, 24 - 25 インストール, 28 クライアントの作業, 29 クライアントの配布, 28 設定, 24 調整, 32 配備, 21 ヘルプ, 32 メンテナンス, 21 HotFix およびパッチのリリース (製品およびセキュリティの脆弱 性向け), 14 IPS イベント, 16 詳細 , 63 分析, 120 [IPS ポリシー ] タブの規則, 149 未開封に設定, 61 [IPS ポリシー ] タブの規則リス ト, 149 類似のマーク, 62 例外の作成, 64, 169 IPS オプション ポリシー 作成, 39 事前設定ポリシー , 38 設定, 38 IPS 規則のポリシー アプリケーション保護規則, 54 作成, 43 シグニチャ , 47 詳細, 44 概要, 65 集約ビュー , 67 通常ビュー , 66 システム トレイのアイコン ポリシーへの移行, 66 [動作ログ] タブ, 157 IPS による保護ポリシー 事前設定ポリシー , 41 Linux クライアント ポリシーの実施, 162 信頼できるアプリケーションの 作成, 64 非表示, 61 非表示イベントを表示, 61 オプションの設定, 139 概要, 137 コンソール, 139 集約, 67 トラブルシューティング, 163 状態の設定, 61 [アプリケーション ポリシー ] タ ブの規則, 153 エラー報告, 140 IPS クライアントの規則, 65 クライアント例外規則, 18 概要, 58 [アプリケーション ポリシー ] タ ブのオプション, 152 アラート, 142 機能の概要, 35 開封済みに設定, 61 [アプリケーション ポリシー ] タ ブ, 152 割り当て, 43 注意事項, 163 IPS イベント, 58 [アプリケーション保護] タブ リ スト, 156 例外規則, 44 機能, 15 例外規則, 17 [アプリケーション保護] タブ, 156 [アプリケーション ポリシー ] タ ブの規則リスト, 153 概要, 162 処理, 16 UI のロックの解除, 139 設定, 43 イベント、分析, 120 シグニチャ , 15 Windows クライアント , 113, 138 [動作ログ] タブのオプショ ン , 157 [動作ログ] タブ リスト, 158 トラブルシューティング, 141 トラブルシューティング、IPS エンジン, 142 トラブルシューティング、ログ に記録, 141 McAfee 製品の評価、ダウンロー ド Web サイト, 14 [ファイアウォール ポリシー ] タ ブ, 150 ServicePortal、テクニカル サ ポート, 14 [ファイアウォール ポリシー ] タ ブのオプション, 150 Solaris クライアント [ファイアウォール ポリシー ] タ ブの規則, 151 概要, 159 トラブルシューティング, 159 ポリシーの実施, 159 UDP, 76 WebImmune、Avert Labs 脅威セ ンター , 14 205 [ファイアウォール ポリシー ] タ ブの規則リスト, 151 [ブロックされたホスト] タブ, 154 [ブロックされたホスト] リスト, 154 ® McAfee Host Intrusion Prevention 6.1 製品ガイド 索引 Windows クライアント アラート アプリケーション ブロック, 144 検疫, 145 侵入, 142 なりすまし検出, 146 ファイアウォール, 143 作成, 96 ポリシー表示, 31 追加, 96 表示, 95 う 編集, 95 ウイルス情報ライブラリ(Avert Labs 脅威ライブラリを参照) 検疫規則グループ か 検疫規則ポリシー ファイアウォール, 143 Windows クライアントの UI コン トロール トレイ アイコン, 113 作成, 96 学習モード, 22, 29 アプリケーション ブロック, 29, 145 あ ファイアウォール, 29, 79 アップグレード Web サイト, 14 カスタマ サービス、連絡先, 14 アップデート カスタム アップデートのチェック イン, 135 ホスト シグニチャ , 48 き プロセス, 135 規則グループ オプションの設定, 99 概要, 97 ファイアウォール, 77 フック, 98 アプリケーション ブロックのオプ ション ポリシー 設定, 99 アプリケーション ブロックの 規則, 102 シグニチャ , 47 ウィザードでの作成, 50 18, 97 クライアント規則, 18 サンプルの送信、Avert Labs WebImmune, 14 し アプリケーション ブロック, 全般, 19 作成, 97 事前設定ポリシー , 98 サーバ タスク, 127 Event Archiver, 127 ディレクトリ ゲートウェイ, 127 機能 IPS, 15, 35 クイック アクセス, 98 削除, 96 Property Translator, 127 コンテンツ, 135 アプリケーション ブロック 検疫グループ さ シグニチャ、追加情報, 54 クライアント, 136 作成, 94 設定, 94 ファイアウォール, 17, 71 エキスパート向けの方法での作 成, 53 脅威センター(Avert Labs を参照) カスタム, 48, 50 脅威ライブラリ, 14 カスタムの作成, 170 く カスタムの編集, 54 カスタム ホスト, 48 クイック アクセス 作成, 50 IPS イベント, 38 重大度レベル, 47 削除, 104 IPS 規則, 38 種類, 48 作成, 103 IPS クライアントの規則, 38 ネットワーク, 48 アプリケーション ブロックの規 則, 98 ネットワーク IPS, 36 アプリケーション ブロックのク ライアントの規則, 98 標準方法での作成, 53 アプリケーション ブロックの規則 ポリシー 作成, 101, 103 設定, 101 アプリケーション ブロックのクラ イアントの規則 集約ビュー , 104 通常ビュー , 104 編集, 58 アプリケーション ブロック, 144 検疫, 145 侵入, 142 なりすまし検出, 146 ホスト, 48 ホスト IPS, 36 事前設定ポリシー IPS, 37 IPS オプション, 38 クライアント規則 IPS, 66 有効化, 58 Java アプレット, 31 編集, 49 パスワード, 111 無効化, 58 アラート Active X, 31 ファイアウォール クライアント の規則, 82 作成, 110 設定, 109 概要, 54 作成, 56 標準モードでの作成, 52 適用, 110 表示, 104 削除, 58 ファイアウォール規則, 82 クライアント UI ポリシー アプリケーション保護規則, 54 表示の変更, 49 IPS による保護, 41 アプリケーション ブロック, 98 全般, 108 アプリケーション ブロック, 104 ファイアウォール, 81 ファイアウォール, 18, 91 ファイアウォール オプショ ン, 82 け ファイアウォール規則, 84 検疫 ポリシーおよび規則, 80 検疫オプション ポリシー 状態テーブル、ファイアウォー ル, 72 新機能, 10 信頼できるアプリケーション 設定, 93 検疫規則 イベント ベースの作成, 64 削除, 119 削除, 96 206 ® McAfee Host Intrusion Prevention 6.1 製品ガイド 索引 作成, 117 編集, 118 信頼できるアプリケーションの 作成, 121 無効化, 118 例外の作成, 121 有効化, 118 信頼できるアプリケーション ポリ シー オプション, 114 信頼できるネットワーク ポリ シー , 114 ファイアウォール オプション ポリ シー 通知 種類, 129 使用方法, 128 生成, 27 設定, 116 適用, 116 信頼できるネットワーク 設定, 82 つ 作成, 116 パケット フィルタ機能, 72 ファイアウォール オプションのポ リシー 事前設定ポリシー , 82 ファイアウォール規則, 74 6.0, 71 て 6.1, 72 適応モード, 22, 29 IPS, 29, 38 クイック アクセス, 82 削除, 91 作成, 88 アプリケーション ブロック, 設定, 114 しくみ, 73 29, 99 ファイアウォール, 29, 79 す ステートフルなプロトコル追跡, 76 DHCP, 77 順序付け, 74 テクニカル サポート、連絡先, 14 ステートフル, 72 ステートフル検査機能, 75 と DNS, 76 動作規則, 37 ステートフルなプロトコル 追跡, 76 FTP, 77 トラブルシューティング ステートフル フィルタ機能, 74 ICMP, 76 Linux クライアント, 163 ステートフルへの移行, 81 TCP, 76 Solaris クライアント, 159 静的, 71 ステートフル パケット検査機能, 75 ステートフル フィルタ機能, 74 トレーニング、McAfee リソース, 14 せ ね 製品情報 ネットワーク シグニチャ , 48 リソース, 13 製品のアップグレード, 14 セキュリティ アップデート、DAT ファイルとエンジン, 14 セキュリティの脆弱性、 リリース, 14 セキュリティ本部(Avert Labs を 参照) セキュリティ レベル 削除, 91 配備 ファイアウォール規則のポリシー 調整, 23 作成, 84 配布 パケット検査機能、ファイア ウォール, 72 パスワード 管理者, 112 低(黄色), 47 クライアント UI, 111 有効期限, 113 接続別グループ 設定, 84 ファイアウォール クライアントの 規則 クイック アクセス, 82 集約, 92 集約ビュー , 92 中(オレンジ色), 47 事前設定ポリシー , 108 事前設定ポリシー , 84 調整, 32, 120, 170 微調整, 120 情報(青色), 47 概要, 107 編集, 87 ファイアウォール規則グループ 作成, 88 パケット フィルタ機能, 72 作成, 88 表示, 87 は 高(赤色), 47 全般機能 追加, 88 通常ビュー , 91 表示, 91 ふ ファイアウォールの規則 クライアント, 18 ファイアウォール 学習モード, 79 プロフェッショナル サービス、 McAfee リソース, 14 規則, 17 へ た 規則グループ, 77 ベータ版 Web サイト, 14 ダウンロード Web サイト, 14 機能の概要, 71 ヘルプ UI, 33 検疫規則, 80 ち 検疫規則ポリシー , 94 知識ベース検索, 14 アイコンの説明, 33 事前設定ポリシー , 81 調整 使用方法, 32 状態テーブル, 72 操作手順, 32 新しいポリシーの作成, 121 ステートフル規則への移行, 81 新しいポリシーの適用, 121 接続別規則, 77 イベントの分析, 120 接続別グループ, 77 クライアント規則, 121 適応モード, 79 自動化, 170 パケット検査機能, 72 207 ® McAfee Host Intrusion Prevention 6.1 製品ガイド ほ ホスト シグニチャ , 48 ポリシー カテゴリ, 20 管理, 19, 26 索引 アクションのきっかけになった 上位 10 種類のシグニチャ , 133 シグニチャ別の IPS イベントの サマリ, 131 実行, 130 継承, 20, 122 事前設定保護, 22 失敗した検疫のアップ デート, 134 上位 10 位のブロックされたア プリケーション, 134 実施, 19, 168 生成, 28 情報の表示, 124 ソース IP 別のネットワーク侵入 のサマリ, 132 管理者, 168 情報の編集, 125 所有, 21 所有者の割り当て, 27 所有者を表示, 125 対象別の IPS イベントの サマリ, 132 定型, 130 設定, 30 ブロックされたアプリケーショ ンのサマリ, 134 タスク, 122 リスト, 131 ノードを割り当て, 124 プロファイルに一致, 171 ポリシー カタログの使用, 124 [ポリシー ] タブの使用, 122 無効な実施, 125 メンテナンス, 122 割り当て, 20, 122, 168 割り当てのロック, 21 ポリシー実施ポリシー 設定, 109 ポリシーの実施 Linux クライアント, 162 Solaris クライアント, 159 本書の使用方法, 11 本書の表記規則 書体および記号, 12 本書のリソース 製品マニュアル, 13 ま マニュアルの対象読者, 11 よ 用語集, 196 - 204 用語の定義(「用語集」を参照) れ 例外規則, 17 イベント ベースの作成, 64 関連する例外の検索, 65 検索, 68 削除, 47 作成, 45 他のポリシーへの移動, 47, 68 編集, 46 無効化, 47 有効化, 47 レポート, 23 IPS で検出された攻撃件数上位 10 位のノード, 133 208 700-1499-16 Copyright © 2006 McAfee, Inc. All Rights Reserved. mcafee.com