McAfee Host Intrusion Prevention 8.0

McAfee Host Intrusion Prevention 8.0製 品 ガイド (ePolicy Orchestrator 4.0 用 )

著 作 権Copyright © 2010 McAfee, Inc. All Rights Reserved.このマニュアルのいかなる 部 分 も、McAfee Inc. またはその 代 理 店 または 関 連 会 社 の 書 面 による 許 可 なしに、 形 態 、 方 法 を 問 わず、 複 写 、 送信 、 転 載 、 検 索 システムへの 保 存 、および 多 言 語 に 翻 訳 することを 禁 じます。商 標AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE),MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは 米 国 法 人McAfee, Inc. または 米 国 またはその 他 の 国 の 関 係 会 社 における 登 録 商 標 、または 商 標 です。McAfee ブランドの 製 品 は 赤 を 基 調 としています。その 他 全 ての 登 録 商 標 及 び 商 標 はそれぞれの 所 有 者 に 帰 属 します。ライセンス 情 報ライセンス 条 項お 客 様 へ: お 客 様 がお 買 い 求 めになられたライセンスに 従 い、 該 当 する 契 約 書 ( 許 諾 されたソフトウェアの 使 用 につき 一 般 条 項 を 定 めるものです、 以 下 「 本 契 約 」といいます) をよくお 読 みください。お 買 い 求 めになられたライセンスの 種 類 がわからない 場 合 は、 販 売 およびライセンス 関 連 部 署 にご 連 絡 いただくか、 製 品 パッケージに 付 随 する 注 文 書 、または 別 途 送 付 された 注 文 書 (パンフレット、 製 品 CD またはソフトウェア パッケージをダウンロードした Web サイト 上 のファイル) をご 確 認 ください。 本 契 約 の 規 定 に 同 意 されない 場 合 は、 製 品 をインストールしないでください。この 場 合 、 弊 社 またはご 購 入 元 に 速 やかにご 返 信 いただければ、 所 定 の 条 件 を 満 たすことによりご 購 入 額 全 額 をお返 しいたします。2McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

目 次Host Intrusion Prevention の 概 要 ..........................................................7Host IPS 保 護 .............................................................................7Host IPS ポリシー.........................................................................8Host IPS のポリシー 管 理 ...................................................................9Host IPS ポリシーの 管 理 と 調 整 .............................................................10保 護 の 管 理 ...................................................................................13情 報 管 理 ................................................................................13Host IPS ダッシュボード...........................................................13Host IPS クエリ...................................................................14ポリシーの 管 理 ...........................................................................17ポリシーの 場 所 ....................................................................17ポリシーの 設 定 ....................................................................18デフォルトの 保 護 と 調 整 ............................................................19Host IPS のポリシー 移 行 ...........................................................23システム 管 理 .............................................................................25Host IPS 権 限 セット...............................................................25Host IPS のサーバ タスク..........................................................26Host IPS イベント 通 知 .............................................................27Host IPS 保 護 の 更 新 ..............................................................28IPS ポリシーの 設 定 .........................................................................31IPS ポリシーの 概 要 .......................................................................31IPS 保 護 の 実 現 方 法 ...............................................................32シグネチャ.......................................................................33動 作 ルール.......................................................................34処 理 .............................................................................34例 外 .............................................................................35アプリケーション 保 護 ルール........................................................35イベント.........................................................................35IPS 保 護 の 有 効 化 .........................................................................36IPS オプションのポリシーの 設 定 .....................................................37IPS シグネチャに 対 する 対 応 の 設 定 ..........................................................37McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )3

目 次IPS 保 護 ポリシーの 設 定 ............................................................38IPS 保 護 の 定 義 ...........................................................................39IPS ルール ポリシーの 設 定 .........................................................39ポリシーの 複 数 のインスタンスの 割 り 当 て.............................................40FAQ - マルチインスタンス ポリシー.................................................40IPS シグネチャの 機 能 ..............................................................42IPS アプリケーション 保 護 ルールの 機 能 ...............................................46IPS 例 外 の 機 能 ....................................................................49IPS イベントの 監 視 ......................................................................51IPS イベントの 管 理 ................................................................52イベントからの 例 外 の 作 成 ..........................................................53イベントからの 信 頼 できるアプリケーションの 作 成 ......................................53IPS クライアント ルールの 監 視 .............................................................54IPS クライアント ルールの 管 理 ......................................................54ファイアウォール ポリシーの 設 定 ..........................................................56ファイアウォール ポリシーの 概 要 ...........................................................56ファイアウォール ルールの 機 能 ......................................................57ファイアウォール ルール グループの 機 能 ............................................59Host IPS カタログの 機 能 ...........................................................62ファイアウォールでのステートフルなパケット フィルタリングと 検 査 ......................64学 習 モードと 適 応 モードがファイアウォールに 与 える 影 響 ................................68ファイアウォール クライアント ルール...............................................69ファイアウォール 保 護 の 有 効 化 ..............................................................69ファイアウォール オプションのポリシーの 設 定 .......................................70FAQ - McAfee TrustedSource とファイアウォール......................................71ファイアウォール 保 護 の 定 義 ...............................................................72ファイアウォール ルール ポリシーの 設 定 .............................................73ファイアウォール ルールの 作 成 と 編 集 ...............................................74ファイアウォール ルール グループの 作 成 と 編 集 .......................................74接 続 隔 離 グループの 作 成 ............................................................75DNSトラフィックのブロック........................................................75Host IPS カタログの 使 用 ...........................................................76ファイアウォール クライアント ルールの 管 理 .........................................77FAQ - ファイアウォール ルールでのワイルドカードの 使 い 方 ............................78全 般 ポリシーの 設 定 ........................................................................79全 般 ポリシーの 概 要 .......................................................................79クライアント 機 能 の 定 義 ...................................................................804McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

目 次クライアント UI ポリシーの 設 定 .....................................................80クライアント UI の 全 般 オプションの 設 定 .............................................81クライアント UI の 詳 細 オプションとパスワードの 設 定 ..................................81クライアント UI のトラブルシューティング オプションの 設 定 ...........................82信 頼 できるネットワークの 定 義 ..............................................................84信 頼 できるネットワーク ポリシーの 設 定 ..............................................84信 頼 できるアプリケーションの 定 義 ..........................................................85信 頼 できるアプリケーション ポリシーの 設 定 ..........................................85信 頼 できるアプリケーション ルールの 作 成 と 編 集 .......................................86ポリシーの 複 数 のインスタンスの 割 り 当 て.............................................86Host Intrusion Prevention クライアントの 作 業 ..........................................88Windows クライアントの 概 要 ...............................................................88システム トレイ アイコンのメニュー.................................................88Windows クライアントのクライアント コンソール.......................................90Windows クライアント インターフェースのロックの 解 除 .................................90クライアント UI のオプションの 設 定 .................................................91Windowsクライアントのトラブルシューティング.......................................92Windows クライアント アラート......................................................93[IPS ポリシー] タブについて.......................................................96[ファイアウォール ポリシー] タブについて...........................................97[ブロックされたホスト] タブについて................................................99[ブロックされたホスト] リストの 編 集 ...............................................100[アプリケーション 保 護 リスト]タブについて.........................................100[アクティビティ ログ] タブについて................................................101Solaris クライアントの 概 要 ..............................................................102Solaris クライアントでのポリシーの 実 施 ............................................102Solaris クライアントのトラブルシューティング.......................................103Linux クライアントの 概 要 ...............................................................105Linux クライアントでのポリシーの 実 施 ..............................................105Linux クライアントについての 注 意 事 項 ..............................................106Linuxクライアントのトラブルシューティング........................................106付 録 A - カスタム シグネチャと 例 外 の 作 成 .............................................110ルールの 構 造 ............................................................................110共 通 セクション...................................................................111オプションの 共 通 セクション.......................................................113ワイルドカードと 変 数 .............................................................114Windows のカスタム シグネチャ............................................................116McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )5

目 次Windows クラス Buffer Overflow....................................................117Windows クラス Files.............................................................118Windows クラス Hook..............................................................121Windows クラス Illegal Host IPS API Use...........................................122Windows クラス Illegal Use.......................................................122Windows クラス Isapi (HTTP).......................................................123Windows クラス Program...........................................................126Windows クラス Registry..........................................................127Windows クラス Services..........................................................130Windows クラス SQL...............................................................132Windowsプラットフォームごとのクラスとディレクティブ...............................133Windows 以 外 のカスタム シグネチャ........................................................136Solaris/Linux クラス UNIX_file....................................................137Solaris/Linux クラス UNIX_apache (HTTP)...........................................140Solaris/Linux クラス UNIX_Misc....................................................142Solaris クラス UNIX_bo...........................................................142Solaris クラス UNIX_map..........................................................143Solaris クラス UNIX_GUID.........................................................143UNIX プラットフォームごとのクラスとディレクティブ..................................144付 録 B - トラブルシューティング........................................................146全 般 的 な 問 題 ............................................................................146Host IPS ログ...........................................................................152Clientcontrol.exe ユーティリティ.........................................................1556McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention の 概 要McAfee ® Host Intrusion Prevention は、 侵 入 の 検 出 と 防 止 を 行 うホストベースのシステムで、システム リソースおよびアプリケーションを 外 部 および 内 部 の 攻 撃 から 保 護 します。ワークステーション、ノート PC および Web サーバやデータベース サーバなどの 重 要 なサーバ 向 けに、 管 理 可 能 でスケーラブルな 侵 入 防 止 ソリューションを 提 供 します。また、 特 許 取得 済 みの 技 術 を 用 いて、ゼロデイ 攻 撃 や 既 知 の 攻 撃 をブロックします。Host Intrusion Prevention (Host IPS または HIP) は、 情 報 を 格 納 および 送 受 信 するシステム、ネットワーク リソース、アプリケーションを 保 護 します。エンドポイント ファイアウォール 機 能 と 侵 入 防 止 システム (IPS) 機 能 により、この 保 護 対 策 を 実 現 しています。IPS機 能 は 毎 月 コンテンツを 更 新 するので、 新 しい 脅 威 に 対 する 緊 急 パッチの 適 用 回 数 が 少 なくなります。Host Intrusion Prevention ファイアウォール 機 能 は 別 売 りです。Host IntrusionPrevention IPS 機 能 と 一 緒 に 利 用 することもできます。Host Intrusion Prevention は、ePolicy Orchestrator に 完 全 に 統 合 され、このフレームワークを 利 用 してポリシーの 配 信 と 施 行 を 行 います。このアプローチは 単 一 の 管 理 ソリューションを 提 供 し、 全 社 的 な 世 界 的 規 模 での 大 量 導 入 ( 最 大 100,000 システム) が 多 言 語 で 可能 となります。目 次Host IPS 保 護Host IPS ポリシーHost IPS のポリシー 管 理Host IPS ポリシーの 管 理 と 調 整Host IPS 保 護Host Intrusion Prevention の 必 須 コンポーネントをすべてインストールし、 接 続 すると、保 護 の 適 用 、イベントの 監 視 、ポリシーとコンテンツを 更 新 することができます。基 本 的 な 保 護Host Intrusion Prevention は、 使 用 環 境 に 基 本 的 な 保 護 を 提 供 するデフォルトの 設 定 で 出荷 されます。これらの 設 定 には 以 下 のものを 含 みます。• IPS 保 護 :• 重 大 度 高 のシグネチャは 阻 止 され、 他 のシグネチャは 無 視 されます。• McAfee のアプリケーションは、IPS 自 己 保 護 ルールを 除 くすべてルールに 対 して 信 頼できるアプリケーションとして 示 されています。• 定 義 済 みのアプリケーションやプロセスは 保 護 されています。• ファイアウォール 保 護 :McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )7

Host Intrusion Prevention の 概 要Host IPS ポリシー• 基 本 的 なネットワーク 接 続 が 許 可 されます。注 意 : Host Intrusion Prevention 8.0 を 初 めてインストールしたときには、 保 護 が 無 効 になっています。IPS オプションまたはファイアウォール オプション ポリシーで 保 護 を 有 効にし、クライアントにポリシーを 適 用 する 必 要 があります。詳 細 な 保 護詳 細 な 保 護 を 行 うためには、デフォルトの 設 定 からより 強 固 に 事 前 設 定 された 設 定 に 移 行 するか、またはカスタム 設 定 を 作 成 します。新 しい 設 定 を 監 視 して 調 整 するためには、サンプル 配 布 から 始 めます。 調 整 には、 侵 入 防 止保 護 、 必 要 な 情 報 へのアクセス、およびグループの 種 類 ごとのアプリケーション、これらのバランスを 取 ることが 必 要 です。Host IPS ポリシーポリシーは、ePolicy Orchestrator コンソールを 通 して 構 成 および 適 用 する 設 定 の 集 まりです。ポリシーを 適 用 することにより、 管 理 対 象 システムへのセキュリティ 要 求 が 確 実 に 満 たされます。Host Intrusion Prevention には、IPS、ファイアウォール、 全 般 の 3 つのポリシー 機 能 があります。それぞれの 機 能 にセキュリティ オプションが 設 定 されています。IPSとファイアウォール 機 能 には、 動 作 を 定 義 するルールを 含 むルール ポリシーと、ルールの 適用 を 有 効 または 無 効 にするオプション ポリシーがあります。ポリシーの 所 有 権 は [ポリシー カタログ] 内 で 割 り 当 てられます。ポリシーがいったん 作 成された 後 は、 編 集 や 削 除 は、ポリシーの 作 成 者 、ポリシーの 所 有 者 として 関 連 付 けられたユーザ、またはグローバル 管 理 者 以 外 は 行 うことができません。ポリシーの 削 除 は [ポリシー カタログ] 内 でのみ 可 能 です。IPS ポリシーIPS 機 能 には、Windows と Windows 以 外 のコンピュータの 両 方 を 保 護 する 3 つのポリシーがあります。 例 外 、シグネチャ、アプリケーション 保 護 ルール、イベントおよびクライアントが 生 成 した 例 外 を 詳 しく 記 述 します。• IPS オプション (すべてのプラットフォーム)。IPS 保 護 のオン/オフと、 適 応 モードのオン/オフを 切 り 替 えます。• IPS 保 護 (すべてのプラットフォーム)。シグネチャが 生 成 するイベントに 対 する 処 理 を定 義 します。• IPS ルール (すべてのプラットフォーム)。 例 外 、シグネチャおよびアプリケーション 保護 ルールを 定 義 します。このポリリーはマルチインスタンス ポリシーです。 単 一 のポリシーではなく、 複 数 の IPS ルールのポリシーをシステムに 割 り 当 てることができます。ポリリーのコンテンツが 統 合 され、 効 果 的 なポリシーが 生 成 されます。 設 定 が 矛 盾 した 場合 、 最 も 保 護 レベルの 高 い 設 定 が 適 用 されます。ファイアウォール ポリシーファイアウォール 機 能 には、Windows コンピュータのみを 保 護 する 3 つのポリシーがあります。ネットワーク トラフィックをフィルタリングし、 正 規 のトラフィックは 通 過 を 許 可 し、残 りはブロックします。• ファイアウォール オプション (Windows のみ)。ファイアウォール 保 護 のオン/オフと、適 応 モードまたは 学 習 モードの 適 用 のオン/オフを 切 り 替 えます。• ファイアウォール ルール (Windows のみ)ファイアウォールのルールを 定 義 します。8McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention の 概 要Host IPS のポリシー 管 理• ファイアウォール DNS ブロック (Windows のみ)。ブロックされるドメイン ネーム サーバを 定 義 します。全 般 ポリシー全 般 機 能 には、IPS とファイアウォールの 両 方 の 機 能 に 適 用 できる 3 つのポリシーがあります。• クライアント UI (Windows のみ)。Windows クライアント システムで Host IntrusionPrevention ユーザ インターフェースへのアクセスを 定 義 します。トラブルシューティング オプションも 定 義 します。Windows 以 外 のクライアント システムにはパスワード 保 護機 能 を 提 供 します。• 信 頼 できるネットワーク (Windows のみ)。 安 全 に 通 信 できる IP アドレスとネットワークを 表 示 します。IPS ファイアウォール 機 能 で 使 用 します。• 信 頼 できるアプリケーション (すべてのプラットフォーム)。ほとんどの 操 作 の 実 行 について 信 頼 できるアプリケーションを 表 示 します。IPS 機 能 で 使 用 します。このポリリーもマルチインスタンス ポリシーです。 単 一 のポリシーではなく、 複 数 の 信 頼 できるアプリケーション ポリシーをシステムに 割 り 当 てることができます。ポリリーのコンテンツが統 合 され、 効 果 的 なポリシーが 生 成 されます。 設 定 が 矛 盾 した 場 合 、 最 も 保 護 レベルの 高い 設 定 が 適 用 されます。Host IPS のポリシー 管 理ePolicy Orchestrator コンソールにより、Host Intrusion Prevention ポリシーを 集 中 的 に設 定 できます。ポリシーの 実 施 方 法ePolicy Orchestrator コンソールで Host Intrusion Prevention ポリシーを 変 更 すると、管 理 対 象 のシステムには、 次 回 のエージェント/サーバ 間 通 信 に 変 更 が 反 映 されます。この 間隔 は、デフォルトでは 60 分 ごとに 発 生 するように 設 定 されています。 直 ちにポリシーを 実施 するには、ePolicy Orchestrator コンソールからエージェント ウェークアップ コールを送 信 します。ポリシーおよびポリシーのカテゴリHost Intrusion Prevention のポリシー 管 理 は 機 能 とカテゴリで 分 類 できます。ポリシー カテゴリは、ポリシーの 特 定 のサブセットです。ポリシーは、 特 定 の 目 的 に 対 して 設 定 された 設 定 のグループです。ポリシーは 必 要 な 数 だけ、作 成 、 変 更 、または 削 除 できます。各 ポリシーには、 設 定 済 みのMcAfee デフォルト ポリシーが 含 まれており、これらは 編 集 または 削 除 できません。[IPS ルール] と [ 信 頼 できるアプリケーション] を 除 き、すべてのポリシーには、デフォルト ポリシーに 基 づいて 編 集 可 能 な 個 人 用 のデフォルト ポリシーも 含まれます。 一 部 のポリシー カテゴリには、 読 み 取 り 専 用 の 設 定 済 みポリシーがいくつか 含 まれます。この 設 定 済 みポリシーが 要 件 を 満 たしている 場 合 、その 設 定 済 みポリシーのいずれかを 適 用 できます。これらの 読 み 取 り 専 用 ポリシーは、すべてのポリシー 同 様 複 製 することができ、 必 要 に 応 じてその 複 製 をカスタマイズできます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )9

Host Intrusion Prevention の 概 要Host IPS ポリシーの 管 理 と 調 整IPS ルールと 信 頼 できるアプリケーション ポリシーはマルチインスタンス ポリシーです。1つのポリシーに 複 数 のポリシー インスタンスを 割 り 当 てることができます。ポリシー インスタンスは、1 つの 有 効 なポリシーに 自 動 的 に 統 合 されます。ヒント: IPS ルールと 信 頼 できるアプリケーションの McAfee デフォルト ポリシーは、コンテンツ 更 新 プロセスで 自 動 的 に 更 新 されます。McAfee では、これらのポリシーをすべてのクライアントに 常 に 割 り 当 て、 追 加 のポリシー インスタンスを 作 成 して、この 2 つのポリシーの 動 作 をカスタマイズすることをお 勧 めします。ポリシーの 適 用 方 法ポリシーは、 継 承 または 割 り 当 てによってすべてのシステム ツリーのグループまたはシステムに 適 用 されます。 継 承 では、システムのポリシー 設 定 がその 親 からのものであるかどうかを 判 断 します。デフォルトでは、 継 承 はシステム ツリー 全 体 を 通 じて 有 効 です。 直 接 ポリシーを 割 り 当 てることで、 継 承 を 無 効 にできます。ePolicy Orchestrator で Host IntrusionPrevention を 管 理 する 場 合 、 継 承 を 考 慮 せずに、ポリシーを 作 成 して 適 用 できます。 新 しいポリシーを 割 り 当 ててこの 継 承 を 無 効 にすると、 配 下 のグループおよびシステムはすべて 新しいポリシーを 継 承 します。ポリシーの 所 有各 ポリシーには、 割 り 当 てられた 所 有 者 が 必 要 です。 所 有 者 を 認 めることにより、グローバル 管 理 者 、ポリシーの 作 成 者 、またはポリシーの 所 有 者 として 関 連 付 けられたユーザ 以 外 は、ポリシーを 変 更 できなくなります。あらゆる 管 理 者 はカタログ 内 のあらゆるポリシーを 利 用できますが、 作 成 者 、 所 有 者 、またはグローバル 管 理 者 以 外 はポリシーを 変 更 できません。ヒント: 他 の 管 理 者 が 所 有 するポリシーを 使 用 するのではなく、ポリシーを 複 製 し、その 複製 したポリシーを 割 り 当 てることをお 勧 めします。 所 有 していないポリシーを 自 分 が 管 理 しているシステム ツリー グループに 割 り 当 て、そのポリシーの 所 有 者 がポリシーを 変 更 すると、このポリシーが 割 り 当 てられたすべてのシステムでその 変 更 が 受 け 入 れられます。Host IPS ポリシーの 管 理 と 調 整Host Intrusion Prevention クライアントの 配 備 と 管 理 は ePolicy Orchestrator から 行 います。ePO システム ツリーで、 属 性 に 基 づいてシステムを 階 層 にグループ 化 できます。たとえば、 最 初 のレベルを 地 理 的 な 場 所 で 分 類 し、 次 のレベルをオペレーティング システム プラットフォームや IP アドレスで 分 類 します。McAfee では、システムの 種 類 (サーバまたはデスクトップ)、 主 要 なアプリケーションの 用 途 (Web、データベース、またはメール サーバ)、 役 割 の 点 から 見 た 場 所 (DMZ またはイントラネット) など、Host Intrusion Preventionの 設 定 条 件 に 基 づいてシステムをグループ 化 することをお 勧 めします。 共 通 の 使 用 方 法 プロファイルに 適 合 するシステムは、システム ツリーの 共 通 グループに 配 置 できます。 使 用 方 法プロファイルにあわせて、グループは、たとえば Web サーバと 名 前 を 付 けます。種 類 、 機 能 、または 地 理 的 場 所 に 従 ってシステム ツリーでグループ 化 されたコンピュータでは、 管 理 機 能 を 同 じ 方 針 で 容 易 に 分 割 できます。Host Intrusion Prevention でも、IPS やファイアウォールなどの 製 品 機 能 に 基 づいて 管 理 作 業 を 分 割 できます。コンピュータのほとんどは 少 数 の 使 用 方 法 プロファイルに 合 致 するため、 何 千 というコンピュータへの Host Intrusion Prevention の 配 備 が 容 易 に 管 理 できます。 少 数 のポリシールールを 保 守 するだけですむため、 大 規 模 な 配 備 の 管 理 でも 容 易 に 行 うことができます。 配備 規 模 が 拡 大 するにつれ、 新 たに 追 加 されるシステムは 既 存 のプロファイルに 合 致 するようになるため、システム ツリーの 正 しいグループのもとに 配 置 できます。10McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention の 概 要Host IPS ポリシーの 管 理 と 調 整事 前 設 定 保 護Host Intrusion Prevention では、2 種 類 の 保 護 方 法 があります。• 基 本 的 な 保 護 は、MaAfee のデフォルトのポリシー 設 定 で 利 用 できます。この 保 護 法 方 では、 調 整 の 必 要 はほとんどなく、イベントもほとんど 生 成 されません。 多 くの 環 境 では、この 基 本 的 な 保 護 で 十 分 です。• また、 一 部 の 事 前 設 定 IPS ポリシーおよびファイアウォール ポリシーを 使 用 するか、カスタム ポリシーを 作 成 することで、より 詳 細 な 保 護 を 利 用 することができます。たとえば、サーバは、 基 本 的 な 保 護 が 提 供 するものより 強 力 な 保 護 を 必 要 とします。いずれの 場 合 も、 実 際 の 作 業 環 境 に 合 わせて 保 護 設 定 の 調 整 が 必 要 になります。適 応 モード保 護 設 定 を 調 整 する 手 段 として、Host Intrusion Prevention クライアントでは、 正 当 な 動作 をブロックしてしまうサーバで 指 示 したポリシーに 対 して、クライアント 側 でルールを 作成 できます。クライアント ルールは、クライアントが 適 応 モードで 配 置 されている 場 合 に 自動 的 に 作 成 できます。 適 応 モードでは、クライアント ルールが 自 動 的 に 作 成 されます。クライアント ルールが 作 成 されると、それらのルールを 分 析 して、サーバで 指 示 したポリシーに変 換 するかどうかを 決 定 します。大 規 模 な 組 織 では、 業 務 の 中 断 を 回 避 することがセキュリティへの 配 慮 に 優 先 する 場 合 が 多 々あります。たとえば、コンピュータの 中 には 定 期 的 に 新 しいアプリケーションをインストールする 必 要 のあるものがありますが、それらの 調 整 を 行 う 時 間 も 人 員 も 足 りないかもしれません。Host Intrusion Prevention では、IPS 保 護 のために 特 定 のコンピュータを 適 応 モードに 配 置 できます。それらのコンピュータは、 新 しくインストールされたアプリケーションをプロファイルし、 発 生 したクライアント ルールを ePolicy Orchestrator サーバに 送 信 します。 管 理 者 はこれらのクライアント ルールを 既 存 のポリシーまたは 新 しいポリシーに 追 加してからそのポリシーを 他 のコンピュータに 適 用 し、 新 しいソフトウェアを 処 理 することができます。適 応 モードのシステムは 実 際 には 保 護 されていません。 適 応 モードは 環 境 を 調 整 する 場 合 にのみ 使 用 し、 作 業 が 終 了 したらモードを 無 効 にしてシステムの 保 護 を 強 化 してください。調 整Host Intrusion Prevention を 配 備 する 際 には、 少 数 の 明 確 な 使 用 方 法 プロファイルを 識 別し、そのためのポリシーを 作 成 する 必 要 があります。 最 良 の 方 法 はテスト 配 備 を 設 定 し、 誤検 知 と 生 成 されるイベントの 数 を 減 らしていくことです。このプロセスを 調 整 と 呼 びます。IPS ルールが 厳 しいと、より 広 い 範 囲 の 違 反 を 対 象 とし、 基 本 的 環 境 に 比 べ 多 くのイベントが 生 成 されます。より 詳 細 な 保 護 を 適 用 する 場 合 、McAfee では、IPS による 保 護 ポリシーを利 用 して 影 響 を 緩 和 することをお 勧 めします。このため、 各 重 大 度 レベル ( 高 、 中 、 低 、 情報 ) を 処 理 ( 防 止 、ログに 記 録 、 無 視 ) にマッピングする 必 要 があります。 最 初 は、 高 以 外の 重 大 度 に 無 視 を 設 定 し、 重 大 度 高 のシグネチャのみが 適 用 されます。 他 のレベルは、 調 整を 進 める 間 に 段 階 的 に 上 げられます。例 外 ルール、 信 頼 できるアプリケーション、およびファイアウォール ルールを 作 成 して 誤 検知 の 数 を 減 らすことができます。• 例 外 ルールは、 特 定 の 状 況 で IPS シグネチャ ポリシーを 無 効 にするメカニズムです。• 信 頼 できるアプリケーションは、すべての IPS ルールまたはファイアウォール ルールを無 視 するアプリケーション プロセスです。• ファイアウォール ルールは、トラフィックを 許 可 するか、パケットの 受 信 をブロックするか、またパケット 伝 送 を 許 可 するかブロックするかを 判 断 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )11

Host Intrusion Prevention の 概 要Host IPS ポリシーの 管 理 と 調 整ダッシュボードとクエリダッシュボードを 使 用 すると、 同 時 に 複 数 のクエリを 表 示 して 使 用 環 境 を 追 跡 できます。これらのクエリは、 常 に 更 新 するか、 指 定 した 頻 度 で 実 行 することができます。クエリにより、 特 定 の 項 目 に 関 するデータを 取 得 し、たとえば 指 定 した 期 間 の 特 定 のクライアントによりレポートされた 高 レベルのイベントなど、 取 得 したデータの 特 定 のサブセットにフィルタできます。レポートはスケジュールして、 電 子 メールとして 送 信 できます。12McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理Host Intrusion Prevention の 配 布 を 管 理 する 際 には、 動 作 の 監 視 、 解 析 と 処 理 、ポリシーの 変 更 と 更 新 、システム タスクの 実 行 を 行 います。目 次情 報 管 理ポリシーの 管 理システム 管 理情 報 管 理Host Intrusion Prevention のインストールが 完 了 すると、 使 用 環 境 で 生 じるセキュリティの 問 題 を 追 跡 し、レポートを 作 成 することができます。ダッシュボードを 使 用 すると、セキュリティ 状 況 を 日 単 位 で 表 示 したり、 特 定 の 問 題 に 関 する 詳 細 情 報 のクエリを 実 行 できます。Host IPS ダッシュボードモニタの 集 まりであるダッシュボードは、 使 用 環 境 を 管 理 するために 必 須 のツールです。モニタには、グラフベースのクエリから、MyAvert 脅 威 サービスのような 小 規 模 な Web アプリケーションまであらゆる 形 式 が 用 意 されています。 権 限 がある 場 合 、 複 数 のダッシュボードを 作 成 および 編 集 できます。 指 定 した 頻 度 で 更 新 されるダッシュボードとして 任 意 のグラフベースのクエリを 使 用 して、 最 も 有 用 なクエリをアクティブなダッシュボードに 配 置 できます。Host Intrusion Prevention のデフォルトのダッシュボードには 次 のモニタがあります。表 1: Host IPS ダッシュボードとモニタダッシュボードモニタHost IPS • ファイアウォール ステータス• Host IPS のステータス• サービス ステータス• IPS クライアント ルールの 数• コンテンツ バージョン• 上 位 10 位 のソース IP 別 の NIPS イベントHost IPS でトリガされたシグネチャ • デスクトップでトリガされた 重 大 度 高 のシグネチャ• デスクトップでトリガされた 危 険 度 中 のシグネチャ• デスクトップでトリガされた 重 大 度 低 のシグネチャ• サーバでトリガされた 重 大 度 高 のシグネチャ• サーバでトリガされた 重 大 度 中 のシグネチャ• サーバでトリガされた 重 大 度 低 のシグネチャMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )13

保 護 の 管 理情 報 管 理ダッシュボードの 作 成 方 法 と 使 用 方 法 については、ePolicy Orchestrator のマニュアルを 参照 してください。Host IPS クエリHost Intrusion Prevention では、ePolicy Orchestrator を 介 してクエリを 実 行 できます。ePO データベースに 格 納 されているイベントとプロパティから 有 用 なクエリを 作 成 するか、定 義 済 みのクエリを 使 用 することができます。クライアント システムを 選 択 してグループ 化 し、そのクエリを 作 成 でき、また 製 品 やシステム 条 件 によりレポート 結 果 を 制 限 することもできます。レポートは HTML や Microsoft Excelなどのさまざまなファイル 形 式 でエクスポートできます。クエリ オプション:• フィルタを 設 定 して、 選 択 した 情 報 のみを 収 集 。レポートに 含 めるグループまたはタグを選 択 します。• 論 理 演 算 子 を 使 用 してデータ フィルタを 設 定 し、レポートに 反 映 されるデータの 正 確 なフィルタを 定 義 。• データベースの 情 報 からビジュアルなレポートを 生 成 。 必 要 に 応 じてレポートをフィルタリングし、 印 刷 できます。また、 他 のソフトウェアにエクスポートすることもできます。• コンピュータ、イベント、インストールのクエリを 実 行 。保 護 解 析 に 使 用 する 定 義 済 みクエリとカスタム クエリレポート 機 能 には Host Intrusion Prevention の 定 義 済 みクエリが 含 まれており、カスタムクエリを 作 成 することもできます。要 件 に 合 わせてカスタム クエリを 編 成 し、 維 持 します。たとえば、レポートの 設 定 をカスタマイズする 場 合 、これらの 設 定 をテンプレートとしてエクスポートすることができます。カスタム テンプレートを 作 成 したら、これらを 論 理 的 にグループ 化 し、 必 要 な 頻 度 ( 毎 日 、 毎週 、 毎 月 ) で 実 行 できるようにします。レポートが 生 成 されると、フィルタの 設 定 (ある 場 合 ) に 応 じたサマリの 情 報 が 表 示 されます。このサマリの 情 報 を 使 用 して、 同 じレポートの 1 レベルまたは 2 レベル 下 の 詳 細 情 報にドリルダウンできます。グローバル 管 理 者 と 他 のユーザなど、ユーザに 応 じて、 表 示 できるレポート 情 報 を 制 御 することができます。 一 部 のユーザは、 権 限 を 持 つサイトのシステムに 関 するレポートのみ 作 成できます。レポート 情 報 もフィルタを 適 用 して 管 理 できます。カスタム クエリクエリ ビルダでは、Host IPS 8.0 ファイアウォール クライアント ルール、Host IPS 8.0ファイアウォール クライアント ルールの 実 行 ファイル、Host IPS 8.0 IPS クライアントルール、Host IPS 8.0 IPS 例 外 の 4 つの Host IPSクエリを 作 成 できます。これらのクエリのパラメータは 次 のとおりです。表 2: Host IPS クエリとパラメータクエリHost IPS 8.0 カタログ ファイアウォール ルールとファイアウォール クライアント ルールパラメータ• アクション• 方 向注 意 : このクエリは、IPS カタログ ファイアウォール ルール、IPS カタログ ファイアウォール グループ、ファイアウォール クライアント••使 用 可 能最 終 変 更 日 時ルールを 戻 します。 可 能 な 値 は 許 可 、ブロック、 • 最 終 更 新 ユーザ14McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理情 報 管 理クエリパラメータジャンプです。グループのアクションがジャンプ • LeafNode IDの 場 合 、 許 可 /ブロック アクションはありません。IPS カタログ ルールとグループでは、• ローカル サービスleafNodeId フィルタ 値 が 0 に 設 定 されます。 • ログのステータスファイアウォール クライアント ルールだけを 表 • IP プロトコル示 するには、leafNodeId フィルタの 値 を > 0に 設 定 します。• 侵 入 の 一 致• メディアの 種 類• 名 前• メモ• リモート サービス• ルール ID• スケジュールの 終 了• スケジュールの 開 始• 期 限 が 切 れたときに 切 り 替 え• トランスポート プロトコルHost IPS 8.0 ファイアウォール クライアントルールの 実 行 ファイル• フィンガープリント• 名 前• メモ• パス• ルール ID• 署 名 者 の 名 前Host IPS 8.0 IPS クライアント ルール • 作 成 日• 説 明• 実 行 ファイル 名• 実 行 ファイルのパス• フィンガープリント• 実 行 ファイルの 完 全 名• すべての 実 行 ファイルを 対 象 にする• すべてのシグネチャを 対 象 にする• すべてのユーザを 対 象 にする• 最 終 更 新 日• ローカル バージョン• 対 応• シグネチャ ID• 署 名 者 の 名 前• ステータス• ユーザ 名Host IPS 8.0 IPS 例 外 • IPS 例 外 ルール• IPS ルール ポリシー共 通 の Host IPS プロパティHost IPS カスタム クエリと 他 のカスタム クエリを 使 用 すると、 次 の Host IPS プロパティを 追 加 できます。• エージェントの 種 類• IPS 適 応 モード ステータスMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )15

保 護 の 管 理情 報 管 理• ブロックされた 攻 撃 者 • 言 語• クライアント バージョン• ローカルの 例 外 ルール 数• コンテンツ バージョン • ネットワーク IPS ステータス• ファイアウォールの 適 応 モード ステータ • 再 起 動 待 ちス • プラグインのバージョン• ファイアウォール 違 反 (エラー) • 製 品 ステータス• ファイアウォールの 受 信 学 習 モードのス • サービスの 実 行テータス• HotFix/パッチのバージョン• ファイアウォールの 送 信 学 習 モードのステータス• 製 品 バージョン• ファイアウォールのルール 数• サービス パック• ファイアウォール ステータス• Host IPS イベント 情 報 ( 非 表 示 、 既 読 )• Host IPS 違 反 (エラー)• シグネチャ 名• Host IPS のステータス• インストール ディレクトリ定 義 済 みクエリカスタム クエリ 以 外 にも、 定 義 済 みクエリを 編 集 して 必 要 な 情 報 を 取 得 することもできます。 次 の Host IPS 定 義 済 みクエリから 選 択 します。HIP クエリプロセス 別 クライアント ルールサマリプロセス 別 にファイアウォール クライアント ルールを 表 示 します。プロセス/ポート 範 囲 別 クライアント ルールプロセスおよびポート 範 囲 別 にファイアウォール クライアント ルールを 表 示 します。プロセス/ユーザ 別 クライアント ルールプロセスおよびユーザ 別 にファイアウォール クライアント ルールを 表 示 します。プロトコル/システム 名 別 クライアント ルールプロトコル/ポート 範 囲 別 クライアント ルールプロトコルおよびシステム 名 別 にファイアウォール クライアント ルールを 表 示 します。プロトコルおよびポート 範 囲 別 にファイアウォール クライアント ルールを 表 示 します。プロトコル/プロセス 別 クライアント ルールクライアント バージョン再 起 動 待 ちのクライアントコンテンツ バージョンファイアウォール クライアント ルールの 数IPS クライアント ルールの 数デスクトップでトリガされた重 大 度 高 のシグネチャプロトコルおよプロセス 別 にファイアウォール クライアント ルールを 表 示 します。1 つのカテゴリについて、すべてのバージョンの 中 で 上 位 3 つのクライアント バージョンを 表 示 します。Host IPS が 配 備 され、インストーラがシステムの 再 起 動 を 必 要 としている 管 理 対 象システムを 表 示 します。1 つのカテゴリについて、すべてのバージョンの 中 で 上 位 3 つのコンテンツ バージョンを 表 示 します。過 去 に 作 成 されたファイアウォール クライアント ルールの 数 を 表 示 します。過 去 に 作 成 された IPS クライアント ルールの 数 を 表 示 します。重 大 度 高 ( 重 大 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。16McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理ポリシーの 管 理HIP クエリデスクトップでトリガされた危 険 度 中 のシグネチャデスクトップでトリガされた重 大 度 低 のシグネチャサマリ重 大 度 中 ( 警 告 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。重 大 度 低 ( 通 知 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。Host IPS で 信 頼 できるネットワークで 発 生 したイベントHost IPS の 信 頼 できるネットワーク 内 のシステムが 生 成 したイベントを 表 示 します。ファイアウォール エラーポリシーでファイアウォール 機 能 が 有 効 になっている 管 理 対 象 システムの 中 で、 機能 が 正 常 に 開 始 していないシステムを 表 示 します。ファイアウォール ステータス管 理 対 象 システムの 中 でファイアウォールが 有 効 または 無 効 になっている 場 所 を 表示 します。Host IPS エラーHost IPS のステータスIPS 例 外 レポートサーバでトリガされた 重 大 度高 のシグネチャサーバでトリガされた 重 大 度中 のシグネチャサーバでトリガされた 重 大 度低 のシグネチャサービス ステータス各 ターゲットで 発 生 した 上 位10 個 の IPS イベント各 ソース IP で 発 生 した 上 位10 個 の NIPSトリガされた 上 位 10 種 類 のシグネチャポリシーで IPS 機 能 が 有 効 になっている 管 理 対 象 システムの 中 で、 機 能 が 正 常 に 開始 していないシステムを 表 示 します。管 理 対 象 のシステム 上 で IPS 保 護 が 有 効 または 無 効 になっている 場 所 を 表 示 します。IPS 例 外 を 使 用 する IPS ルール ポリシーを 表 示 します。重 大 度 高 ( 重 大 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。重 大 度 中 ( 警 告 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。重 大 度 低 ( 通 知 ) の IPS シグネチャのうち、 最 も 多 く 呼 び 出 された 上 位 10 種 類 のIPS シグネチャを 表 示 します。管 理 対 象 システムで Host IPS がインストールされ、 実 行 されているかどうかを 表示 します。IPS イベントが 発 生 した 上 位 10 個 のシステムを 表 示 します。過 去 3 か 月 間 でネットワーク 侵 入 イベントの 多 い 上 位 10 個 のシステムをソースIP アドレス 別 に 表 示 します。アクションのきっかけになった 上 位 10 種 類 の IPS シグネチャを 表 示 します。ポリシーの 管 理ポリシーの 管 理 では、ポリシーの 設 定 および 適 用 と、システム リソースおよびアプリケーションに 対 する 保 護 の 調 整 を 行 います。このプロセスの 一 部 では、イベントおよびクライアント ルールの 分 析 が 必 要 です。ポリシーの 場 所ePolicy Orchestrator では、システム ツリーで 選 択 したグループの [ポリシー] タブ ([システム]、[システム ツリー]、[ポリシー] の 順 に 移 動 ) または [ポリシー カタログ] タブ([システム]、[ポリシー カタログ] の 順 に 移 動 ) で Host Intrusion Prevention ポリシーを 表 示 し、 管 理 できます。選 択 したグループまたはシステムの [ポリシー] タブで、 次 の 操 作 を 行 います。• 製 品 の 特 定 の 機 能 のプロパティを 表 示 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )17

保 護 の 管 理ポリシーの 管 理• ポリシーの 詳 細 を 表 示 します。• 継 承 情 報 を 表 示 します。• ポリシー 割 り 当 てを 編 集 します。• カスタム ポリシーを 編 集 します。[ポリシー カタログ] で 次 の 操 作 を 行 います。• ポリシーを 作 成 します。• ポリシー 情 報 を 表 示 して 編 集 します。• ポリシーの 割 り 当 て 先 を 表 示 します。• ポリシーの 設 定 と 所 有 者 を 表 示 します。• ポリシーの 施 行 が 無 効 な 割 り 当 てを 表 示 します。操 作 ...ポリシーの 作 成ポリシーの 編 集ポリシーの 表 示ポリシー 名 の 変 更ポリシーの 複 製ポリシーの 削 除手 順 ...[ 新 しいポリシー] をクリックし、 名 前 を 付 け、 設 定 を 編 集 します。[ 編 集 ] をクリックします ( 個 人 用 のデフォルト ポリシーまたはカスタムポリシーにのみ 使 用 できます)。[ 表 示 ] をクリックします (McAfee デフォルト ポリシーまたは 設 定 済 みポリシーにのみ 使 用 できます)。[ 名 前 の 変 更 ] をクリックし、ポリシーの 名 前 を 変 更 します (デフォルトポリシーまたは 設 定 済 みポリシーには 使 用 できません)。[ 複 製 ] をクリックし、ポリシーの 名 前 を 変 更 し、 設 定 を 編 集 します。[ 削 除 ] をクリックします (デフォルト ポリシーまたは 設 定 済 みポリシーには 使 用 できません)。注 意 : ポリシーを 削 除 した 場 合 、そのポリシーが 適 用 されていたすべてのグループは、このカテゴリのポリシーを 親 から 継 承 します。ポリシーを 削除 する 前 に、ポリシーが 割 り 当 てられているすべてのシステムを 調 べ、 親からポリシーを 継 承 させたくない 場 合 は、 異 なるポリシーを 割 り 当 てます。最 上 位 レベルで 適 用 されているポリシーを 削 除 した 場 合 は、このカテゴリのデフォルト ポリシーが 適 用 されます。ポリシーの 所 有 者 の 割 り 当 てポリシーのエクスポートすべてのポリシーのエクスポートポリシーのインポートポリシーの 所 有 者 をクリックし、リストから 別 の 所 有 者 を 選 択 します (デフォルト ポリシーまたは 設 定 済 みポリシーには 使 用 できません)。[エクスポート] をクリックした 後 、ポリシーに 名 前 を 付 けて 適 切 な 場 所 に保 存 します (XML ファイル)。[すべてのポリシーをエクスポート] をクリックした 後 、ポリシーの XMLファイルに 名 前 を 付 けて 適 切 な 場 所 に 保 存 します。[ポリシー カタログ] ページ 上 部 の [インポート] をクリックし、ポリシーの XML ファイルを 選 択 してから、[OK] をクリックします。これらの 機 能 の 詳 細 については、ePolicy Orchestrator のマニュアルを 参 照 してください。ポリシーの 設 定McAfee では、Host Intrusion Prevention ソフトウェアをインストールした 後 、 毎 日 の 作 業と 競 合 することなく 最 高 のセキュリティが 得 られるようにポリシーを 設 定 することをお 勧 めしています。Host Intrusion Prevention のデフォルト ポリシーは、 非 常 に 広 い 範 囲 のカスタマ 環 境 に 適 合 するため、ユーザのニーズに 合 う 可 能 性 があります。 特 定 の 設 定 に 適 合 するようにポリシーを 調 整 するために、 次 の 事 項 を 推 奨 します。18McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理ポリシーの 管 理• Host Intrusion Prevention セキュリティ 設 定 は 慎 重 に 定 義 してください。システムの 特定 部 分 の 設 定 に 責 任 を 持 っている 人 を 評 価 して、 適 切 な 権 限 を 許 可 します。• デフォルトの IPS 保 護 またはファイアウォール ルール ポリシーを 変 更 することで、 事前 に 設 定 された 保 護 のレベルを 向 上 できます。• 特 定 のシグネチャの 重 大 度 レベルを 変 更 します。たとえば、ユーザの 毎 日 の 作 業 でシグネチャが 発 生 する 場 合 、 重 大 度 レベルを 低 く 調 整 します。• コンプライアンスおよび 問 題 の 概 要 に 対 してダッシュボードを 設 定 します。• 特 定 のイベントが 発 生 したときに 特 定 の 個 人 にアラートを 送 信 するように 通 知 機 能 を 設 定します。たとえば、 特 定 サーバで、 重 大 度 高 のイベントを 発 生 させるアクションが 実 行 されたときに 通 知 を 送 信 するようにできます。ポリシーの 新 規 作 成新 しいポリシーを 作 成 するには、 既 存 のポリシーをコピーして 名 前 を 変 更 します。この 操 作は、ポリシー カタログまたは [ポリシー] ページから 実 行 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。• ポリシー カタログから 以 下 のいずれかを 実 行 します。• [ 新 規 ポリシー] ボタンをクリックします。 複 製 するポリシーを 選 択 して、 新 しいポリシーの 名 前 を 入 力 し、[OK] をクリックします。• ポリシーの [ 複 製 ] リンクをクリックします。 新 しいポリシーの 名 前 を 入 力 し、[OK]をクリックします。• ポリシーの [ 表 示 ] または [ 編 集 ] リンクをクリックし、[ポリシー] ページで [ 複 製 ]ボタンをクリックします。 新 しいポリシーの 名 前 を 入 力 し、[OK] をクリックします。複 製 されたポリシーが 表 示 されます。ポリシーを 編 集 して [ 保 存 ] をクリックします。ポリシー 割 り 当 ての 変 更ePolicy Orchestrator システム ツリーのグループまたはシステムの Host IntrusionPrevention ポリシー 割 り 当 てを 変 更 するには、このタスクを 実 行 します。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。• 次 のいずれかの 操 作 を 実 行 します。• グループの 場 合 は、[システム] の [システム ツリー] を 表 示 し、グループを 選 択 して、[ポリシー] タブで [ 割 り 当 ての 編 集 ] をクリックします。• システムの 場 合 は、[システム] の [システム ツリー] を 表 示 し、システムを 含 むグループを 選 択 して、[システム] タブでシステムを 選 択 し、[その 他 のアクション] の[1 つのシステムのポリシーを 変 更 ] を 選 択 します。デフォルトの 保 護 と 調 整Host Intrusion Prevention は、デフォルトのポリシーを 使 用 して 基 本 的 な 保 護 対 策 を 行 います。 手 動 または 自 動 の 微 調 整 を 用 いて 実 現 されるカスタム 設 定 により、 保 護 をより 強 力 にすることが 可 能 です。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )19

保 護 の 管 理ポリシーの 管 理デフォルトの 保 護Host Intrusion Prevention は、 使 用 環 境 に 基 本 的 な 保 護 を 提 供 するデフォルト ポリシーのセットを 搭 載 して 出 荷 されます。デフォルトでは、IPS とファイアウォール 保 護 はいずれも無 効 になっています。デフォルト ルール ポリシーを 施 行 するには、これらを 有 効 にする 必要 があります。詳 細 な 保 護 を 行 うためには、デフォルトの IPS ポリシーからより 強 固 に 事 前 設 定 されたポリシーに 移 行 するか、またはカスタム ポリシーを 作 成 します。新 しい 設 定 を 監 視 して 調 整 するためには、サンプル 配 布 から 始 めます。 調 整 には、 侵 入 防 止保 護 、 必 要 な 情 報 へのアクセス、およびグループの 種 類 ごとのアプリケーション、これらのバランスを 取 ることが 必 要 です。手 動 調 整手 動 調 整 では、 任 意 の 期 間 においてイベントを 直 接 監 視 し、クライアント ルールを 作 成 する必 要 があります。• IPS 保 護 のためには、 誤 検 知 がないかイベントを 監 視 し、 例 外 または 信 頼 できるアプリケーションを 作 成 して、これらのイベントが 再 発 するのを 防 止 します。• ファイアウォールの 保 護 のためには、ネットワーク トラフィックを 監 視 し、 信 頼 されるネットワークを 追 加 して 適 切 なネットワーク トラフィックが 確 保 できるようにします。• 新 しい 例 外 、 信 頼 されるアプリケーションおよび 信 頼 されるネットワークの 効 果 を 監 視 します。• これらのルールが 誤 検 知 を 防 止 し、ネットワーク トラフィックを 最 小 限 に 抑 え、 正 当 な動 作 を 許 可 することに 成 功 している 場 合 には、そのルールを 新 しいポリシーまたはデフォルト ポリシーに 追 加 します。• 新 しいポリシーを 特 定 のコンピュータ セットに 適 用 し、その 結 果 を 監 視 します。• 各 製 品 グループの 種 類 に 対 して、この 手 順 を 繰 り 返 します。自 動 調 整自 動 調 整 では、すべてのイベントやすべてのユーザの 活 動 を 常 に 監 視 する 必 要 性 はありません。• IPS ポリシーとファイアウォール ポリシーに 適 応 モードを 適 用 します。• 適 応 モードでは、 不 正 使 用 されたもの 以 外 は IPS イベントは 発 生 せず、 動 作 はブロックされません。クライアント ルールは 自 動 的 に 作 成 され、 正 当 な 動 作 が 許 可 されます。• クライアント ルールのリストを 確 認 します。• 適 切 なクライアント ルールを 管 理 ポリシー ルールに 追 加 します。• 数 週 間 後 に、 適 応 モードを 終 了 します。• テスト グループを 数 日 間 監 視 し、ポリシーの 設 定 が 適 切 であり、 必 要 な 保 護 が 行 われていることを 確 認 します。• 各 製 品 グループの 種 類 に 対 して、この 手 順 を 繰 り 返 します。クライアントと 配 備 の 計 画Host Intrusion Prevention クライアントは 重 要 な 保 護 コンポーネントです。クライアントを 配 備 するときに、 段 階 的 なアプローチを 推 奨 します。• クライアント 展 開 の 初 期 計 画 を 決 定 。 社 内 のすべてのホスト (サーバ、デスクトップおよび ノート PC) に Host Intrusion Prevention クライアントを 配 備 しますが、McAfee では、 初 めは 限 定 数 の 代 表 的 なシステムにクライアントをインストールして、 設 定 を 調 整 す20McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理ポリシーの 管 理ることをお 勧 めします。 配 備 の 微 調 整 が 終 了 したら、さらに 多 数 のクライアントを 配 備 して、 初 期 に 展 開 した 中 で 作 成 したポリシー、 例 外 、およびクライアント ルールを 活 用 します。• クライアントに 対 する 命 名 規 則 の 確 立 。システム ツリー 上 でクライアントは 名 前 で 区 別されます。また、 特 定 のレポートやクライアント 上 の 動 作 で 生 成 されるイベント データでも 名 前 で 区 別 されます。クライアントは、インストールするホスト 名 を 引 き 継 ぐことも、インストール 中 に 特 定 のクライアント 名 を 割 り 当 てることもできます。McAfee では、クライアントに 対 して、Host Intrusion Prevention の 配 備 作 業 の 関 係 者 にわかりやすい命 名 ルールを 確 立 することをお 勧 めします。• クライアントのインストール。クライアントは、IPS ポリシーとファイアウォール ポリシーのデフォルト セットでインストールできます。ルールを 更 新 した 新 しいポリシーは、後 でサーバから 適 用 できます。• クライアントの 論 理 的 なグループ 分 け。クライアントは、システム ツリーの 階 層 に 適 合する 任 意 の 基 準 でグループ 分 けできます。たとえば、 配 備 場 所 、 企 業 内 での 機 能 、またはシステムの 特 性 に 従 ってクライアントをグループ 分 けできます。クライアント データとそのデータの 解 析クライアントをインストールしてグループ 化 すると、 配 備 が 完 了 します。クライアントの 動作 により 発 生 するイベントの 表 示 が 開 始 されます。クライアントを 適 応 モードに 配 置 した 場合 、どのクライアントの 例 外 ルールが 作 成 されているかを 示 すクライアント ルールが 表 示 されます。このデータを 解 析 して、 配 布 の 調 整 を 開 始 します。イベント データの 解 析 については、[レポート] の 下 にある [Host IPS] タブの [イベント]タブを 参 照 してください。イベントを 発 生 させたプロセス、イベントの 発 生 時 点 、およびイベントを 発 生 させたクライアントなど、イベントの 詳 細 を 探 ることができます。イベントを解 析 し、 適 切 に 対 処 することで、Host Intrusion Prevention の 配 布 に 調 整 を 加 え、 攻 撃 に対 する 対 応 を 強 化 できます。[イベント] タブには、すべての Host IPS イベント (NIPS、ファイアウォール、 侵 入 、TrustedSource ブロック イベント) が 表 示 されます。クライアント ルールを 解 析 するには、[IPS クライアント ルール] タブと [ファイアウォール クライアント ルール] タブを 表 示 します。 作 成 中 のルールを 表 示 し、ルールを 集 約 して最 も 優 勢 な 共 有 ルールを 見 つけ、 他 のクライアントに 適 用 するポリシーにそのルールを 直 接移 動 できます。また、ePolicy Orchestrator レポート モジュールでは、イベント、クライアント ルール、および Host Intrusion Prevention の 設 定 に 基 づいて、 詳 細 なレポートを 作 成 できます。これらのクエリを 使 用 して、チーム メンバや 管 理 メンバに 環 境 動 作 を 連 絡 します。適 応 モード調 整 プロセスでは、IPS およびファイアウォールで Host Intrusion Prevention クライアントを 適 応 モードにします。このモードによりコンピュータは、 管 理 者 ポリシーに 対 するクライアントの 例 外 ルールを 作 成 できます。 適 応 モードはこの 処 理 を 自 動 的 に 行 います。ユーザの 操 作 は 必 要 ありません。このモードでは、まずバッファ オーバフローなど 最 も 悪 意 のある 攻 撃 に 対 してイベントを 解析 します。 動 作 が、 業 務 上 通 常 のものであり 必 要 とみなされると、クライアントの 例 外 ルールが 作 成 されます。 適 応 モードで 代 表 的 なクライアントを 設 定 することで、 設 定 の 調 整 が 行えます。Host Intrusion Prevention では、クライアントのルールから、 任 意 のものを 選 択 、すべて 選 択 、または 何 も 選 択 せずに、サーバで 指 示 したポリシーに 変 換 できます。 調 整 が 完了 すると、 適 応 モードを 終 了 して、システムの 侵 入 防 止 保 護 を 強 化 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )21

保 護 の 管 理ポリシーの 管 理• 少 なくとも 1 週 間 は 適 応 モードでクライアントを 実 行 してください。これにより、クライアントは 通 常 遭 遇 するすべての 動 作 に 遭 遇 する 時 間 が 得 られます。バックアップまたはスクリプト 処 理 などスケジュールした 動 作 の 時 間 に 実 行 するようにしてください。• それぞれの 動 作 が 発 生 するごとに、IPS イベントが 生 成 され、 例 外 が 作 成 されます。 例 外は、 正 当 な 動 作 として 区 別 される 動 作 です。たとえば、ポリシーでは、 特 定 のスクリプト処 理 が 不 当 な 動 作 と 判 断 されても、エンジニアリング グループのシステムで、こうしたタスクを 実 行 することが 必 要 な 場 合 もあります。こうしたシステムに 対 して 例 外 を 作 成 して、システムは 正 常 に 機 能 しながら、この 動 作 はポリシーにより 他 のシステムでは 実 行 されないようにします。 次 に、これらの 例 外 をサーバが 指 示 するポリシーの 一 部 として、エンジニアリング グループのみに 適 用 します。• ソフトウェア アプリケーションが、 社 内 の 一 部 の 部 署 では 通 常 業 務 に 必 要 であり、 他 の部 署 では 使 用 しない 場 合 があります。たとえば、テクニカル サポート 部 ではインスタント メッセージを 許 可 しますが、 経 理 部 では 使 用 しない 場 合 があります。テクニカル サポートでは、このアプリケーションを 信 頼 できるアプリケーションとしてシステムに 確 立し、ユーザがフル アクセスできるようにできます。• ファイアウォール 機 能 は、コンピュータとネットワークまたはインターネットの 間 でフィルタとして 機 能 します。ファイアウォールは、パケット レベルで 受 信 と 送 信 のトラフィックをすべてスキャンします。ファイアウォールは、 送 受 信 される 各 パケットを 確 認 しながら、 関 連 動 作 の 一 連 の 基 準 である、ファイアウォール ルールのリストをチェックします。パケットがルールのすべての 基 準 と 一 致 すると、ファイアウォールはルールで 指 定 されたアクションを 実 行 して、パケットを 通 過 させるかまたはブロックします。FAQ - 適 応 モード適 応 モードでは、 新 しいポリシーのテストをしながら IPS およびファイアウォール 機 能 に 適応 できます。Host Intrusion Prevention クライアントは、 脆 弱 性 に 対 する 最 小 限 の 保 護 レベルを 維 持 しながら、ルールを 自 動 的 に 作 成 してアクティビティを 許 可 します。 以 下 では、この 機 能 に 関 するよくある 質 問 を 説 明 します。適 応 モードを 有 効 にする 方 法 を 教 えてください。適 応 モードを 有 効 にするには、IPS オプションまたはファイアウォール オプション ポリシーで 有 効 にして Host Intrusion Prevention クライアントに 適 用 します。IPS とファイアウォールで 適 応 モードの 動 作 は 異 なりますか?IPS の 適 応 モードでは、クライアント 側 で 既 存 の IPS シグネチャに 対 する 例 外 ルールが 作 成されます。ファイアウォールの 適 応 モードでは、 既 存 のファイアウォール ルールで 対 応 できないネットワーク パケットを 許 可 するルールがクライアント 側 で 作 成 されます。IPS クライアントの 例 外 は、パスに 基 づきユーザ、プロセス、シグネチャごとに 作 成 されます。ファイアウォール クライアント ルールはプロセスごとに 作 成 されます。ファイアウォール クライアント ルールに 関 連 するプロセスは、パス、ファイルの 説 明 、デジタル 署 名 、MD5ハッシュで 記 述 されます。適 応 モードでルールが 自 動 的 に 作 成 されないことがありますか?IPS の 場 合 :• 有 効 な IPS ルール ポリシーのシグネチャでクライアント ルールの 作 成 が 許 可 されていない 場 合 。(この 設 定 は、 大 半 の 危 険 度 高 の IPS シグネチャで 標 準 の 設 定 です。これらのシグネチャは、システムに 対 する 最 も 重 大 な 脅 威 を 検 知 し、 防 止 するように 調 整 されています。 通 常 のビジネス 活 動 で 例 外 の 自 動 化 が 必 要 になることはありません。)• このシグネチャに 対 する 対 応 が「 無 視 」に 設 定 されている 場 合 。22McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理ポリシーの 管 理• 関 連 するアクションでネットワーク IPS シグネチャが 生 成 される 場 合 。• シグネチャ 1000 のサービスの 自 己 保 護 のクライアント ルールの 設 定 に 関 係 なく、ユーザが McAfee Host IPS サービスを 試 みた 場 合 。• すでに 例 外 が 発 生 ている 場 合 。 問 題 の 操 作 は、 適 用 されている IPS ルール ポリシーで 除外 されています。• 信 頼 できるアプリケーション ポリシーで、アクションに 関 連 するプロセスが IPS で 信 頼され、シグネチャが 信 頼 できるアプリケーションから 除 外 されている 場 合 、ファイアウォールの 場 合 :• クライアント アクティビティ ログでパケットに 関 連 するアプリケーションがない 場 合 。最 も 一 般 的 な 例 は 次 のとおりです。• 実 行 されていないサービスの 受 信 要 求 。FTP または Telnet など。• 受 信 ICMP。echo 要 求 など。• Microsoft Windows Vista での 受 信 または 送 信 ICMP• ポート 139 (NetBIOS SSN) または 445 (MSDS) に 対 する TCP パケット。これは Windowsファイル 共 有 に 必 要 になる 場 合 があります。• VPN クライアント ソリューションに 関 連 する IPsec パケット• パケットをブロックまたは 許 可 するファイアウォール ルール ポリシーがすでに 適 用 されている 場 合 。• 適 用 済 みのファイアウォール ルール ポリシーに、 接 続 隔 離 が 有 効 な 場 所 別 のグループが存 在 し、アクティブなネットワーク インターフェース カード (NIC) がグループに 一 致し、さらに、グループに 一 致 しない NIC からパケットが 送 信 または 受 信 される 場 合 。• パケットが TCP、UDP、ICMP でない 場 合 。• 複 数 のユーザがシステムにログオンしている 場 合 。またはシステムにユーザが 1 人 もログオンしていない 場 合 。他 の 制 限 がありますか?• IPS がクライアント ルールに 関 連 するユーザを 検 出 できない 場 合 があります (ePolicyOrchestrator のクライアント ルールで「 不 明 なドメイン」、「 不 明 なユーザ」として 表示 されます)。これらのルールで 例 外 が 作 成 される 場 合 がありますが、ルールはすべてのユーザに 適 用 されています。• リモート デスクトップまたは HTTPS の 受 信 TCP 接 続 で、ファイアウォール ルールの 作成 に 数 回 かかる 場 合 があります。Host IPS のポリシー 移 行バージョン 6.1 または 7.0 ポリシーを 8.0 形 式 に 変 換 しないと、McAfee Host IntrusionPrevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで 実 行 できません。Host Intrusion Prevention 8.0 では、ePolicy Orchestrator の [ 自 動 処 理 ] の 下 にある Host IPS ポリシー 移 行 ツール 機 能 を 使 用 すると、ポリシーを 簡 単 に 管 理 できます。 移 行中 にポリシーが 変 換 され、 移 動 されます。ポリシーを 移 行 すると、ポリシー カタログで 該 当する Host IPS 8.0 製 品 機 能 とカテゴリの 下 に 表 示 され、ポリシー 名 の 後 に [6.1] または[7.0] という 文 字 列 が 続 きます。次 の 場 合 を 除 き、すべてのポリシーが 変 換 され、 対 応 するバージョン 8.0 ポリシーに 移 行 されます。• アプリケーション ブロック オプション ポリシーは 移 行 されません。バージョン 8.0では、これらのポリシーは 削 除 されました。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )23

保 護 の 管 理ポリシーの 管 理• アプリケーション ブロック ルール ポリシーは IPS ルール ポリシーに 移 行 され、「アプリケーション フックと 呼 び 出 し 保 護 名 前 [6.1 または 7.0]」という 名 前 に 変 わります。バージョン 8.0 では、これらのポリシーは 削 除 されています。これらのポリシーがIPS ルール ポリシーに 移 行 されると、アプリケーション 保 護 ルール リストは 空 になります。 例 外 リストには、「アプリケーション フックで 信 頼 できる」と 設 定 されたデフォルトの 信 頼 アプリケーションの 例 外 が 残 ります。 移 行 後 のポリシーを 使 用 するには、マルチインスタンス ポリシー 設 定 で 個 人 用 のデフォルト IPS ルールを 割 り 当 てる 必 要 があります。このポリシーは、コンテンツの 更 新 により 最 新 のアプリケーション 保 護 リストを 使 用します。注 意 : アプリケーション ブロック ルール ポリシーでフックがブロックされるアプリケーションは 移 行 されません。このアプリケーションは、 移 行 後 に IPS ルール ポリシーのアプリケーション 保 護 ルールに 手 動 で 追 加 する 必 要 があります。アプリケーションのフックで 信 頼 できると 設 定 された 信 頼 できるアプリケーション ポリシーをバージョン 8.0に 移 行 する 場 合 には、Host IPS ルール ポリシーのシグネチャ 6010 ( 汎 用 アプリケーション フック 保 護 ) でアプリケーションの 例 外 を 作 成 し、アプリケーション フック 保 護 を 維持 する 必 要 があります。• ファイアウォール 隔 離 オプション ポリシーは 移 行 されません。バージョン 8.0では、これらのポリシーは 削 除 されました。• ファイアウォール 隔 離 ルール ポリシーは 移 行 されません。バージョン 8.0では、これらのポリシーは 削 除 されました。• IPS クライアント ルールとファイアウォール クライアント ルールは 移 行 されません。注 意 : ポリシーの 割 り 当 ては 移 行 時 に 実 行 されます。システム ツリーの 特 定 の 場 所 で 継 承 が無 効 になっていると、 割 り 当 ては 上 書 きされません。 移 行 済 みの 割 り 当 てを 統 合 するときに、システム ツリーの 他 の 場 所 で 継 承 が 無 効 になる 可 能 性 があります。ポリシーを 移 行 した 後 は必 ずポリシー 割 り 当 てを 確 認 してください。ポリシーの 直 接 的 な 移 行Host Intrusion Prevention 8.0 拡 張 ファイルをインストールした 後 で、 既 存 のすべてのポリシーを 移 行 する 最 も 簡 単 な 方 法 は 直 接 移 行 する 方 法 です。1 [ 自 動 処 理 ]、[Host IPS ポリシー 移 行 ツール] の 順 にクリックします。2 ePO ポリシー カタログの Host IPS 6.1 または 7.0 ポリシーの 下 にある [アクション]で [ 移 行 ] をクリックします。3 ポリシーの 移 行 が 完 了 したら、[ 閉 じる] をクリックします。バージョン6.1 または 7.0 の IPS、ファイアウォール、 全 般 機 能 ポリシーがバージョン 8.0に 変 換 され、 名 前 の 後 に [6.1] または [7.0] が 付 きます。注 意 : ポリシー 移 行 を 再 度 実 行 すると、 同 じ 名 前 で 移 行 されたポリシーは 上 書 きされます。このプロセスは 必 須 です。 既 存 の 6.1 または 7.0 ポリシーはすべて 移 行 されます。 移 行 するポリシーを 選 択 する 場 合 には、XML ファイルを 使 用 して 移 行 してください。XML ファイルによるポリシーの 移 行Host Intrusion Prevention 6.1/7.0 拡 張 ファイルがインストールされていないときに、 単一 のポリシーを XML ファイルにエクスポートしている 場 合 、あるいはバージョン 6.1/7.0のポリシーを 選 択 して 移 行 する 場 合 には、XML ファイルを 使 用 して 移 行 作 業 を 行 います。このプロセスでは、 最 初 に Host Intrusion Prevention 6.1 または 7.0 ポリシーを XML 形 式にエクスポートします。 次 に、XML ファイルの 内 容 を 変 更 し、Host Intrusion Prevention8.0 ポリシーに 変 換 します。この XML ファイルは ePO ポリシー タログにインポートされます。24McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理システム 管 理1 [ 自 動 処 理 ]、[Host IPS ポリシー 移 行 ツール] の 順 にクリックします。2 XML ファイルの Host IPS 6.1 または 7.0 ポリシーのアクションで、[ 移 行 ] をクリックします。3 エクスポート 済 みの Host IPS 6.1 または 7.0 の XML ファイルを 選 択 して [OK] をクリックします。XML ファイルがバージョン 8.0 形 式 のポリシーに 変 換 されます。4 変 換 済 みの MigratedPolicies.xml ファイルへのリンクを 右 クリックして 保 存 し、インポートに 使 用 します。5 XML を ePO ポリシー カタログにインポートします。システム 管 理Host Intrusion Prevention の 配 備 を 管 理 する 際 には、 不 定 期 のシステム タスクを 実 行 する必 要 があります。これらのタスクには、ユーザ アクセス 許 可 の 設 定 、サーバ タスク、 通 知 、およびコンテンツの 更 新 が 含 まれます。Host IPS 権 限 セット権 限 セットとは、 特 定 の 製 品 または 製 品 の 機 能 のためのユーザ アカウントに 許 可 された 権 限のグループのことです。1 つ 以 上 の 権 限 セットを 割 り 当 てることができます。グローバル 管理 者 には、すべての 製 品 と 機 能 のすべての 権 限 が 自 動 的 に 割 り 当 てられます。 権 限 セットでは 権 限 を 許 可 するだけであり、 権 限 を 削 除 することはできません。グローバル 管 理 者 は、ユーザ アカウントの 作 成 または 編 集 時 および 権 限 セットの 作 成 または編 集 時 に、 既 存 の 権 限 セットを 割 り 当 てることができます。Host Intrusion Prevention 拡 張 ファイルは、 権 限 を 適 用 せずに Host Intrusion Preventionセクションを 権 限 セットに 追 加 します。グローバル 管 理 者 は、Host IPS 権 限 を 既 存 の 権 限セットに 付 与 するか、 新 しい 権 限 セットを 作 成 して 追 加 する 必 要 があります。Host Intrusion Prevention では、 製 品 の 機 能 ごとに 権 限 を 許 可 し、 読 み 取 りまたは 読 み 取り/ 書 き 込 みの 権 限 をユーザに 許 可 することができます。これは、Host Intrusion Preventionポリシーのページと [レポート] の Host Intrusion Prevention イベントおよびクライアント ページに 適 用 されます。Host IPS の 機 能 ...IPSファイアウォール全 般利 用 可 能 な 権 限 ...なし、 設 定 の 表 示 のみ、または 設 定 の 表 示 および 変 更なし、 設 定 の 表 示 のみ、または 設 定 の 表 示 および 変 更なし、 設 定 の 表 示 のみ、または 設 定 の 表 示 および 変 更また、グローバル 管 理 者 は、クエリとダッシュボードを 含 む、Host Intrusion Preventionで 使 用 するその 他 の 項 目 を 処 理 する ePolicy Orchestrator 権 限 を 許 可 する 必 要 があります。たとえば、[レポート] の Host IPS ページで 見 つかったファイアウォール クライアントルールを 解 析 して 管 理 するには、ユーザにイベント ログ、システム、システム ツリーに 対する 表 示 権 限 が 必 要 です。また、Host Intrusion Prevention ファイアウォール 機 能 の 表 示および 変 更 権 限 が 必 要 です。表 3: 機 能 の 実 行 に 必 要 な 権 限Host IPS の 機 能Host IPS ダッシュボードHost IPS クエリ必 要 な 権 限 セットダッシュボード、クエリクエリMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )25

保 護 の 管 理システム 管 理Host IPS の 機 能Host IPS クライアント イベントとクライアント ルールHost IPS のサーバ タスクリポジトリ 内 の Host IPS パッケージHost IPS 通 知必 要 な 権 限 セットシステム、システム ツリー、イベント ログサーバ タスクソフトウェア通 知権 限 セットの 詳 細 については、ePolicy Orchestrator のマニュアルを 参 照 してください。権 限 セットの 割 り 当 てePO サーバで Host Intrusion Prevention 機 能 に 対 する 権 限 を 割 り 当 てるには、このタスクを 実 行 します。操 作 を 始 める 前 にアクセス 権 と 権 限 セットを 付 与 する Host Intrusion Prevention 機 能 を 決 めます。これにより、この Host Intrusion Prevention 機 能 に 対 するすべてのアクセス 権 が 付 与 されます。たとえば、ファイアウォール クライアント ルールを 表 示 するには、Host Intrusion Prevention権 限 セットでファイアウォール 機 能 に 対 する 権 限 を 付 与 するだけでなく、イベント ログ、システム、システム ツリーに 対 するアクセス 権 が 必 要 です。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [ 設 定 ]、[ 権 限 セット] の 順 に 移 動 します。2 [Host Intrusion Prevention] の 横 の [ 編 集 ] をクリックします。3 各 機 能 に 必 要 な 権 限 を 選 択 します。• なし• 設 定 の 表 示 のみ• 設 定 を 表 示 して 変 更4 [ 保 存 ] をクリックします。5 必 要 な 他 の 権 限 を 割 り 当 てます。Host IPS の 機 能Host IPS イベントHost IPS クライアント IPS ルールHost IPS クライアント ファイアウォール ルールHost IPS ダッシュボードHost IPS クエリ割 り 当 てる 権 限 セットHost Intrusion Prevention - IPS、イベント ログ、システム ツリーへのアクセス 権Host Intrusion Prevention - IPS、イベント ログ、システム ツリーへのアクセス 権Host Intrusion Prevention - ファイアウォール、イベント ログ、システム ツリーへのアクセス 権ダッシュボード、クエリクエリHost IPS のサーバ タスクHost Intrusion Prevention には、いくつかのサーバ タスクが 事 前 に 設 定 されています。これらのタスクは、 特 定 のスケジュールで 実 行 したり、Host Intrusion Prevention 保 護 メン26McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理システム 管 理テナンスですぐに 実 行 することもできます。サーバ タスク ビルダの [アクション] タブで[ 新 規 タスク] をクリックして、Host IPS プロパティを 選 択 すると、Host IntrusionPrevention のカスタム サーバ タスクを 作 成 できます。サーバ タスクの 作 成 と 実 行 の 詳 細については、ePolicy Orchestrator のマニュアルを 参 照 してください。既 存 のサーバ タスクを 実 行 するには、[ 自 動 処 理 ]、[サーバ タスク] の 順 に 移 動 し、[アクション] で 該 当 するコマンドを 実 行 します。カスタム サーバ タスクを 作 成 するには、[ 新 規タスク] をクリックして、サーバ タスク ビルダ ウィザードの 指 示 に 従 います。表 4: 事 前 設 定 のサーバ タスクとカスタム サーバ タスクサーバ タスク説 明Host IPS プロパティ 変 換 ( 事 前 設 定 )リポジトリのプル (カスタム)クエリの 実 行 (カスタム)イベント ログを 削 除 (カスタム)このサーバ タスクは、ePolicy Orchestrator データベースに 保 存 されている Host Intrusion Prevention クライアント ルールを 変 換 し、Host Intrusion Prevention でデータのソート、グループ 化 、フィルタリングを 行 います。このタスクは、15 分 ごとに 自 動 的 に 実 行 される 設 定になっています。ユーザとの 対 話 は 必 要 ありません。クライアント アクションのアクションをすぐに 確 認 する 必要 がある 場 合 には、 手 動 で 実 行 することもできます。このサーバ タスクでは、ソース サイトからパッケージを 取 得 し、マスター リポジトリに 保 存 するカスタム タスクを 作 成 できます。パッケージの 種 類 で Host IPS コンテンツを 選 択 して、コンテンツの 更 新 を 自 動 的 に 取 得します。このサーバ タスクでは、 指 定 した 時 間 とスケジュールでHost Intrusion Prevention の 事 前 設 定 クエリを 実 行 するカスタム タスクを 作 成 できます。このサーバ タスクでは、Host Intrusion Prevention クエリに 従 ってイベント ログを 削 除 するカスタム タスクを 作 成 できます。ログから 削 除 する Host IPS イベントクエリを 選 択 します。Host IPS イベント 通 知通 知 では、Host Intrusion Prevention クライアント システムに 発 生 したイベントをユーザに 通 知 できます。ePolicy Orchestrator サーバが、 特 定 のイベントを 受 信 して 処 理 した 場 合に、 電 子 メールまたは SNMP トラップの 送 信 、または 外 部 コマンド 実 行 のルールを 設 定 できます。 通 知 メッセージを 生 成 するイベントのカテゴリや 通 知 の 送 信 頻 度 を 指 定 できます。 詳細 については、ePolicy Orchestrator 4.0 のマニュアルを 参 照 してください。通 知 の 使 用 に 関 するヒントHost Intrusion Prevention 環 境 では、イベントが 発 生 すると、ePolicy Orchestrator サーバに 配 信 されます。 通 知 ルールは、 影 響 を 受 けたシステムを 含 むグループまたはサイトに 関連 しており、このイベントに 対 して 適 用 されます。ルールの 条 件 が 一 致 すると、ルールの 規定 に 従 い、 通 知 メッセージの 送 信 または 外 部 コマンドの 実 行 が 行 われます。システム ツリーのレベルごとに 個 別 にルールを 設 定 することができます。 集 約 とスロットルに 基 づいたしきい 値 を 設 定 して、 通 知 メッセージを 送 信 するタイミングを 設 定 することもできます。通 知 ルールePolicy Orchestrator には、 有 効 にしてすぐに 使 用 できるデフォルトのルールが 用 意 されています。デフォルトのルールを 有 効 にする 前 に、 次 の 項 目 を 行 います。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )27

保 護 の 管 理システム 管 理• 通 知 メッセージを 送 信 する 電 子 メール サーバを 指 定 します。• 受 信 者 の 電 子 メールアドレスが 正 しく 設 定 されていることを 確 認 します。すべてのルールは、 次 のような 同 じ 基 本 的 方 法 で 作 成 されます。1 ルールの 内 容 を 説 明 。2 ルールにフィルタを 設 定 。3 ルールにしきい 値 を 設 定 。4 送 信 メッセージとデリバリの 種 類 を 作 成 。通 知 カテゴリHost Intrusion Prevention は、 次 の 製 品 固 有 の 通 知 カテゴリをサポートします。• 検 出 して 処 理 されたホストへの 侵 入• 検 出 して 処 理 されたネットワークへの 侵 入• 不 明通 知 パラメータ通 知 は、Host IPS (またはネットワーク IPS) シグネチャのすべてに 対 して 設 定 するか、いずれに 対 しても 設 定 しないかのどちらかになります。Host Intrusion Prevention では、 単独 の IPS シグネチャ ID の 指 定 を、 通 知 ルール 設 定 の 脅 威 の 名 前 またはルール 名 としてサポートします。イベントのシグネチャ ID 属 性 を 脅 威 の 名 前 に 内 部 でマッピングすることで、IPS シグネチャを 一 意 に 識 別 するルールが 作 成 されます。メッセージの 件 名 や 本 文 で 許 可 される Host Intrusion Prevention パラメータの 特 定 マッピングには、 次 の 項 目 が 含 まれます。パラメータ実 際 の 脅 威 またはルールの 名 前送 信 元 のシステム影 響 を 受 けるオブジェクト通 知 を 送 信 した 時 間イベント ID詳 細 情 報Host IPS とネットワーク IPS イベントの 値シグネチャ IDリモート IP アドレスプロセス 名発 生 時 間イベント ID の ePO マッピングローカライズされたシグネチャ 名 (クライアント コンピュータから)Host IPS 保 護 の 更 新Host Intrusion Prevention は、 複 数 バージョンのクライアント コンテンツやコードをサポートし、 利 用 できる 最 新 のコンテンツが ePO コンソールに 表 示 されます。 新 しいコンテンツは、 後 でリリースされたバージョンで 常 にサポートされるため、コンテンツの 更 新 に 含 まれるのはほとんどが 新 しい 情 報 、または 既 存 の 情 報 を 多 少 変 更 したものです。更 新 は、コンテンツ 更 新 パッケージで 処 理 されます。このパッケージには、コンテンツのバージョン 情 報 および 更 新 スクリプトが 含 まれています。チェックインすると、パッケージのバージョンが、データベースの 最 新 コンテンツ 情 報 のバージョンと 比 較 されます。パッケージの方 が 新 しい 場 合 、パッケージのスクリプトが 解 凍 され、 実 行 されます。この 新 しいコンテンツ 情 報 は、 次 回 のエージェント/サーバ 間 の 通 信 時 にクライアントに 伝 達 されます。更 新 には IPS ルール ポリシーに 関 連 するデータ (IPS シグネチャとアプリケーション 保 護ルール) と 信 頼 できるアプリケーション ポリシー ( 信 頼 できるアプリケーション) が 含 まれます。これらの 更 新 は McAfee デフォルト ポリシーで 実 行 されるので、 保 護 更 新 機 能 を 利 用28McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

保 護 の 管 理システム 管 理するには、これらのポリシーを IPS ルールと 信 頼 できるアプリケーションの 両 方 に 割 り 当 てる 必 要 があります。基 本 的 なプロセスとしては、 更 新 パッケージを ePO マスター リポジトリにチェックインしてから、 更 新 情 報 をクライアントに 送 信 します。クライアントは、ePO サーバとの 通 信 によってのみ 更 新 を 取 得 し、 直 接 FTP または HTTP プロトコルにより 取 得 しないようにします。ヒント: コンテンツ 更 新 を 利 用 するには、McAfee デフォルト IPS ルール ポリシーと McAfeeデフォルト 信 頼 アプリケーション ポリシーを 割 り 当 てます。これらのデフォルトのポリシーを 変 更 すると、これらのポリシーの 変 更 後 の 設 定 がデフォルトの 設 定 よりも 優 先 するため、更 新 で 上 書 きされなくなります。更 新 パッケージのチェックインコンテンツ 更 新 パッケージをマスター リポジトリに 自 動 的 にチェックインする ePO プルタスクを 作 成 できます。このタスクは、コンテンツ 更 新 パッケージを 直 接 McAfee から 指 定 した 頻 度 でダウンロードして、マスター リポジトリに 追 加 し、 新 しい Host IntrusionPrevention コンテンツでデータベースを 更 新 します。タスク1 [ソフトウェア] の [マスター リポジトリ] を 表 示 し、[スケジュールのプル] をクリックします。2 タスクに 名 前 (たとえば、HIP コンテンツの 更 新 ) を 付 けて、[ 次 へ] をクリックします。3 タスクの 種 類 に [リポジトリ プル] を 選 択 し、パッケージのソース (McAfeeHttp または McAfeeFtp) を 設 定 します。パッケージを 受 信 するブランチ ( 最 新 バージョン、 旧 バージョン、 評 価 バージョン) と 選 択 したパッケージ (Host Intrusion Prevention Content)を 指 定 して [ 次 へ] をクリックします。4 必 要 に 応 じてタスクをスケジュール 設 定 し、[ 次 へ] をクリックします。5 情 報 を 確 認 し、[ 保 存 ] をクリックします。パッケージの 手 動 チェックインこのタスクは、コンテンツ 更 新 パッケージを 直 接 McAfee から 指 定 した 頻 度 でダウンロードして、マスター リポジトリに 追 加 し、 新 しい Host Intrusion Prevention コンテンツでデータベースを 更 新 します。自 動 プル タスクを 使 用 しない 場 合 には、 更 新 パッケージをダウンロードして 手 動 でチェックインすることができます。タスク1 McAfeeHttp または McAfeeFtp からファイルをダウンロードします。2 [ソフトウェア] の [マスター リポジトリ] を 表 示 し、[パッケージのチェックイン] をクリックします。3 パッケージの 種 類 およびパッケージの 場 所 を 選 択 し、[ 次 へ] をクリックします。[パッケージ オプション] ページが 表 示 されます。4 パッケージをインストールするブランチを 選 択 して [ 保 存 ] をクリックします。パッケージが [マスター リポジトリ] タブに 表 示 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )29

保 護 の 管 理システム 管 理コンテンツによるクライアントの 更 新更 新 パッケージをマスター リポジトリにチェックインした 後 、 更 新 タスクをスケジュールするか、 直 ちに 更 新 するためにエージェント ウェークアップ コールを 送 信 して、クライアントに 更 新 を 送 信 できます。タスク1 [システム] の [システム ツリー] にある [クライアント タスク] を 表 示 し、コンテンツの 更 新 を 送 信 するグループを 選 択 して [ 新 しいタスク] をクリックします。2 タスクに 名 前 を 付 け、タスクの 種 類 として [ 更 新 (McAfee Agent)] を 選 択 して、[ 次 へ]をクリックします。3 [ 選 択 されたパッケージ] を 選 択 し、[Host Intrusion Prevention コンテンツ] を 選 択して [OK] をクリックします。4 必 要 に 応 じてタスクをスケジュール 設 定 し、[ 次 へ] をクリックします。5 詳 細 を 確 認 し、[ 保 存 ] をクリックします。クライアントからのコンテンツの 更 新また、クライアントは、McAfee Agent アイコンがクライアント コンピュータのシステム トレイに 表 示 されている 場 合 、オンデマンドで 更 新 を 要 求 することもできます。タスク• システム トレイの McAfee Agent アイコンを 右 クリックして、[ 今 すぐ 更 新 ] を 選 択 します。[McAfee AutoUpdate の 進 捗 状 況 ] ダイアログ ボックスが 開 き、コンテンツの 更 新 がプルされてクライアントに 適 用 されます。30McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS ポリシーは、ホスト 侵 入 防 止 保 護 のオン/オフを 切 り 替 え、イベントに 対 する 処 理 レベルを 設 定 し、 例 外 、シグネチャおよびアプリケーション 保 護 ルールによって 保 護 を 行 います。IPS 保 護 は、 毎 月 のコンテンツ 更 新 で 最 新 の 状 態 が 維 持 されます。この 更 新 で、 新 しいまたは 改 訂 されたシグネチャとアプリケーション 保 護 ルールが 提 供 されます。目 次IPS ポリシーの 概 要IPS 保 護 の 有 効 化IPS シグネチャに 対 する 対 応 の 設 定IPS 保 護 の 定 義IPS イベントの 監 視IPS クライアント ルールの 監 視IPS ポリシーの 概 要IPS ( 侵 入 防 止 システム) 機 能 により、システム コール (カーネル レベル) および API コール (ユーザ レベル) をすべて 監 視 し、 不 正 な 動 作 を 行 う 可 能 性 のあるコールをブロックします。Host Intrusion Prevention では、コールを 行 っているプロセス、そのプロセスが 実 行 されているセキュリティ コンテキスト、アクセス 先 のリソースを 判 別 します。ユーザ モードのシステム コール テーブルにあるエントリをリダイレクトして 受 信 するカーネルレベル ドライバは、 一 連 のシステム コールを 監 視 します。コールが 行 われると、コール 要 求 に 対 してシグネチャの 組 み 合 わせおよび 動 作 ルールのデータベースとの 比 較 がドライバにより 行 われ、これによりアクションを 許 可 するか、ブロックするか、ログへ 記 録 するかが 判 断 されます。このハイブリッドな 方 法 では、ほとんどの 既 知 の 攻 撃 だけでなく、これまでに 知 られていない 攻 撃 やゼロデイ 攻 撃 も 検 出 できます。例 外 による 保 護 も 行 います。 例 外 を 設 定 すると、 正 規 の 活 動 をブロックするシグネチャを 無効 にし、アプリケーション 保 護 ルールに 保 護 対 象 のプロセスを 記 述 します。使 用 可 能 なポリシー次 の 3つの IPS ポリシーがあります。IPS オプション - Host IPS とネットワーク IPS 保 護 の 有 効 / 無 効 を 切 り 替 え、Windows システム 固 有 のオプションを 適 用 して、IPS 保 護 を 有 効 にします。IPS 保 護 - 特 定 の 重 大 度 ( 高 、 中 、 低 ) が 生 成 されたときのシステムの 処 理 方 法 (ブロック、 無 視 、ログの 記 録 ) を 指 定 します。IPS ルール - シグネチャと 動 作 分 析 を 適 用 し、 既 知 の 攻 撃 とゼロデイ 攻 撃 を 阻 止 する IPS保 護 を 定 義 します。 例 外 を 設 定 すると、 正 規 の 活 動 をブロックするシグネチャを 無 効 にできます。アプリケーション 保 護 ルールには、 保 護 するプロセスを 記 述 します。これらの 設 定 にMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )31

IPS ポリシーの 設 定IPS ポリシーの 概 要より、シグネチャを 補 完 しています。 信 頼 できるアプリケーション ポリシーと 同 様 、このポリシー カテゴリにも 複 数 のポリシー インスタンスを 含 めることができます。コンテンツ 更新 では、 新 規 または 更 新 されたシグネチャとアプリケーション 保 護 ルールが 提 供 され、 最 新の 保 護 状 態 が 維 持 されます。IPS 保 護 の 実 現 方 法IPS 保 護 を 実 現 するには、シールドとエンベロープ、システム コールの 遮 断 、 特 定 のエンジンとドライバのインストールなどの 方 法 があります。エンベロープとシールドHost Intrusion Prevention は、シグネチャのエンベロープとシールドを 行 い、 攻 撃 から 保護 します。エンベロープは、アプリケーション 固 有 のエンベロープの 外 側 からのアプリケーションによるファイル、データ、レジストリ 設 定 、サービスへのアクセスを 防 ぎます。シールドは、アプリケーション 固 有 のエンベロープの 外 側 からのエクスプロイトによるアプリケーション ファイル、データ、レジストリ 設 定 、サービスへのアクセスを 防 ぎます。システム コールの 遮 断Host Intrusion Prevention は、システムのすべての API コールを 監 視 し、 不 正 な 活 動 を 阻止 します。コールを 使 用 するプロセス、そのプロセスが 実 行 されているセキュリティ コンテキスト、アクセス 先 のリソースを 判 別 します。Host Intrusion Prevention カーネルレベルドライバは、ユーザ レベルのシステム コール テーブルにあるエントリをリダイレクトして受 信 し、 一 連 のシステム コールを 監 視 します。コールが 行 われると、コール 要 求 に 対 してシグネチャの 組 み 合 わせおよび 動 作 ルールのデータベースとの 比 較 がドライバにより 行 われ、これによりアクションを 許 可 するか、ブロックするか、ログへ 記 録 するかが 判 断 されます。ユーザ レベルのプログラムは、カーネルから 提 供 された 機 能 を 使 用 して、ディスク ドライブ、ネットワーク 接 続 、 共 有 メモリにアクセスします。プロセッサは、カーネル レベルの 機能 への 直 接 アクセスを 阻 止 するため、ユーザ レベルのプログラムはシステム コールを 使 用して、ユーザ モードとカーネル モード 間 で 通 信 を 行 います。システム コールは、ユーザレベルのプログラムが 必 要 とし、システム コール テーブルでオペレーティング システム 内部 に 実 装 されているすべてのカーネル 機 能 を 公 開 します。Host Intrusion Prevention は、カーネル レベルのドライバをインストールし、システム コール テーブルのエントリをリダイレクトして、 自 身 をシステム コール チェーンに 挿 入 します。アプリケーションがファイルを 要 求 すると、Host Intrusion Prevention ドライバにリダイレクトされ、シグネチャと動 作 ルールによって 要 求 に 対 する 処 理 ( 許 可 またはブロック) が 判 断 されます。Web サーバの HTTP エンジンHost Intrusion Prevention は、HTTP 保 護 エンジンを 使 用 して、Web アプリケーションとシステムを 狙 う 攻 撃 を 阻 止 します。アプリケーションに 送 信 された HTTP ストリームを 解 析 し、HTTP 受 信 要 求 のパターンと 比 較 します。HTTP 保 護 エンジンは、 要 求 をテキスト 形 式 に 変 換する Web サーバの SSL 解 読 デコード エレメントと Web サーバ エンジンの 間 にインストールされます。これにより、Host Intrusion Prevention エンジンはテキスト 形 式 で 要 求 を 確認 し、 処 理 する 前 に 不 正 な 要 求 をブロックします。HTTP シグネチャは、ディレクトリ とラバーサルと Unicode 攻 撃 、Web 改 ざん、 情 報 漏 えい、サーバのハッキングを 防 ぎます。SQL サーバの SQL エンジンHost Intrusion Prevention は、SQL 検 査 エンジンによりデータベース サーバに 対 する 攻 撃を 阻 止 します。このエンジンは、データベース ネットワーク ライブラリとデータベース エンジンの 間 にインストールされます。すべての SQL 要 求 を 調 査 し、イベントを 生 成 される 可32McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS ポリシーの 概 要能 性 がある 要 求 をブロックします。SQL 保 護 ルールは、ユーザ、クエリの 送 信 元 、クエリの整 合 性 、 他 のパラメータを 検 証 します。SQL データベース シグネチャは 標 準 のシグネチャが 提 供 するコア 保 護 を 強 化 し、 特 定 のデータベース 遮 断 ルールと 保 護 ルールを 追 加 します。Host IPS SQL エンジンは、データベースエンジンが 処 理 する 前 にデータベース 受 信 クエリを 処 理 します。クエリが 既 知 の 攻 撃 シグネチャと 一 致 していないかどうか 確 認 します。また、 形 式 が 正 しいかどうか、SQLインジェクションの 兆 候 がないかどうかも 検 査 します。SQL データベース シグネチャは、データベース シールドを 実 装 し、データベースのデータファイル、サービス、リソースを 保 護 します。また、データベースが 定 義 済 みの 動 作 プロファイル 内 で 動 作 するように、データベース エンベロープを 実 装 します。シグネチャシグネチャは、トラフィック ストリームと 照 合 される 侵 入 防 止 ルールの 集 合 です。たとえば、HTTP 要 求 ではシグネチャにより 特 定 の 文 字 列 が 検 索 されます。 既 知 の 攻 撃 にある 文 字 列と 一 致 した 場 合 には、アクションが 発 生 します。シグネチャ ルールでは 既 知 の 攻 撃 に 対 する保 護 を 行 います。シグネチャは、たとえば、Apache や IIS などの Web サーバといった、 特 定 のアプリケーションまたは 特 定 のオペレーティング システム 用 に 設 計 されています。 大 部 分 のシグネチャはオペレーティング システム 全 体 を 保 護 しますが、 特 定 のアプリケーションのみを 保 護 するシグネチャもあります。Host IPS シグネチャHost Intrusion Prevention 保 護 は、サーバ、ワークステーション、ノート PC など、 個 々のシステムに 装 備 されます。Host Intrusion Prevention クライアントは、システムとやりとりされるトラフィックを 検 査 し、 攻 撃 されていないかどうかアプリケーションおよびオペレーティング システムの 動 作 を 調 査 します。 攻 撃 が 検 出 された 場 合 、クライアントは、ネットワーク セグメントの 接 続 において 攻 撃 をブロックするか、または 攻 撃 によって 開 始 される動 作 を 停 止 するコマンドを 発 行 できます。たとえば、バッファ オーバフローは、 攻 撃 によって 不 正 使 用 されたアドレス 空 間 に 挿 入 された 悪 意 のあるプログラムをブロックすることによって 防 止 されます。Internet Explorer のようなアプリケーションによるバック ドア プログラムのインストールは、アプリケーションの "ファイル 書 き 込 み" コマンドを 妨 害 し 拒 否 することによってブロックされます。これらのシグネチャは 次 の 処 理 を 行 います。• 攻 撃 からの 保 護 だけでなく、プログラムのファイル 書 き 込 みの 防 止 など、 攻 撃 の 結 果 からも 保 護 します。• 保 護 されたネットワーク 外 部 にあるノート PC を 保 護 します。• CD または USB デバイスによって 持 ち 込 まれるローカルな 攻 撃 から 保 護 します。これらの攻 撃 は、ネットワークの 他 のシステムに 侵 入 するために、ユーザの 特 権 をルートまたは 管理 者 のレベルに 上 げることを 目 的 としている 場 合 があります。• 他 のセキュリティ ツールをくぐり 抜 けた 攻 撃 からの 最 後 の 防 衛 手 段 となります。• 内 部 の 攻 撃 または 同 じネットワーク セグメントに 位 置 するデバイスの 不 正 を 防 止 します。• 暗 号 化 データと 動 作 の 調 査 によって 保 護 されているシステムで、 暗 号 化 データのストリームが 終 了 した 後 の 攻 撃 から 保 護 されます。• Token Ring や FDDI など、 古 いまたはあまり 使 用 されないネットワーク アーキテクチャ上 のシステムを 保 護 します。Host Intrusion Prevention には、すべてのプラットフォームで 使 用 可 能 な Host IPS シグネチャのデフォルト リストが 用 意 されています。これらのシグネチャの 重 大 度 レベル、ログMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )33

IPS ポリシーの 設 定IPS ポリシーの 概 要のステータス、クライアント ルールの 作 成 設 定 を 編 集 したり、カスタム シグネチャをリストに 追 加 できます。コンテンツ 更 新 をインストールすると、シグネチャのリストが 必 要 に 応じて 随 時 更 新 されます。ネットワーク IPS シグネチャネットワーク IPS による 保 護 も、 個 々のシステムに 装 備 されます。 保 護 されたシステム 間 で通 信 されるすべてのデータおよびネットワークのその 他 の 部 分 について、 攻 撃 があるかどうか 調 査 されます。 攻 撃 が 確 認 されると、 不 正 データは 破 棄 されるかまたはシステムを 通 過 しないようにブロックされます。これらのシグネチャは 次 の 処 理 を 行 います。• ネットワーク セグメントの 下 流 に 位 置 するシステムを 保 護 します。• サーバおよびサーバに 接 続 するシステムを 保 護 します。• ネットワークのサービス 拒 否 攻 撃 、およびネットワーク トラフィックの 拒 否 や 低 下 を 引き 起 こす 帯 域 幅 に 向 けられた 攻 撃 から 保 護 します。Host Intrusion Prevention では、Windows プラットフォーム 用 のネットワーク IPS シグネチャのデフォルト リストを 用 意 しています。これらのシグネチャの 重 大 度 レベル、ログのステータス、クライアント ルールの 作 成 設 定 を 編 集 できますが、カスタム ネットワーク シグネチャに 追 加 することはできません。コンテンツ 更 新 をインストールすると、シグネチャのリストが 必 要 に 応 じて 随 時 更 新 されます。動 作 ルール動 作 ルールは、ゼロデイ 攻 撃 を 阻 止 し、オペレーティング システムとアプリケーションを 正常 に 動 作 させます。ヒューリスティックな 動 作 ルールは、 正 当 な 動 作 のプロファイルを 定 義します。ルールと 一 致 しないものは 怪 しい 動 作 と 見 なされ、 応 答 が 発 生 します。たとえば、HTML ファイルにアクセスできるのは Web サーバのみと 動 作 ルールで 規 定 しているとします。他 のプロセスから HTML ファイルにアクセスしようとすると、アクションが 発 生 します。この 保 護 の 種 類 はアプリケーションのシールドとエンベロープといいます。この 保 護 により、アプリケーションとデータに 対 する 侵 害 を 防 ぎ、 他 のアプリケーションに 対 する 攻 撃 への 転用 を 阻 止 します。また、 動 作 ルールはバッファ オーバーフローのエクスプロイトもブロックします。これにより、サーバとデスクトップに 対 する 攻 撃 の 中 で 最 も 多 いバッファ オーバーフロー 攻 撃 を 阻 止し、 不 正 なコードの 実 行 を 未 然 に 防 ぎます。処 理処 理 とは、 特 定 の 重 大 度 にあるシグネチャが 生 成 されたときに Host Intrusion Preventionクライアントが 行 う 動 作 です。クライアントが 行 う 処 理 には、 次 の 3 種 類 があります。• 無 視 - 処 理 を 行 いません。イベントはログに 記 録 されず、 操 作 は 防 止 されません。• ログに 記 録 - イベントはログに 記 録 されますが、 操 作 は 防 止 されません。• 阻 止 - イベントはログに 記 録 され、 操 作 は 防 止 されます。たとえば、あるクライアントにより 重 大 度 低 のシグネチャが 認 識 されると、そのシグネチャの 発 生 がログに 記 録 され、 操 作 が 許 可 されるようにセキュリティ ポリシーに 指 定 できます。また、 重 大 度 高 のシグネチャが 認 識 されると、 操 作 を 防 止 するようにも 指 定 できます。注 意 : ログ 記 録 は、 各 シグネチャで 直 接 有 効 にできます。IPS 保 護 ポリシーは、 重 大 度 レベルに 応 じてシグネチャの 処 理 方 法 を 自 動 的 に 設 定 します。34McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS ポリシーの 概 要例 外例 外 は、シグネチャの 対 応 でブロックされた 動 作 を 許 可 します。シグネチャが 攻 撃 と 定 義 する 動 作 が、ユーザの 通 常 業 務 の 一 部 であったり、 保 護 されたアプリケーションの 正 当 な 動 作 である 場 合 があります。シグネチャを 無 効 にするために、 正 当 な動 作 を 許 可 する 例 外 を 作 成 できます。たとえば、 特 定 のクライアントについては 操 作 を 無 視するように 例 外 で 指 定 できます。これらの 例 外 は、 手 動 で 作 成 することも、クライアントを 適 応 モードに 置 いて、クライアント 例 外 ルールを 作 成 するようにすることもできます。 特 定 のシグネチャを 無 効 にできないようにするには、シグネチャを 編 集 して、[クライアント ルールの 許 可 ] オプションを 無 効 にします。ePolicy Orchestrator コンソールで、クライアント 例 外 通 常 形 式 、フィルタリングおよび 集 計 形 式 で 表 示 し、 追 跡 することができます。これらのクライアント ルールを 使 用 して 新 しいポリシーを 作 成 するか、または 他 のクライアントに 適 用 できる 既 存 ポリシーに 追 加します。Host Intrusion Prevention クライアントには、クライアント コンピュータの 動 作 が 害 のないものか 不 正 なものかを 判 断 する IPS シグネチャ ルールのデータベースがあります。 不 正な 動 作 を 検 出 すると、イベントと 呼 ばれるアラートが ePO サーバに 送 信 され、[レポート]の [Host IPS] タブに 表 示 されます。IPS 保 護 ポリシーのシグネチャに 設 定 された 保 護 レベルにより、イベントが 発 生 した 場 合 にクライアントが 実 行 する 動 作 が 決 まります。 処 理 方 法 には、 動 作 の 無 視 、ロギングまたは 防 止などがあります。正 当 な 動 作 から 発 生 する 誤 検 知 によるイベントは、シグネチャ ルールに 対 する 例 外 を 作 成 するか、またはアプリケーションを 信 頼 できるアプリケーションとして 登 録 することで、 無 効にできます。 適 応 モードにあるクライアントは、クライアント ルールと 呼 ばれる 例 外 を 自 動的 に 作 成 します。 管 理 者 はいつでも 手 動 で 例 外 を 作 成 できます。イベントとクライアント 例 外 を 監 視 することで、 最 も 効 果 的 に IPS 保 護 の 配 備 する 方 法 を 判断 できます。アプリケーション 保 護 ルールイベントアプリケーション 保 護 ルールは、バッファ オーバーフローに 対 して 定 義 または 生 成 されたプロセス リストを 使 用 して、ユーザ レベルの API フックを 許 可 または 禁 止 してシステムを 保護 します。バッファ オーバーフロー 対 策 は Host Intrusion Prevention で 汎 用 的 な 対 策 で、フックされたプロセスに 適 用 されます。IPS ポリシーには、Windows プラットフォーム 用 のアプリケーション 保 護 ルールのデフォルトが 記 述 されています。コンテンツ 更 新 をインストールすると、このリストは 必 要 に 応 じて 随 時 更 新 されます。IPS オプション ポリシーで [ネットワークに接 続 するサービスベースのアプリケーションを 自 動 的 に 追 加 ] を 有 効 にすると、ネットワークに 接 続 するサービス ベースのアプリケーションをこのリストに 自 動 的 に 追 加 することができます。シグネチャがトリガーされ、クライアントが 対 応 すると、IPS イベントが 生 成 されます。イベントは、[レポート] の [Host IPS] タブの [イベント] タブに 表 示 されます。 管 理 者は、これらのイベントを 表 示 および 監 視 して、システム ルール 違 反 を 解 析 し、イベントの 処McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )35

IPS ポリシーの 設 定IPS 保 護 の 有 効 化理 を 調 整 するか、あるいは 例 外 または 信 頼 できるアプリケーション ルールを 作 成 して、イベント 数 を 減 らし、 保 護 設 定 を 調 整 できます。注 意 : Host Intrusion Prevention クライアントは、イベントの 集 約 を 行 い、ePO サーバに送 信 されるイベントの 数 を 制 御 します。これにより、20 分 以 内 に 発 生 した 大 量 のイベントがサーバに 繰 り 返 し 送 信 されなくなります。20 秒 後 にイベントが 再 度 発 生 すると、 追 加 のイベントが 報 告 されます。 管 理 者 は、ePO コンソールの [レポート] の 下 にある [Host IPS] タブまたはクライアント システムですべてのイベントを 表 示 できます。IPS 保 護 の 有 効 化IPS オプション ポリシーによって、IPS 保 護 の 適 用 方 法 が 決 まります。Windows プラットフォームと Windows 以 外 のプラットフォームのオプションがあります。すべてのプラットフォーム次 のオプションはすべてのプラットフォームのクライアントで 使 用 できます。• Host IPS が 有 効 - Host IPS ルールの 施 行 により IPS 保 護 を 有 効 にします。注 意 : この 制 御 は、クライアント 上 で 直 接 を 行 うこともできます。• 適 応 モードが 有 効 (ルールが 自 動 的 に 学 習 されます) - 適 応 モードを 有 効 にします。クライアントは、ブロックされた 動 作 を 許 可 する 例 外 ルールを 自 動 的 に 作 成 します。 配 備 を調 整 する 場 合 に 一 時 的 に 使 用 してください。注 意 : この 制 御 は、クライアント 上 で 直 接 を 行 うこともできます。• このポリシーを 施 行 するときに 既 存 のクライアント ルールを 保 持 する - このポリシーを 施 行 したときに、クライアントで 作 成 された 例 外 ルールを 保 持 します。 適 応 モードで 自動 的 に 作 成 されたルールも、Windows クライアントで 手 動 で 作 成 したルールも 保 持 されます。Windows プラットフォームのみ次 のオプションは、Windows プラットフォームのクライアントでのみ 使 用 できます。• ネットワーク IPS が 有 効 - ネットワーク IPS ルールを 実 施 する 場 合 に 選 択 します。このオプションは、Host IPS ルールのアプリケーションとは 別 に 使 用 できます。• ネットワーク 侵 入 者 を 自 動 的 にブロック - 指 定 された 時 間 内 にクライアントのブロック済 みリストから 手 動 で 削 除 するまで、ホストの 受 信 および 送 信 トラフィックをブロックします。ネットワーク IPS が 有 効 になっている 場 合 のみ 使 用 できます。注 意 : この 制 御 は、クライアント 上 で 直 接 を 行 うこともできます。• ブロックされたホストの 保 持 - [ネットワーク 侵 入 者 を 自 動 的 にブロック] でパラメータが 設 定 されるまでクライアントによるホスト (IP アドレス) のブロックを 許 可 する 場合 に 選 択 します。 選 択 しない 場 合 、ホストは 次 回 ポリシーが 施 行 されるまでしかブロックされません。• ネットワークに 接 続 するサービスベース アプリケーションを 自 動 的 にアプリケーション保 護 リストに 追 加 - IPS ルール ポリシーの 保 護 されたアプリケーションのリストに 危険 度 高 のアプリケーションを 自 動 的 に 追 加 します。• 起 動 時 に IPS 保 護 を 有 効 - クライアントで Host IPS サービスが 開 始 するまで、ファイルとレジストリの 保 護 に 事 前 に 設 定 された 保 護 ルールを 適 用 します。36McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS シグネチャに 対 する 対 応 の 設 定ポリシーの 選 択このポリシー カテゴリには、 設 定 済 みポリシーと、McAfee デフォルト ポリシーに 従 って 編集 可 能 な 個 人 用 のデフォルト ポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 し、 複 製できます。カスタム ポリシーは、 作 成 、 編 集 、 名 前 変 更 、 複 製 、 削 除 、およびエクスポートすることができます。設 定 済 みのポリシーには 次 の 項 目 が 設 定 されています。McAfee デフォルトHost IPS とネットワーク IPS 保 護 は 無 効 です。 次 のオプションは、IPS 保 護 を 有 効 にしたときに 適 用 されます。• ネットワークの 侵 入 者 の 自 動 ブロック - 10 分 間 (Windows のみ)• ブロックされたホストの 保 持 (Windows のみ)• クライアント ルールを 保 持 するヒント: クライアント システム で IPS 保 護 を 有 効 にするには、Host Intrusion Prevention管 理 者 がまずポリシーで Host IPS と Network IPS オプションを 有 効 にし、そのポリシーをクライアント システムに 適 用 する 必 要 があります。 前 のバージョンとは 異 なり、クライアント システムの IPS 保 護 は 自 動 的 に 実 行 されません。IPS オプションのポリシーの 設 定このポリシーでは、IPS 保 護 の 有 効 / 無 効 を 設 定 できます。また、 適 応 モードを 適 用 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS オプション] を 選 択 します。ポリシーのリストが 表 示 されます。2 [IPS オプション] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。注 意 : 編 集 可 能 なポリシーでは、 名 前 の 変 更 、 複 製 、 削 除 、エクスポートが 実 行 できます。 編 集 不 能 なポリシーでは、 表 示 または 複 製 が 実 行 できます。3 表 示 された [IPS オプション] ページで、 必 要 な 変 更 (ステータス、 起 動 、ネットワーク IPS の 設 定 ) を 行 い、[ 保 存 ] をクリックします。IPS シグネチャに 対 する 対 応 の 設 定IPS 保 護 ポリシーでは、シグネチャの 重 大 度 レベルに 対 して 保 護 の 処 理 を 設 定 します。これらの 設 定 では、 攻 撃 や 怪 しい 動 作 が 検 出 されたときに、どのような 動 作 を 行 うかをクライアントに 指 示 します。各 シグネチャには、 次 の 4 つの 重 大 度 レベルの 1 つが 設 定 されます。• 高 - 明 確 に 識 別 できるセキュリティ 上 の 脅 威 や 悪 意 のあるアクションのシグネチャ。これらのシグネチャは、よく 知 られた 不 正 特 有 のものであり、 実 際 は、ほとんど 動 作 に 関 連しません。すべてのシステムで、これらのシグネチャを 防 止 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )37

IPS ポリシーの 設 定IPS シグネチャに 対 する 対 応 の 設 定• 中 - アプリケーションがエンベロープ 外 部 で 動 作 する 場 合 の 動 作 のシグネチャ。 重 要 なシステム、Web サーバ、および SQL サーバでは、これらのシグネチャを 防 止 してください。• 低 - アプリケーションおよびシステム リソースがロックされ、 変 更 できない 場 合 の 動作 のシグネチャ。これらのシグネチャを 防 止 すると 基 本 システムのセキュリティが 向 上 しますが、 追 加 の 調 整 が 必 要 になります。• 情 報 - アプリケーションおよびシステム リソースが 変 更 され、 害 のないセキュリティリスクを 示 すかまたは 重 要 なシステム 情 報 にアクセスしようとする 可 能 性 がある 場 合 の 動作 のシグネチャ。このレベルのイベントは、 正 常 なシステム 動 作 中 に 発 生 し、 通 常 は 攻 撃を 示 すものではありません。これらの 重 大 度 レベルは、システムに 対 する 潜 在 的 な 危 険 度 を 示 すものであり、これにより、異 なるレベルの 潜 在 的 な 有 害 性 に 対 して 特 定 の 処 理 を 定 義 できます。すべてのシグネチャに対 して、 重 大 度 のレベルと 処 理 を 変 更 できます。たとえば、 怪 しい 動 作 が 損 傷 の 原 因 となる可 能 性 がほとんどない 場 合 、[ 無 視 ] を 処 理 として 選 択 できます。 動 作 の 危 険 度 が 高 い 場 合は、[ 防 止 ] を 処 理 として 設 定 できます。ポリシーの 選 択このポリシー カテゴリには、6 つの 設 定 済 みポリシーと、McAfee デフォルト ポリシーに従 って 1 つの 編 集 可 能 な 個 人 用 のデフォルトポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 し、 複 製 できます。カスタム ポリシーは、 作 成 、 編 集 、 名 前 変 更 、 複 製 、 削 除 、およびエクスポートすることができます。設 定 済 みポリシーには、 以 下 のものがあります。表 5: IPS 保 護 ポリシー名 前機 能基 本 的 な 保 護 (McAfee デフォルト)拡 張 保 護最 大 保 護拡 張 保 護 の 準 備最 大 保 護 の 準 備警 告重 大 度 レベルが 高 のシグネチャを 防 止 し、それ 以 外 は 無視 します。重 大 度 レベルが 高 および 中 のシグネチャを 防 止 し、それ以 外 は 無 視 します。重 大 度 レベルが 高 、 中 、および 低 のシグネチャを 防 止 し、それ 以 外 はログに 記 録 します。重 大 度 レベルが 高 のシグネチャを 防 止 し、 中 のシグネチャのログを 記 録 し、それ 以 外 は 無 視 します。重 大 度 レベルが 高 および 中 のシグネチャを 防 止 し、 低 のシグネチャのログを 記 録 し、それ 以 外 は 無 視 します。重 大 度 レベルが 高 のシグネチャを 記 録 し、それ 以 外 は 無視 します。IPS 保 護 ポリシーの 設 定このポリシーでは、 特 定 の 重 大 度 のシグネチャに 対 する 処 理 方 法 を 設 定 します。これらの 設定 では、 攻 撃 や 怪 しい 動 作 が 検 出 されたときに、どのような 動 作 を 行 うかをクライアントに指 示 します。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS による 保 護 ] を 選 択 します。38McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義2 表 示 された [IPS 保 護 ] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。注 意 : 編 集 可 能 なポリシーでは、 名 前 の 変 更 、 複 製 、 削 除 、エクスポートが 実 行 できます。 編 集 不 能 なポリシーでは、 表 示 または 複 製 が 実 行 できます。3 表 示 された [IPS 保 護 ] ページで、 必 要 な 変 更 を 行 い、[ 保 存 ] をクリックします。IPS 保 護 の 定 義IPS ルールのポリシーは、 侵 入 防 止 手 段 を 適 用 します。このポリシーは、 複 数 のインスタンスの 割 り 当 てが 可 能 なマルチインスタンス ポリシーです。各 IPS ルール ポリシーには、 設 定 可 能 な 詳 細 情 報 が 記 述 されています。• シグネチャ• アプリケーション 保 護 ルール• 例 外 ルールまた、 次 の 作 業 を 行 うには、[レポート] の [ホスト IPS] ページも 表 示 する 必 要 があります。• IPS イベント• IPS クライアント ルールポリシーの 選 択このポリシー カテゴリには、 基 本 的 な IPS 保 護 を 提 供 する 事 前 定 義 のデフォルト ポリシーがあります。 定 義 済 みのポリシーは 表 示 と 複 製 ができます。ユーザが 作 成 したカスタム ポリシーは、 編 集 、 名 前 の 変 更 、 複 製 、 削 除 およびエクスポートが 可 能 です。ポリシーの 複 数 のインスタンスをポリシー ルールの 組 み 合 わせに 割 り 当 てることもできます。IPS ルール ポリシーの 設 定このポリシーでは、シグネチャ、アプリケーション 保 護 ルール、 例 外 を 定 義 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS ルール] を 選 択 します。ポリシーのリストが 表 示 されます。2 [IPS ルール] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。注 意 : 編 集 可 能 なポリシーでは、 名 前 の 変 更 、 複 製 、 削 除 、エクスポートが 実 行 できます。 編 集 不 能 なポリシーでは、 表 示 または 複 製 が 実 行 できます。3 表 示 された [IPS ルール] ページで、 必 要 な 変 更 を 行 い、[ 保 存 ] をクリックします。 詳細 については、「IPS シグネチャの 設 定 」、「IPS アプリケーション 保 護 ルールの 設定 」、「IPS 例 外 の 設 定 」を 参 照 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )39

IPS ポリシーの 設 定IPS 保 護 の 定 義ポリシーの 複 数 のインスタンスの 割 り 当 てePolicy Orchestrator のシステム ツリーでポリシーの 1 つ 以 上 のインスタンスをグループシステムに 割 り 当 てると、1 つのポリシーを 複 数 の 目 的 で 使 用 することができます。IPS ルール ポリシーと 信 頼 できるアプリケーション ポリシーは、 複 数 のインスタンスに 割り 当 てられるマルチインスタンス ポリシーです。マルチインスタンス ポリシーは 便 利 なポリシーです。たとえば、IIS サーバには、 通 常 のデフォルトのポリシー、サーバのポリシーおよび IIS のポリシーを 適 用 できます。IIS サーバのポリシーと IIS のポリシーは、IISサーバとして 稼 動 しているシステムを 対 象 として 設 定 するポリシーです。 複 数 をインスタンスを 割 り 当 てると、ポリシーの 各 インスタンスのすべての 要 素 を 割 り 当 てることになります。注 意 : IPS ルールと 信 頼 できるアプリケーションの McAfee デフォルト ポリシーは、コンテンツの 更 新 時 に 更 新 されます。McAfee では、 保 護 を 最 新 の 状 態 にしておくために、この 2つのポリシーを 常 に 適 用 することをお 勧 めします。複 数 のインスタンスがあるポリシーの 場 合 、[ 有 効 なポリシー] リンクが 表 示 され、ポリシーインスタンスの 組 み 合 わせの 詳 細 が 確 認 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム]、[システム ツリー] の 順 に 移 動 し、システム ツリーでグループを 選 択 します。注 意 : 単 一 システムの 場 合 は、システム ツリーでシステムのあるグループを 選 択 し、[システム] タブでシステムを 選 択 し、[その 他 のアクション]、[1 つのシステムのポリシーを 変 更 ] の 順 に 選 択 します。2 [ポリシー] で、[ 製 品 ] リストから [Host Intrusion Prevention 8.0: IPS/ 全 般 ] を 選択 して、[IPS ルール/ 信 頼 できるアプリケーション] で [ 割 り 当 てを 編 集 ] をクリックします。3 [ポリシーの 割 り 当 て] ページで、[ 新 しいポリシー インスタンス] をクリックし、 別 のポリシー インスタンスの [ 割 り 当 て 済 みのポリシー] リストからポリシーを 選 択 します。マルチインスタンス ルール セットで 有 効 なポリシーを 表 示 するには [ 有 効 なポリシーを 表 示 ] をクリックします。4 [ 保 存 ] をクリックして、すべての 変 更 を 保 存 します。FAQ - マルチインスタンス ポリシーHost Intrusion Prevention には、IPS ルールと 信 頼 できるアプリケーションの 2 つのマルチインスタンス ポリシーがあります。これらのポリシーを 使 用 すると、1 つのクライアントに 同 時 に 複 数 のポリシーを 許 可 することができます。 他 のポリシーはシングルインスタンスポリシーです。これらのポリシーの McAfee デフォルト バージョンは、Host Intrusion Prevention セキュリティ コンテンツの 更 新 時 に 自 動 的 に 更 新 されます。このため、セキュリティ コンテンツの 更 新 が 適 用 されるように、これらのポリシーをクライアントに 常 時 割 り 当 てる 必 要 があります。 複 数 のインスタンスが 適 用 されると、その 結 果 はすべてのインスタンスの 統 合 になります。このポリシーを 有 効 なポリシーといいます。40McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義配 備 を 簡 素 化 するためには、マルチスロット ポリシーの 割 り 当 てをどのように 使 用 すればよいですか?最 初 に、 配 備 用 のユーザ グループを 定 義 します。 保 護 が 必 要 なリソースと 正 常 に 機 能 させるために 例 外 が 必 要 なリソースをプロパティに 記 述 します。このプロパティは 次 のようになります。• 部 門 - 各 部 門 で 固 有 のリソースを 保 護 し、 固 有 のビジネス 活 動 を 例 外 にする 必 要 があります。• 場 所 - 各 場 所 には 固 有 のセキュリティ 基 準 が 設 定 されている 場 合 があります。また、 保護 が 必 要 なリソースやビジネス 活 動 で 必 要 な 例 外 が 異 なる 場 合 もあります。• コンピュータの 種 類 - 各 コンピュータ (ノート PC、ワークステーション、サーバ) によって 保 護 するアプリケーションが 異 なりますが、 重 要 なビジネス 機 能 の 実 行 は 許 可 する必 要 があります。次 に、リソースを 保 護 し、グループごとに 例 外 と 信 頼 できるアプリケーションを 作 成 します。適 応 モードを 使 用 して、 特 定 のグループで 保 護 または 信 頼 するリソースを 特 定 できます。 各ユーザ グループに IPS ルールと 信 頼 できるアプリケーション ポリシーのインスタンスを 作成 します。 特 定 の 部 門 。 場 所 、コンピュータの 種 類 ごとに 1 つの IPS ルール ポリシーを 作成 します。 該 当 するインスタンスを 適 用 します。マルチインスタンスの IPS ルール ポリシーを 使 用 しない 場 合 、3 つの 部 門 、3 つの 場 所 、3 つのコンピュータの 種 類 で 27 のポリシーを 作 成 する 必 要 がありますが、マルチインスタンスの 場 合 、9 つのポリシーで 済 みます。ルールを 異 なるポリシーに 割 り 当 てると 矛 盾 します。 有 効 なポリシーはどのように 作 成 されますか?1 つのインスタンスのルールの 設 定 が、 他 のポリシー インスタンスの 同 じルールでは 矛 盾 する 場 合 があります。Host IPS では、 全 体 的 に 有 効 なポリシーを 設 定 するために、これらの 矛盾 を 次 のルールで 処 理 しています。IPS ルールの 場 合 :• シグネチャの 有 効 な 重 大 度 は、カスタマイズされた 重 大 度 の 中 で 最 も 高 いレベルに 設 定 されます。 優 先 順 位 は、 高 、 中 、 低 、 情 報 、 無 効 です。 重 大 度 がカスタマイズされていない場 合 には、デフォルトの 値 が 適 用 されます。• シグネチャの 有 効 なログのステータスは、カスタマイズされたログのステータスになります。2 つ 以 上 の 適 用 済 みの IPS ルール ポリシーでカスタマイズされている 場 合 には、 無効 よりも 有 効 なログのステータスが 優 先 されます。ログのステータスがカスタマイズされていない 場 合 には、デフォルトの 値 が 適 用 されます。• シグネチャの 有 効 なクライアント ルール 設 定 はカスタマイズされた 設 定 です。2 つ 以 上の 割 り 当 て 済 みの IPS ルール ポリシーでカスタマイズされている 場 合 には、 無 効 よりも有 効 なクライアント ルールが 優 先 されます。クライアント ルール 設 定 がカスタマイズされていない 場 合 には、デフォルトの 値 が 適 用 されます。• 有 効 な 例 外 セットは、 適 用 済 みのすべての 例 外 の 組 み 合 わせです。信 頼 できるアプリケーションの 場 合 :• 有 効 な 信 頼 できるアプリケーションのセットは、すべての 信 頼 できるアプリケーションの組 み 合 わせです。• 同 じアプリケーションが 別 の 信 頼 されたアプリケーション ポリシーの 機 能 で「 信 頼 」と設 定 されていない 場 合 でも、IPS またはファイアウォールでの 信 頼 設 定 が 優 先 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )41

IPS ポリシーの 設 定IPS 保 護 の 定 義IPS シグネチャの 機 能シグネチャは、セキュリティ 上 の 脅 威 、 攻 撃 手 法 、およびネットワーク 侵 入 を 記 述 します。各 シグネチャには、デフォルトの 重 大 度 レベルがあり、このレベルによって 攻 撃 の 潜 在 的 な危 険 性 が 示 されます。• 高 - 明 確 に 識 別 できるセキュリティ 上 の 脅 威 や 悪 意 のあるアクションから 保 護 するシグネチャ。これらのシグネチャの 大 部 分 は、よく 知 られた 不 正 特 有 のものであり、 実 際 は、ほとんど 動 作 に 関 連 しません。すべてのホストで、これらのシグネチャを 防 止 してください。• 中 - 高 レベルよりも 実 際 に 動 作 に 関 連 し、アプリケーションがアプリケーション 環 境 の外 部 で 動 作 するのを 防 止 するためのシグネチャ (Web サーバおよび Microsoft SQL Server2000 を 保 護 するクライアントに 関 連 します)。 重 要 なサーバでは、 微 調 整 した 後 、これらのシグネチャを 防 止 しなければならない 場 合 があります。• 低 - 実 際 に 動 作 に 関 連 するシグネチャであり、アプリケーションを 遮 断 します。 遮 断 とは、アプリケーションおよびシステム リソースを 変 更 できないように、それらを 制 限 することです。これらのシグネチャを 防 止 すると 基 本 システムのセキュリティが 向 上 しますが、 追 加 の 微 調 整 が 必 要 になります。• 情 報 - 害 のないセキュリティ リスクが 発 生 するかまたは 重 要 なシステム 情 報 がアクセスされる 可 能 性 のある、システム 設 定 の 変 更 を 示 します。このレベルのイベントは、 正 常なシステム 動 作 中 に 発 生 し、 通 常 は 攻 撃 を 示 すものではありません。シグネチャの 種 類IPS ルールのポリシーには、 次 の 3 種 類 のシグネチャがあります。• Host IPS シグネチャ - Host Intrusion Prevention のデフォルトのシグネチャ• カスタム IPS シグネチャ - ユーザが 作 成 するカスタム ホスト 侵 入 防 止 シグネチャ• ネットワーク IPS シグネチャ - Network Intrusion Prevention のデフォルトのシグネチャHost IPS シグネチャホストベースの 侵 入 防 止 シグネチャは、システム 操 作 を 行 う 動 作 への 攻 撃 を 検 出 および 防 止するもので、ファイル、レジストリ、サービス、HTTP などに 関 するルールを 含 みます。これらのシグネチャは、Host Intrusion Prevention のセキュリティ エキスパートによって 開 発され、 製 品 に 含 まれており、コンテンツの 更 新 も 提 供 されます。各 シグネチャには、 説 明 とデフォルトの 重 大 度 レベルがあります。 適 切 な 特 権 レベルを 持 っていれば、 管 理 者 はシグネチャの 重 大 度 レベルを 変 更 できます。ホストベースのシグネチャは、 呼 び 出 されると IPS イベントを 生 成 し、それらのイベントは[レポート] の [ホスト IPS] タブの [イベント] タブに 表 示 されます。カスタム IPS シグネチャカスタム シグネチャは、デフォルトの 保 護 を 超 える 保 護 のために 作 成 できる、ホストベースのシグネチャです。たとえば、 重 要 なファイルを 使 用 して 新 しいフォルダを 作 成 する 場 合 に、カスタム シグネチャを 作 成 してそのフォルダを 保 護 できます。注 意 : ネットワークベースのカスタム シグネチャは 作 成 できません。ネットワーク IPS シグネチャネットワークベースの 侵 入 防 止 シグネチャは、ホスト システム 上 に 到 達 する 既 知 のネットワークベースの 攻 撃 を 検 出 および 防 止 します。ネットワークベースのシグネチャは、ホストベースのシグネチャと 同 じシグネチャ リストに 表 示 されます。42McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義各 シグネチャには、 説 明 とデフォルトの 重 大 度 レベルがあります。 適 切 な 特 権 レベルを 持 っていれば、 管 理 者 はシグネチャの 重 大 度 レベルを 変 更 できます。ネットワークベースのシグネチャに 対 して 例 外 を 作 成 することはできますが、オペレーティング システム ユーザ、プロセス 名 などの 追 加 パラメータ 属 性 を 指 定 することはできません。詳 細 には IP アドレスなどのネットワーク 特 有 のパラメータが 含 まれており、それらのパラメータを 指 定 できます。ネットワークベースのシグネチャによって 生 成 されたイベントは、[イベント] タブにホストベースのイベントとともに 表 示 され、ホストベースのイベントと 同 じ 動 作 が 示 されます。シグネチャを 使 用 するには、[IPS ルール] ポリシーの [シグネチャ] タブをクリックします。IPS シグネチャの 設 定IPS ルール ポリシーの [シグネチャ] タブでは、デフォルトのシグネチャを 編 集 したり、カスタム シグネチャを 追 加 できます。また、シグネチャを 別 のポリシーに 移 動 することもできます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS ルール] を 選 択 します。ポリシーのリストが 表 示 されます。2 [アクション] の 下 で [ 編 集 ] をクリックして、[IPS ルール] ページで 変 更 を 行 い、[シグネチャ] タブをクリックします。3 次 のいずれかを 行 います。操 作 ...リストでのシグネチャの 検 索シグネチャの 編 集手 順 ...シグネチャ リストの 上 部 にあるフィルタを 使 用 します。シグネチャの 重 大 度 、 種 類 、プラットフォーム、ログ ステータス、クライアント ルールを 許 可 するかどうか、またはシグネチャ 名 、メモ、あるいはコンテンツ バージョンを 含 む 特 定 のテキストでフィルタを設 定 できます。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。[アクション] で、[ 編 集 ] をクリックします。• デフォルトのシグネチャである 場 合 、[ 重 大 度 レベル]、[クライアント ルール]、または [ログのステータス] の 設 定 を 変 更 し、 変 更 内 容 を 記 述 するメモを [メモ] ボックスに 入 力 します。[OK] をクリックして 変 更 を 保 存 します。 編 集 したデフォルトのシグネチャは、[アクション] の [ 取 り 消 し]をクリックすると 元 の 設 定 に 戻 すことができます。注 意 : シグネチャを 編 集 して 変 更 を 保 存 すると、リスト 内 でシグネチャが 再 度 ソートされます。 編集 後 のシグネチャを 探 すには、リストの 検 索 が 必要 になる 場 合 があります。• シグネチャがカスタム シグネチャである 場 合 、[ 重 大 度 レベル]、[クライアント ルール]、[ログのステータス]、または [ 説 明 ] の 設 定 を 変 更 し、変 更 内 容 を 記 述 するメモを [メモ] ボックスに 入McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )43

IPS ポリシーの 設 定IPS 保 護 の 定 義操 作 ...手 順 ...力 します。[OK] をクリックして 変 更 を 保 存 します。注 意 : 複 数 のシグネチャを 同 時 に 変 更 することもできます。シグネチャの 選 択 して [ 複 数 を 選 択 ] をクリックします。 表 示 されたページで、 編 集 可 能 な 項 目 の 設定 を 選 択 して [OK] をクリックします。シグネチャの 追 加カスタム シグネチャの 削 除[ 新 規 ] または [ 新 規 (ウィザード)] をクリックします。[アクション] で [ 削 除 ] をクリックします。注 意 : 削 除 できるのは、カスタム シグネチャだけです。別 のポリシーへのシグネチャのコピーシグネチャを 選 択 し、[コピー 先 ] をクリックして 別のポリシーにコピーします。シグネチャのコピー 先 のポリシーを 指 定 し、[OK] をクリックします。注 意 : 複 数 のシグネチャを 選 択 してから [コピー 先 ]をクリックすると、 選 択 したすべてのシグネチャをまとめてコピーできます。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。カスタム シグネチャの 作 成IPS ルール ポリシーの [シグネチャ] タブで、カスタム Host IPS を 作 成 し、デフォルトのシグネチャで 対 応 できない 特 定 の 操 作 を 保 護 することができます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 IPS ルール ポリシーの [シグネチャ] タブで、[ 新 規 ] をクリックします。 空 白 の [シグネチャ] ページが 表 示 されます。2 シグネチャの [IPS シグネチャ] タブで、 名 前 ( 必 須 ) を 入 力 し、プラットフォーム、重 大 度 レベル、ログのステータス、およびクライアント ルールの 作 成 を 許 可 するかどうかを 選 択 します。 重 大 度 レベル、クライアント ルール、ログのステータスのチェックボックスを 選 択 して、デフォルトの 値 を 変 更 します。3 [ 説 明 ] タブで、シグネチャの 保 護 対 象 の 説 明 を 入 力 します。この 説 明 は、シグネチャが呼 び 出 されたときに、[IPS イベント] に 表 示 されます。4 [サブルール] タブで、[ 新 しい 標 準 サブルール] または [ 新 しいエキスパート サブルール] を 選 択 してルールを 作 成 します。標 準 方 法エキスパート 向 けの 方 法標 準 方 法 では、シグネチャのルールに 設 定 できる 種 類の 数 が 制 限 されます。エキスパート 向 けの 方 法 は、 詳 しい 知 識 のあるユーザのみが 使 用 することをお 勧 めします。この 方 法 では、シグネチャのルールに 設 定 できる 種 類 の 数 は 制 限 されず、ルールの 構 文 を 設 定 できます。ルールを 作 成 する前 に、ルールの 構 文 をよく 理 解 してください。1 シグネチャの 名 前 ( 必 須 ) を 入 力 し、ルールクラスの 種 類 を 選 択 します。オプションは、ファイル、フック、HTTP、プログラム、レジストリ、サービス、SQL です。1 シグネチャのルール 構 文 を 入 力 します。ここに、ルールの 名 前 を 入 れることができます。ANSI 形 式 の TCL 構 文 を 使 用 します。44McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義標 準 方 法2 ブロック され、シグネチャが 生 成 されるクラス 操 作 を 指 定 します。3 特 定 のパラメータ、そのパラメータの 種 類 、およびその 値 を 含 めるか 除 外 するかを 指 定 します。4 パラメータとして、ファイルの 説 明 、ファイル名 、MD5 ハッシュ フィンガープリント、 署 名者 のいずれかと 一 緒 に 実 行 ファイルを 指 定 します。エキスパート 向 けの 方 法2 [OK] をクリックすると、ルールが [サブルール] タブの 上 部 のリストに 追 加 されます。ルールがコンパイルされ、 構 文 が 検 証 されます。ルールの 検 証 が 正 常 終 了 しなかった 場 合 は、エラー 内 容 を 示 すダイアログ ボックスが 表 示 されます。エラーを 修 正 して、ルールを 再 度 検 証します。5 [OK] をクリックすると、ルールが [サブルール] タブの 上 部 のリストに 追 加 されます。ルールがコンパイルされ、 構 文 が 検 証 されます。ルールの 検 証 が 正 常 終 了 しなかった 場 合 は、エラー 内 容 を 示 すダイアログ ボックスが 表 示 されます。エラーを 修 正 して、ルールを 再 度 検 証します。クラスの 種 類 、 演 算 子 、パラメータの 詳 細 については、「カスタム シグネチャと 例 外 の作 成 」で 該 当 するクラス セクションを 参 照 してください。5 [OK] をクリックします。注 意 : 1 つのシグネチャに 対 して 複 数 のルールを 作 成 できます。ウィザードによるカスタム シグネチャの 作 成カスタム シグネチャ ウィザードを 使 用 すると、 新 しいシグネチャを 簡 単 に 作 成 できます。注 意 : ウィザードを 使 用 してシグネチャを 作 成 した 場 合 、シグネチャの 保 護 対 象 操 作 を 変 更 、追 加 、または 削 除 できないため、 柔 軟 性 は 期 待 できません。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 IPS ルールの [シグネチャ] タブで、[ 新 規 (ウィザード)] をクリックします。2 [ 基 本 情 報 ] タブで、 名 前 を 入 力 し、プラットフォーム、 重 大 度 レベル、ログのステータス、およびクライアント ルールの 作 成 を 許 可 するかどうかを 選 択 します。[ 次 へ] をクリックして、 続 行 します。3 [ 説 明 ] タブで、シグネチャの 保 護 対 象 の 説 明 を 入 力 します。この 説 明 は、シグネチャが呼 び 出 されたときに、[IPS イベント] に 表 示 されます。4 [ルールの 定 義 ] タブで、 変 更 に 対 して 保 護 する 項 目 を 選 択 し、 詳 細 を 入 力 します。5 [OK] をクリックします。FAQ - IPS ルールでのワイルドカードの 使 い 方Host IPS ルールでは、 特 定 のフィールド 値 にワイルドカードを 使 用 できます。パスとアドレスで 使 用 できるワイルドカードを 教 えてください。ファイル、レジストリ キー、 実 行 ファイル、URL のパスには 次 のワイルドカードが 使 用 できます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )45

IPS ポリシーの 設 定IPS 保 護 の 定 義文 字? ( 疑 問 符 )* (1 つのアスタリスク)** (2 つのアスタリスク)| (パイプ)定 義1 つの 文 字 。/ と \ を 除 く 複 数 の 文 字 。サブフォルダではなく、フォルダのルート レベルの 内 容 と 一 致 させるために 使 用 します。/ と \ を 含 む 複 数 の 文 字 。ワイルドカードのエスケープ。注 意 : ** の 場 合 、エスケープは |*|* になります。他 の 値 で 使 用 できるワイルドカードを 教 えてください。パス 情 報 を 含 まないスラッシュ 付 きの 値 では、 次 のワイルドカードを 使 用 できます。文 字? ( 疑 問 符 )* (1 つのアスタリスク)| (パイプ)定 義1 つの 文 字 。/ と \ を 含 む 複 数 の 文 字 。ワイルドカードのエスケープ。シグネチャのエキスパート サブルール 値 で 使 用 できるワイルドカードを 教 えてください。エクスパート 方 法 でサブルールを 作 成 する 場 合 には、 次 の 文 字 が 使 用 できます。文 字? ( 疑 問 符 )* (1 つのアスタリスク)& (アンパサンド)! ! ( 感 嘆 符 )定 義1 つの 文 字 。/ と \ を 含 む 複 数 の 文 字 。 例 :files { Include“C:\*.txt” ” }/ と \ を 除 く 複 数 の 文 字 。サブフォルダではなく、フォルダのルート レベルの 内 容 と 一 致 させるために 使 用 します。 例 :files { Include “C:\test\\&.txt” }ワイルドカードのエスケープ。 例 :files { Include“C:\test\\yahoo!.txt” }IPS アプリケーション 保 護 ルールの 機 能アプリケーション 保 護 ルールは、プロセスが Host Intrusion Prevention から 汎 用 的 なバッファ オーバーフロー 対 策 を 受 信 する 方 法 を 制 御 します。このルールでは、 定 義 され 生 成 されたプロセス リストに 対 するユーザレベルの API フックを 許 可 またはブロックします。カーネルレベルのファイルおよびレジストリ フックには 影 響 しません。リスト 内 で 監 視 ステータスが「 監 視 対 象 」のプロセスだけがバッファ オーバーフロー 対 策 の 対 象 になります。Host Intrusion Prevention では、 許 可 またはブロックされたプロセスの 静 的 リストを 提 供しています。このリストは、McAfee デフォルト IPS ルール ポリシーで 適 用 されるコンテンツ 更 新 で 更 新 されます。さらに、プロセス 解 析 が 有 効 な 場 合 、フックを 許 可 されたプロセスが 動 的 にリストに 追 加 されます。この 解 析 は 次 の 条 件 で 実 行 されます。• クライアントが 起 動 して 実 行 中 のプロセスが 列 挙 される 場 合 。• プロセスが 開 始 される 場 合 。• ePolicy Orchestrator サーバによりアプリケーション 保 護 リストが 更 新 される 場 合 。46McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義• ネットワーク ポートを 待 ち 受 けるプロセスのリストが 更 新 される 場 合 。注 意 : リストを 動 的 に 更 新 するには、IPS オプション ポリシーで [ネットワークに 接 続 するサービスベース アプリケーションを 自 動 的 にアプリケーション 保 護 リストに 追 加 ] を 選 択 する 必 要 があります。このオプションでは、ネットワーク ポートで 待 機 するすべての Windowsサービスとアプリケーションが 対 象 になります。この 解 析 では、プロセスがアプリケーション 保 護 リストから 除 外 されているかどうかを 最 初に 確 認 します。 除 外 されていない 場 合 、プロセスがアプリケーション 保 護 リストに 追 加 されているかどうかを 確 認 します。 追 加 されていない 場 合 、プロセスがネットワーク ポートで 待機 しているのか、サービスとして 実 行 されているかを 確 認 します。 該 当 しない 場 合 、フックがブロックされ、プロセスは 保 護 されません。ポート 上 で 待 機 しているかサービスとして 実行 されている 場 合 には、フックが 許 可 され、プロセスが 保 護 されます。図 1: アプリケーション 保 護 ルールの 解 析IPS コンポーネントは、 実 行 中 のプロセスに 情 報 キャッシュを 保 持 しており、フック 情 報 を追 跡 します。ファイアウォール コンポーネントは、プロセスがネットワーク ポートを 待 ちMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )47

IPS ポリシーの 設 定IPS 保 護 の 定 義受 けているかどうか 判 断 し、IPS コンポーネントにエクスポートされた API を 呼 び 出 し、 監視 リストに 追 加 される 情 報 を API に 渡 します。API が 呼 び 出 されると、IPS コンポーネントは 対 応 するエントリを 実 行 中 のプロセス リストで 見 つけます。まだフックされておらず 静 的ブロック リストの 一 部 にもなっていないプロセスは、これでフックされます。ファイアウォールから PID (プロセス ID) が 出 力 され、これがプロセスのキャッシュ 検 索 のためのキーになります。IPS コンポーネントにエクスポートされた API によっても、 現 在 フックされているプロセスをクライアント ユーザ インターフェースで 取 得 でき、これはプロセスがフックまたはフックを 解 除 されるたびに 更 新 されます。すでにフックされているプロセスは、 今 後 フックできなくなることを 指 定 した 更 新 済 みのプロセス リストがサーバから 送 信 されると、フックが 解除 されます。プロセス フック リストが 更 新 されると、 実 行 中 のプロセスの 情 報 キャッシュにリストされたすべてのプロセスが、 更 新 されたリストと 比 較 されます。リストにより、あるプロセスがフックされる 必 要 があるのにフックされていないことがわかると、そのプロセスはフックされます。リストにより、あるプロセスがフックされてはいけないのにフックされていることがわかると、そのプロセスはフック 解 除 されます。プロセス フック リストは、[アプリケーション 保 護 ルール] タブで 表 示 、 編 集 できます。IPSルールのポリシーとは 異 なり、クライアント ユーザ インターフェースには、フックされたすべてのアプリケーション プロセスの 静 的 リストが 表 示 されます。注 意 : hook:set_windows_hook による 実 行 ファイルへの DLL の 挿 入 を 阻 止 するには、アプリケーション 保 護 リストに 実 行 ファイルを 追 加 します。IPS アプリケーション 保 護 ルールの 設 定IPS ルール ポリシーの [IPS ルール アプリケーション 保 護 ルール] タブでは、ルールの 編集 、 追 加 、 削 除 、 別 のポリシーへの 移 動 を 実 行 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS ルール] を 選 択 します。ポリシーのリストが 表 示 されます。2 [アクション] の 下 で [ 編 集 ] をクリックして、[IPS ルール] ページで 変 更 を 行 い、[アプリケーション 保 護 ルール] タブをクリックします。3 以 下 の 操 作 を 実 行 します。操 作 ...リストでのアプリケーション ルールの 検 索アプリケーション ルールの 編 集アプリケーション ルールの 追 加アプリケーション ルールの 削 除手 順 ...アプリケーション リストの 上 部 にあるフィルタを 使用 します。ルールのステータス、 監 視 、またはプロセス 名 、プロセス パス、あるいはコンピュータ 名 を 含む 特 定 のテキストでフィルタを 設 定 できます。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。[アクション] で、[ 編 集 ] をクリックします。[ 新 規 ] をクリックします。[アクション] で [ 削 除 ] をクリックします。48McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS 保 護 の 定 義操 作 ...アプリケーション ルールの 別 のポリシーへのコピー手 順 ...ルールを 選 択 し、[コピー 先 ] をクリックして 別 のポリシーにコピーします。ルールのコピー 先 のポリシーを 指 定 し、[OK] をクリックします。注 意 : 複 数 のルールを 選 択 してから [コピー 先 ] をクリックすると、 選 択 したすべてのルールをまとめてコピーできます。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。アプリケーション 保 護 ルールの 作 成IPS ルール ポリシーに 環 境 で 必 要 なアプリケーション 保 護 ルールがない 場 合 には、ルールを作 成 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 IPS ルール ポリシーの [アプリケーション 保 護 ルール] タブで、 次 のいずれかを 行 います。• [ 新 規 ] をクリックします。 空 白 の [アプリケーション] ページが 表 示 されます。• ルールを 選 択 し、[ 複 製 ] をクリックします。 新 しいルールに 名 前 を 付 けて 保 存 し、[ 編 集 ] をクリックします。2 名 前 、ステータス、アプリケーション ルールを 保 護 リストに 入 れるかどうか、およびルールに 適 用 する 実 行 ファイルを 入 力 します。注 意 : [カタログから 追 加 ] をクリックすると、Host IPS カタログから 既 存 の 実 行 ファイルを 追 加 できます。カタログの 詳 細 については、「ファイアウォール ルールの 設 定 」の「Host IPS カタログの 機 能 」を 参 照 してください。3 [ 保 存 ] をクリックします。IPS 例 外 の 機 能攻 撃 だと 解 釈 される 動 作 が、ユーザの 作 業 手 順 の 正 常 な 一 部 である 場 合 があります。これを誤 検 知 といいます。 誤 検 知 を 防 ぐには、その 動 作 に 対 して 例 外 を 作 成 します。例 外 を 使 用 すると、 誤 検 知 を 削 減 し、コンソールに 送 られる 不 要 なデータを 最 小 限 に 抑 え、アラートを 本 当 のセキュリティ 上 の 脅 威 として 捉 えることができます。たとえば、 検 査 のプロセス 中 、クライアントが「Outlook エンベロープ - 怪 しい 実 行 可 能 モジュール」のシグネチャを 認 識 したとします。このシグネチャは、Outlook 電 子 メールのアプリケーションが Outlook の 通 常 のリソースであるエンベロープ 外 部 のアプリケーションを変 更 しようとしていることを 示 しています。Outlook が 通 常 電 子 メールに 関 連 付 けられていないアプリケーション (Notepad.exe) などを 変 更 する 可 能 性 があるため、このシグネチャでトリガーされたイベントはアラームの 原 因 となります。この 例 では、トロイの 木 馬 に 感 染 した 可 能 性 があります。しかし、イベントを 開 始 したプロセス (たとえば Outlook.exe によるファイルの 保 存 ) が 通 常 どおり 電 子 メールの 送 信 を 行 っているのであれば、この 動 作 を 許 可する 例 外 を 作 成 する 必 要 があります。ヒント: 特 定 のフォルダでファイルの 変 更 ( 編 集 、 名 前 の 変 更 、 削 除 ) を 許 可 しないカスタム シグネチャを 作 成 するときに、1 つのアプリケーションに 変 更 を 許 可 する 場 合 には、そのMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )49

IPS ポリシーの 設 定IPS 保 護 の 定 義アプリケーションがファイルを 変 更 できるように 例 外 を 作 成 します。あるいは、カスタム シグネチャのサブルールでアプリケーションを 除 外 するパラメータを 追 加 します。IPS 例 外 の 設 定IPS ルール ポリシーの [IPS ルール 例 外 ] タブでは、 例 外 の 編 集 、 追 加 、 削 除 、 別 のポリシーへの 移 動 を 実 行 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: IPS] を 選 択 し、[カテゴリ] リストで [IPS ルール] を 選 択 します。ポリシーのリストが 表 示 されます。2 [アクション] の 下 で [ 編 集 ] をクリックして、[IPS ルール] ページで 変 更 を 行 い、[ 例外 ルール] タブをクリックします。3 以 下 の 操 作 を 実 行 します。操 作 ...リストでの 例 外 ルールの 検 索例 外 ルールの 編 集例 外 ルールの 追 加例 外 ルールの 削 除例 外 ルールの 別 のポリシーへのコピー手 順 ...例 外 リストの 上 部 にあるフィルタを 使 用 します。ルールのステータス、 変 更 された 日 付 、またはルール テキストか 注 テキストを 含 む 特 定 のテキストでフィルタを 設 定 できます。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。[アクション] で、[ 編 集 ] をクリックします。[ 新 規 ] をクリックします。[アクション] で [ 削 除 ] をクリックします。ルールを 選 択 し、[コピー 先 ] をクリックして 別 のポリシーにコピーします。ルールのコピー 先 のポリシーを 指 定 し、[OK] をクリックします。注 意 : 複 数 のルールを 選 択 してから [コピー 先 ] をクリックすると、 選 択 したすべてのルールをまとめてコピーできます。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。例 外 ルールの 作 成シグネチャでブロックされた 動 作 を 許 可 するには、そのシグネチャに 例 外 を 作 成 します。これにより、 例 外 のパラメータと 値 を 定 義 します。 詳 細 については、「カスタム シグネチャと例 外 の 作 成 」を 参 照 してください。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 IPS ルール ポリシーの [ 例 外 ルール] タブで、[ 新 規 ] をクリックします。2 例 外 の 名 前 を 入 力 します。 例 外 を 適 用 するシグネチャも 追 加 します。3 シグネチャの 動 作 例 外 として 機 能 する 実 行 ファイル、パラメータ、ドメイン グループを設 定 します。4 [ 保 存 ] をクリックします。50McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS イベントの 監 視IPS イベントの 監 視IPS イベントは、シグネチャで 定 義 されているセキュリティ 違 反 が 検 出 されたときに 発 生 し、ePO サーバに 報 告 されます。IPS イベントは、[レポート] の 下 にある [Host IPS] の [イベント] タブに 重 大 度 レベル( 高 、 中 、 低 、 情 報 ) と 一 緒 に 表 示 されます。または、[イベント ログ] タブに、ePolicyOrchestrator が 管 理 する 他 の 製 品 のイベントと 一 緒 に 表 示 されます。注 意 : 同 じ 操 作 によって 2 つのイベントが 発 生 する 場 合 、より 高 いレベルのシグネチャの 処理 が 実 行 されます。生 成 されたイベントのリストから、 許 可 できるイベントと 怪 しいイベントを 判 断 することができます。イベントを 許 可 するには、システムを 次 のように 設 定 します。• 例 外 - シグネチャ ルールに 優 先 するルール。• 信 頼 できるアプリケーション - シグネチャによってブロックされる 動 作 をするアプリケーションのうち、 信 頼 できるとラベル 付 けされたアプリケーション。このような 調 整 を 行 うと、 表 示 されるイベントを 最 小 限 に 抑 えることができるため、 発 生 した 重 大 なイベントの 分 析 に、より 多 くの 時 間 をかけることができます。イベントに 対 する 処 理特 定 の 状 況 では、 攻 撃 だと 解 釈 される 動 作 が、 実 際 にはユーザの 作 業 手 順 の 正 常 な 一 部 である 場 合 があります。このようなことが 発 生 した 場 合 、この 動 作 に 対 して、 例 外 ルールまたは信 頼 できるアプリケーションのルールを 作 成 できます。例 外 または 信 頼 できるアプリケーションを 作 成 すると、 誤 検 知 が 除 去 され、 通 知 があった 場合 には 確 実 に 重 要 な 情 報 として 捉 えることができます。たとえば、クライアントの 検 査 中 、クライアントが 電 子 メール アクセスについてのシグネチャを 認 識 する 可 能 性 があります。 通 常 、このシグネチャによって 発 生 したイベントがアラームの 原 因 になります。ハッカーによって、 通 常 は 電 子 メール アプリケーション 用 であるTCP/IP ポート 25 を 使 用 するトロイの 木 馬 アプリケーションがインストールされた 可 能 性 があり、この 動 作 は、TCP/IP ポート 25 の 動 作 (SMTP) シグネチャによって 検 出 されます。その 一 方 で、 正 常 な 電 子 メール トラフィックも、このシグネチャに 一 致 します。このシグネチャを 確 認 した 場 合 は、イベントを 開 始 したプロセスを 調 査 してください。Notepad.exe など、プロセスが 電 子 メールに 正 常 に 関 連 しているものでない 場 合 、トロイの 木 馬 が 仕 掛 けられたと 疑 う 正 当 な 理 由 がある 可 能 性 があります。イベントを 開 始 したプロセスが 通 常 どおり電 子 メール 送 信 を 担 当 しているのであれば (Outlook など)、そのイベントに 対 して 例 外 を 作成 してください。また、たとえば、 多 数 のクライアントが 起 動 プログラムについてのシグネチャを 呼 び 出 しており、それらのシグネチャが 次 のようなレジストリ キーの 値 の 変 更 または 作 成 を 示 す 可 能 性もあります。HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceこれらのキーに 保 存 されている 値 は、コンピュータの 起 動 時 に 開 始 されるプログラムを 示 すため、このシグネチャの 認 識 は、 誰 かがシステムを 改 ざんしようとしていることを 示 している 可 能 性 があります。 一 方 、 従 業 員 が WinZip をコンピュータにインストールしているなど、害 のない 動 作 を 示 している 可 能 性 もあります。WinZip をインストールすると、Run レジストリ キーに 値 が 追 加 されます。承 認 されたソフトウェアをユーザがインストールするたびにイベントが 発 生 するのを 回 避 するには、これらのイベントに 対 して 例 外 を 作 成 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )51

IPS ポリシーの 設 定IPS イベントの 監 視イベントのフィルタと 集 約フィルタを 適 用 すると、フィルタ 条 件 で 定 義 されたすべての 変 数 を 満 たすイベントのリストが 生 成 されます。 生 成 されるリストは、すべての 条 件 を 含 むイベントのリストです。イベントを 集 約 すると、[ 集 約 する 列 を 選 択 する] タブで 選 択 した 各 変 数 に 関 連 する 値 ごとにグループ 化 された、イベントのリストが 生 成 されます。 生 成 されるリストは、 選 択 した 変 数 に 関 連する 値 ごとにグループ 化 され、 並 べ 替 えられたイベントのリストです。IPS イベントの 管 理クライアントから 送 信 された IPS イベントを 確 認 して 例 外 または 信 頼 できるアプリケーションを 作 成 すると、セキュリティを 強 化 できます。注 意 : IPS イベントは、 全 システムのその 他 のすべてのイベントとともに [レポート] の [イベント ログ] タブにも 表 示 されます。[レポート] の [イベント] タブにアクセスするには、[イベント ログ]、[システム]、および [システム ツリー アクセス] の 表 示 権 限 を 含 む、 追加 の 権 限 セットが 必 要 です。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [レポート]、[Host IPS 8.0] の 順 に 移 動 し、[イベント] をクリックします。2 システム ツリーで、IPS イベントを 表 示 するグループを 選 択 します。 選 択 したグループに 関 連 付 けられているすべてのイベントが 表 示 されます。デフォルトでは、すべてのイベントは 表 示 されません。 過 去 30 日 間 に 発 生 したイベントのみが 表 示 されます。3 イベントのリストの 表 示 方 法 を 決 定 します。操 作 ...表 示 する 列 を 選 択 する列 によって 並 べ 替 えるグループにフィルタを 設 定 するイベントの 条 件 にフィルタを 設 定 する例 外 の 集 約イベントの 詳 細 表 示手 順 ...[オプション]、[ 列 の 選 択 ] の 順 に 選 択 します。[ 列 の選 択 ] ページで、 表 示 する 列 の 追 加 、 削 除 、または 順序 の 変 更 を 行 います。列 ヘッダーをクリックします。[フィルタ] メニューから、[このグループのみ] または [このグループとすべてのサブグループ] を 選 択 します。イベントの 種 類 、ステータス ( 未 読 、 既 読 、 非 表 示 、非 表 示 を 表 示 )、 重 大 度 または 作 成 日 を 選 択 します。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。[ 集 約 ] をクリックし、イベントを 集 約 する 条 件 を 選択 して [OK] をクリックします。 集 約 設 定 を 削 除 するには、[クリア] をクリックします。イベントをクリックします。[イベント ログの 詳 細 ]ページが 表 示 されます。4 フィルタリングと 管 理 を 簡 単 に 行 えるように、イベントにマークを 付 けます。1 つ 以 上のイベントのチェックボックスを 選 択 して、 必 要 なコマンドをクリックします。注 意 : コマンドが [その 他 のアクション] メニューに 表 示 される 場 合 もあります。クリックする 項 目開 封 済 みに 設 定操 作 ...イベントを 開 封 済 みに 設 定 します。52McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS イベントの 監 視クリックする 項 目未 開 封 に 設 定非 表 示 に 設 定非 表 示 を 表 示 に 設 定操 作 ...開 封 済 みイベントを 未 開 封 に 設 定 します。イベントを 非 表 示 にします。非 表 示 のイベントを 表 示 します。 注 : 非 表 示 イベントを 選 択 できるようにするには、 先 にフィルタリングしておく 必 要 があります。5 例 外 または 信 頼 できるアプリケーション ルールを 作 成 します。イベントを 選 択 し、[ 新しい 例 外 ] をクリックして 例 外 を 作 成 するか、[ 新 しい 信 頼 できるアプリケーション] をクリックしてアプリケーション ルールを 作 成 します。 詳 細 については、「イベントからの 例 外 の 作 成 」または「イベントからの 信 頼 できるアプリケーションの 作 成 」を 参 照 してください。イベントからの 例 外 の 作 成[Host IPS 8.0 イベント] タブまたは [イベント ログ] ページの [レポート] に 表 示 されたイベントでは、 例 外 を 作 成 するオプションを 使 用 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 例 外 を 作 成 するイベントのチェックボックスを 選 択 します。2 [ 新 しい 例 外 ] をクリックします。注 意 : コマンドが [アクション] メニューに 表 示 される 場 合 もあります。3 表 示 されたダイアログ ボックスで、 追 加 先 の IPS ルール ポリシーを 選 択 し、[OK] をクリックします。 例 外 が 自 動 的 に 作 成 され、 追 加 先 の IPS ルール ポリシーの 例 外 リストの 最 後 に 追 加 されます。イベントからの 信 頼 できるアプリケーションの 作 成[Host IPS 8.0 イベント] タブまたは [イベント ログ] ページの [レポート] に 表 示 されたイベントでは、 信 頼 できるアプリケーションを 作 成 するオプションを 使 用 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 信 頼 できるアプリケーションを 作 成 するイベントのチェックボックスを 選 択 します。2 [ 新 しい 信 頼 できるアプリケーション] をクリックします。注 意 : コマンドが [その 他 のアクション] メニューに 表 示 される 場 合 もあります。3 表 示 されたダイアログ ボックスで、 追 加 先 の 信 頼 できるアプリケーション ポリシーを選 択 し、[OK] をクリックします。 例 外 が 自 動 的 に 作 成 され、 追 加 先 の 信 頼 できるアプリケーション ポリシーの 例 外 リストの 最 後 に 追 加 されます。ここから、 新 しいアプリケーションの 詳 細 を 表 示 し、 編 集 することができます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )53

IPS ポリシーの 設 定IPS クライアント ルールの 監 視IPS クライアント ルールの 監 視クライアントが 適 応 モードにあるときに 自 動 的 に 作 成 された IPS クライアント ルールや、クライアント ルールの 手 動 作 成 を 許 可 するクライアント UI ポリシーが 有 効 な 場 合 にクライアントで 手 動 で 作 成 された IPS クライアント ルールは、 定 期 的 に 解 析 する 必 要 があります。IPS クライアント ルールはクライアントで 作 成 された 例 外 で、シグネチャでブロックされた機 能 を 許 可 します。 重 大 度 高 のシグネチャに 対 する 例 外 は 十 分 に 注 意 してください。 誤 検 知の 場 合 も、 重 大 な 問 題 の 場 合 もあります。 誤 検 知 の 場 合 には、 例 外 を IPS ルール ポリシーに 移 動 するか、シグネチャの 重 大 度 を 調 整 します。注 意 : [レポート] の [ホスト IPS] タブに 表 示 される IPS クライアントのルールにアクセスするには、Host Intrusion Prevention の IPS に 対 する 権 限 以 外 に、[イベント ログ]、[システム]、および [システム ツリー アクセス] の 表 示 権 限 を 含 む、 追 加 の 権 限 が 必 要 です。例 外 は、ソート、フィルタリング、 集 約 ができます。また、 例 外 の 詳 細 も 表 示 できます。 次に、 一 部 またはすべてのクライアント 例 外 を 特 定 の IPS ルール ポリシーに 追 加 して、 特 定のシステム 環 境 の 誤 検 知 を 削 減 できます。集 約 機 能 を 使 用 すると、 同 じ 属 性 を 持 つ 複 数 の 例 外 をまとめることにより、1 つの 集 約 された 例 外 だけを 表 示 できるとともに、 例 外 が 発 生 した 回 数 を 管 理 できます。こうして、クライアントでの IPS 保 護 のトラブル スポットを 容 易 に 検 出 することができます。IPS クライアント ルールの 管 理適 用 モードで 自 動 的 に 作 成 された IPS クライアント ルールやクライアントで 手 動 で 作 成 したルールを 表 示 し、IPS ルールや 信 頼 できるアプリケーション ポリシーに 移 動 すると、IPS保 護 の 調 整 を 効 率 的 に 行 うことができます。注 意 : [レポート] の [ホスト IPS] タブに 表 示 される IPS クライアントのルールにアクセスするには、Host Intrusion Prevention の IPS に 対 する 権 限 以 外 に、[イベント ログ]、[システム]、および [システム ツリー アクセス] の 表 示 権 限 を 含 む、 追 加 の 権 限 が 必 要 です。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [レポート]、[Host IPS 8.0] の 順 に 移 動 し、[IPS クライアント ルール] をクリックします。2 システム ツリーで、クライアント ルールを 表 示 するグループを 選 択 します。3 クラアイント 例 外 リストの 表 示 方 法 を 決 定 します。操 作 ...列 によって 並 べ 替 えるグループにフィルタを 設 定 する例 外 条 件 にフィルタを 設 定 する手 順 ...列 ヘッダーをクリックします。[フィルタ] メニューから、[このグループのみ] または [このグループとすべてのサブグループ] を 選 択 します。時 間 の 条 件 を 選 択 します。プロセス パス、プロセス名 、ユーザ 名 、コンピュータ 名 、またはシグネチャID を 検 索 テキスト ボックスに 入 力 し、[ 戻 る] を 押します。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。54McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

IPS ポリシーの 設 定IPS クライアント ルールの 監 視操 作 ...例 外 の 集 約手 順 ...[ 集 約 ] をクリックし、 例 外 を 集 約 する 条 件 を 選 択 して [OK] をクリックします。 集 約 設 定 を 削 除 するには、[クリア] をクリックします。4 例 外 をポリシーに 移 動 するには、リスト 内 の 1 つ 以 上 の 例 外 を 選 択 し、[ 例 外 の 作 成 ]をクリックして、 例 外 の 移 動 先 のポリシーを 指 定 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )55

ファイアウォール ポリシーの 設 定Host Intrusion Prevention ファイアウォール ポリシーは 保 護 機 能 を 有 効 または 無 効 にします。また、ポリシーのルールにより、データ、アプリケーション、オペレーティング システムを 侵 害 する 可 能 性 があるネットワーク 侵 入 を 阻 止 します。目 次ファイアウォール ポリシーの 概 要ファイアウォール 保 護 の 有 効 化ファイアウォール 保 護 の 定 義ファイアウォール ポリシーの 概 要The Host Intrusion Prevention ファイアウォール 機 能 は、Windows が 稼 動 するネットワーク 上 のシステムで 送 受 信 されるトラフィックをフィルタリングし、システムを 保 護 します。ステートフル パケット フィルタ 機 能 とパケット 検 査 機 能 は、さまざまな 種 類 の 接 続 のパケットを 識 別 し、 転 送 の 最 初 から 最 後 まで、ネットワーク 接 続 の 属 性 をメモリに 保 持 できます。Host IPS カタログを 使 用 すると、ルールを 簡 単 に 作 成 できます。カタログから 既 存 のファイアウォール ルールやグループに 既 存 のルール、グループ、ネットワーク オプション、アプリケーション、 実 行 ファイル、 場 所 を 追 加 できます。また、これらの 項 目 を 一 つずつまた 一括 でカタログに 追 加 できます。使 用 可 能 なポリシー次 の 3つのファイアウォール ポリシーがあります。ファイアウォール オプション - ファイアウォール 保 護 を 有 効 にします。ファイアウォール保 護 を 有 効 または 無 効 にします。ステートフル ファイアウォールの 設 定 を 定 義 し、ファイアウォール サービスが 開 始 するまで 送 信 トラフィックだけを 許 可 するなど、 特 別 なファイウォール ルールを 有 効 にできます。また、IP を 偽 装 する 不 正 なトラフィックをブロックします。ファイアウォール ルール - ファイアウォール 保 護 を 定 義 します。 許 可 またはブロックするトラフィックを 定 義 した 一 連 のルールから 構 成 されます。ルールは、 広 範 囲 に 定 義 することも (すべての IP トラフィックなど)、 狭 い 範 囲 で 定 義 することもできます ( 特 定 のアプリケーションまたはサービスの 特 定 など)。また、ネットワーク、トランスポート、アプリケーション、スケジュールの 各 オプションを 設 定 できます。ルールを 機 能 、サービスまたはアプリケーションに 従 って 分 類 すると、 管 理 作 業 が 簡 単 になります。ルールと 同 様 に、ルール グループもネットワーク、トランスポート、アプリケーション、スケジュール、 場 所 の 各 オプションが 定 義 できます。ファイアウォール DNS ブロック - ブロックするドメイン 名 のパターンを 定 義 します。ワイルドカードも 使 用 できます。 適 用 すると、このポリシーはファイアウォール ルール リストの 先 頭 に 近 い 位 置 にルールを 動 的 に 追 加 し、 特 定 のドメインの IP アドレスの 解 決 を 阻 止 します。56McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要ファイアウォール ルールの 機 能ファイアウォール ルールでは、ネットワーク トラフィックの 処 理 方 法 を 決 定 します。 各 ルールには、トラフィックが 満 たす 必 要 がある 一 連 の 条 件 とアクション (トラフィックの 許 可 またはブロック) が 定 義 されています。Host Intrusion Prevention は、ルールの 条 件 と 一 致するトラフィックを 見 つけると、 関 連 付 けられたアクションを 実 行 します。Host Intrusion Prevention は、 優 先 順 位 によってルールを 適 用 し、ファイアウォール ルール リストの 最 上 位 にあるルールを 最 初 に 適 用 します。トラフィックがルールの 条 件 と 一 致 すると、Host Intrusion Prevention はトラフィックを 許 可 またはブロックします。リストにあるその 他 のルールは 適 用 しません。トラフィックが 最 初 のルールの 条 件 と 一 致 しない 場 合 、Host Intrusion Prevention はリストにある 次 のルールを 調 べます。このようにして、トラフィックに 一 致 するルールが 見 つかるまでファイアウォール ルール リストを 照 合 していきます。 一 致 するルールがない 場 合 、ファイアウォールは 自 動 的 にトラフィックをブロックします。 学 習 モードが 有 効 な 場 合 には、 実 行 するアクションをユーザに 確 認 します。 適 応 モードが 有 効 な 場 合 には、トラフィックの 許 可 ルールが 作 成 されます。 阻 止 したトラフィックが、リストにある 1 つ 以 上 のルールに 適 合 する 場 合 があります。この 場 合 、 優 先 順 位 により、Host Intrusion Prevention はリストで 最 初 に 一 致 したルールのみを 適 用 します。ベスト プラクティスファイアウォール ルールのポリシーを 作 成 またはカスタマイズする 場 合 、より 具 体 的 なルールをリストの 上 位 に 置 き、 一 般 的 なルールを 下 位 に 置 きます。こうすることにより、HostIntrusion Prevention は、トラフィックを 適 切 にフィルタリングします。たとえば、IP アドレス 10.10.10.1 を 除 くすべての HTTP 要 求 を 許 可 するには、 次 の 2 つのルールを 作 成 する 必 要 があります。• ブロック ルール - IP アドレス 10.10.10.1 からの HTTP トラフィックをブロックします。これは、 具 体 性 の 高 いルールです。• 許 可 ルール - HTTP サービスを 使 用 するすべてのトラフィックを 許 可 します。これは、一 般 性 の 高 いルールです。具 体 的 なブロック ルールは、 一 般 的 な 許 可 ルールよりもファイアウォール ルール リストの上 位 に 配 置 する 必 要 があります。これにより、ファイアウォールがアドレス 10.10.10.1 からの HTTP 要 求 を 阻 止 したときに、 一 致 するルールで 最 初 に 見 つけるのが、このトラフィックのファイアウォールの 通 過 をブロックするルールになります。一 般 的 な 許 可 ルールを 具 体 的 なブロック ルールより 上 位 に 置 くと、Host Intrusion Preventionでは、ブロック ルールを 見 つける 前 に、10.10.10.1 からの HTTP 要 求 が 許 可 ルールに 一 致してしまいます。この 場 合 、このアドレスからの HTTP 要 求 をブロックしたくても、トラフィックは 許 可 されます。ファイアウォール プロトコルファイアウォール 保 護 は、ネットワーク アーキテクチャの 複 数 の 層 で 動 作 することによってコンピュータを 保 護 します。 各 層 では、 異 なる 条 件 を 使 用 してネットワーク トラフィックを制 限 します。このネットワーク アーキテクチャは TCP/IP 上 に 構 築 されています。リンク 層リンク 層 プロトコルは MAC メソッドと 最 低 限 のエラー 検 出 機 能 を 定 義 しています。Ethernet LAN (802.3)、 無 線 Wi-Fi (802.11x)、 仮 想 LAN (VPN) がこの 層 になります。ファイアウォール ルールとグループは 無 線 、 有 線 、 仮 想 リンクを 識 別 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )57

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要ネットワーク 層ネットワーク 層 プロトコルは、ネットワーク 全 体 のアドレス 指 定 方 法 、ルーティング、ネットワーク 制 御 の 方 法 を 定 義 しています。IP 以 外 の 任 意 のプロトコルもサポートしますが、ネットワーク 層 またはトランスポート 層 のパラメータは 検 出 できません。 管 理 者 は、これらのネットワーク 層 プロトコルをブロックまたは 許 可 できます。IP 以 外 のプロトコルに 対 応 する 番 号 は、Internet Assigned NumbersAuthority (IANA) が 定 義 している Ethernet 番 号 に 従 って 設 定 されます。この 番 号 はhttp://www.iana.org/assignments/ethernet-numbers で 公 開 されています。Host IPS ファイアウォールは、Windows XP、Windows Vista、Windows Server 2008 およびWindows 7 で IPv4 と IPv6 を 完 全 にサポートしています。トランスポート 層トランスポート プロトコルでもネットワーク プロトコルと 同 じように IP を 使 用 できます。よく 使 用 されているのは TCP、UDP、ICMPv4、ICMPv6 の 4 つです。TCPTCP は、コネクション 指 向 の 信 頼 性 の 高 いトランスポート プロトコルです。ネットワークパケットに 含 まれているデータは 確 実 に 配 信 されます。また、データの 転 送 率 も 制 御 します。これにより、オーバーヘッドが 発 生 し、ネットワーク 条 件 が 最 適 でなくなると、TCP 操 作 のタイミングが 予 測 不 能 になります。トランスポート 層 で 最 も 使 用 されているアプリケーション プロトコルが TCP です。HTTP、FTP、SMTP、RDP、SSH、POP および IMAP は TCP を 使 用 しています。TCP では、「ポート」という 概 念 を 使 用 してアプリケーション 層 プロトコルを 多 重 化 しています。TCP パケットには 送 信 元 と 送 信 先 のポート 番 号 が 記 述 されています ( 番 号 は 0 から65535)。 通 常 、TCP 接 続 のサーバ 側 が 固 定 ポートで 接 続 を 待 機 します。ポート 0 から 1023 までは「 既 知 のポート」として 予 約 されています。この 範 囲 の 番 号 は、通 常 IANA (www.iana.org/assignments/protocol-numbers) の 定 義 に 従 ってプロトコルに 割り 当 てられています。 大 半 のオペレーティング システムは、これらのポートで 待 機 する 特 別な 権 限 を 持 つプロセスを 必 要 とします。ファイアウォール ルールは、ネットワーク 上 で 発 生 するアクティビティを 制 限 するため、 特定 のポートをブロックし、 他 のポートを 許 可 するように 構 成 されています。UDPUDP は、コネクションレスのトランスポート プロトコルです。 信 頼 性 やパケットの 順 序 は 保証 されません。フロー 制 御 機 能 もありません。 特 定 のクラスのトラフィックには 最 適 なプロトコルです。UDP は、パフォーマンス 重 視 のアプリケーションやリアルタイムのマルチメディア アプリケーションでよく 利 用 されています。 前 者 のアプリケーションでは、 信 頼 性 とパケット 順 の機 能 をアプリケーション 層 の TCP で 実 装 している 場 合 があります。 後 者 のアプリケーションでは、パケットがドロップしてもデータ ストリームで 瞬 間 的 に 問 題 が 起 きるだけで、ストリームを 停 止 して 再 転 送 を 待 つほどの 問 題 ではありません。UDP は、IP 電 話 やビデオ 会 議 システム、マルチプレーヤのビデオ ゲームなどでよく 利 用 されています。UDP は、TCP と 同 じ 方 法 で 多 重 化 を 行 います。 各 データグラムには 送 信 元 と 送 信 先 のポート番 号 が 記 述 されています ( 番 号 は 0 から 65535 まで)。ICMPICMP は、IP ホスト 間 の 帯 域 外 通 信 チャネルとして 使 用 されています。これは、トラブルシューティングに 有 効 です。エラー 報 告 など、IP ネットワークが 正 常 に 機 能 している 必 要 があります。58McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要IPv4 と IPv6 用 の ICMP プロトコルがありますが、 関 係 はありません。ICMPv4 は 単 に ICMPと 言 われます。ICMPv6 は、IPv6 ネットワークでは 重 要 です。 近 隣 探 索 などの 重 要 なタスクで 使 用 されています (IPv4 ネットワークでは ARP が 処 理 しています)。ネットワークで IPv6 がサポートされている 場 合 、ICMPv6 トラフィックをブロックすると、ユーザの 操 作 に 大 きな 支 障 をきたすことになります。ICMP の 両 方 のバージョンでは、ポート 番 号 ではなくメッセージ タイプを 定 義 しています。Echo Request と Echo Reply は ping で 使 用 されています。Destination Unreachable メッセージはルーティング 障 害 を 表 します。UDP と TCP も 同 じ 目 的 で 使 用 できますが、ICMP はTraceroute 機 能 を 実 装 しています。他 のトランスポート プロトコルIP は、 他 の 多 くのトランスポート プロトコルをサポートしていますが、これらのプロトコルの 大 半 はほとんど 使 用 されていません。IANA のプロトコル リストでは 十 分 に 網 羅 されていません。ルールは、どの IP トラフィック プロトコル 経 由 でも 送 受 信 されるトラフィックを 許 可 またはブロックできます。ファイアウォールでは、これらのプロトコルが 採 用 している 多 重 化 に 対 応 していません。一 部 のプロトコルは、IP ネットワークの 上 にネットワークを 構 築 しています (ネットワークトンネル)。GRE、AH、ESP などは、IP 暗 号 化 と VPN に 使 用 されています。IP プロトコルの 番 号 については、www.iana.org/assignments/protocol-numbers を 参 照 してください。サポートされていない 一 般 的 なプロトコルHost IPS ファイアウォールは、いくつかのネットワーク プロトコルをサポートしていません。このようなプロトコルのトラフィック ( 通 常 は 解 析 不 能 な EtherType) は、ファイアウォール オプション ポリシーの [サポートされていないトラフィックのプロトコルを 許 可する] オプションが 選 択 されているかどうかによって、 常 にブロックまたは 許 可 されます。ファイアウォール ルール グループの 機 能ファイアウォール ルールをグループ 化 すると、 管 理 が 容 易 になります。ルール グループは、グループ 内 のルールを Host Intrusion Prevention が 処 理 する 方 法 には 影 響 せず、 上 位 から下 位 に 向 けて 処 理 されます。グループは、ルールに 関 連 する 項 目 の 多 く (ネットワーク オプション、トランスポート オプション、アプリケーション、スケジュールなど) に 対 応 しています。さらに、グループには 場 所 の 設 定 があります。これにより、 場 所 別 にグループを 設 定 し、 接 続 の 隔 離 を 行 うことができます。グループの 設 定 は、グループ 内 のルールの 設 定 よりも 前 に 処 理 されます。これらの 設 定 に 矛 盾 がある 場 合 、グループの 設 定 が 優 先 します。注 意 : [ 場 所 ] タブで 接 続 の 隔 離 が 有 効 になっていると、グループにトランスポート オプションとアプリケーションを 関 連 付 けられません。場 所 別 グループの 作 成Host Intrusion Prevention では、 場 所 別 のルールを 含 むグループを 作 成 できます。グループの [ 場 所 ] タブと [ネットワーク オプション] タブを 使 用 すると、ネットワーク アダプタ 別 のグループを 作 成 し、 複 数 のネットワーク インターフェースを 搭 載 したコンピュータでアダプタ 固 有 のルールを 適 用 できます。 場 所 のステータスを 有 効 にし、 場 所 の 名 前 を 指 定 すると、 各 ネットワーク アダプタで 以 下 の 許 可 された 接 続 パラメータを 使 用 できます。[ 場 所 ] タブ:• 接 続 別 の DNS サフィックスMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )59

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要• ゲートウェイ IP• DHCP IP• URL 解 決 を 照 会 する DNS サーバ• 使 用 する WINS サーバ• レジストリ キー[ネットワーク オプション] タブ:• ローカル IP アドレス• メディアの 種 類2 つの 場 所 別 グループが 1 つの 接 続 に 適 用 される 場 合 、Host Intrusion Prevention では 通常 の 優 先 順 位 を 使 用 し、ルール リストで 適 用 可 能 な 最 初 のグループを 処 理 します。 最 初 のグループに 一 致 するルールがない 場 合 、ルール 処 理 を 続 行 し、 次 のグループのルールと 照 合 します。Host Intrusion Prevention は、アクティブな 接 続 に 対 して 場 所 別 グループのパラメータを照 合 し、グループ 内 のルールを 適 用 します。ルールを 小 さなルール セットのように 処 理 して、 通 常 の 優 先 順 位 を 当 てはめます。 阻 止 したトラフィックと 一 致 しないルールがある 場 合 、ファイアウォールは 無 視 します。次 の 事 項 に 注 意 します。• [ 場 所 のステータス] を 選 択 した 場 合 には、 場 所 の 名 前 が 必 要 になります。• [ローカル ネットワーク] を 選 択 した 場 合 には、アダプタの IP アドレスがリスト 項 目 のいずれかと 一 致 している 必 要 があります。• [DNS サフィックス] を 選 択 した 場 合 、アダプタの DNS サフィックスがリスト 項 目 のいずれかと 一 致 している 必 要 があります。• [デフォルト ゲートウェイ] を 選 択 した 場 合 には、デフォルト アダプタのゲートウェイIP がリスト 項 目 の 少 なくとも 1 つと 一 致 している 必 要 があります。• [DHCP サーバ] を 選 択 した 場 合 、アダプタの DHCP サーバ IP がリスト 項 目 の 少 なくとも1 つと 一 致 している 必 要 があります。• [DNS サーバのリスト] を 選 択 している 場 合 、アダプタの DNS サーバの IP アドレスがリスト 項 目 のいずれかと 一 致 している 必 要 があります。• [プライマリ WINS サーバ] を 選 択 している 場 合 、アダプタのプライマリ WINS サーバのIP アドレスがリスト 項 目 の 少 なくとも 1 つと 一 致 している 必 要 があります。• [セカンダリ WINS サーバ] を 選 択 している 場 合 、アダプタのセカンダリ WINS サーバのIP アドレスがリスト 項 目 の 少 なくとも 1 つと 一 致 している 必 要 があります。ファイアウォール ルール グループの 接 続 隔 離接 続 の 隔 離 オプションを 使 用 すると、グループが 特 定 のネットワークにアクセスしたときに不 要 なトラフィックの 受 信 を 防 ぐことができます。これは、コンピュータでアクティブなもう 一 つのネットワーク インターフェースを 介 して 実 行 します。たとえば、WiFi ホットスポットに 接 続 する 無 線 アダプタや、LAN 接 続 の 有 線 アダプタを 使 用 します。グループの 場 所 設 定 に 対 して [この 接 続 を 隔 離 する] オプションが 選 択 され、グループの 条件 に 一 致 する NIC がアクティブになっている 場 合 、 処 理 される 種 類 またはトラフィックは、ファイアウォール ルール リストでグループより 上 のルールに 一 致 するトラフィックとグルー60McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要プの 条 件 に 一 致 するトラフィックのみです。それ 以 外 のすべてのトラフィックは、ブロックされます。注 意 : 接 続 の 隔 離 が 有 効 になっているグループに、トランスポート オプションまたはアプリケーションは 関 連 付 けられません。図 2: ネットワーク 接 続 の 隔 離接 続 隔 離 オプションの 例 として、 企 業 環 境 とホテルの 2 つの 設 定 を 考 えてみましょう。アクティブなファイアウォール ルール リストには、ルールおよびグループが 次 の 順 序 で 含 まれています。1 基 本 接 続 用 ルール2 VPN 接 続 ルール3 企 業 LAN 接 続 ルールが 設 定 されたグループ4 VPN 接 続 ルールが 設 定 されたグループ企 業 ネットワークでの 接 続 の 隔 離接 続 ルールは、 企 業 LAN 接 続 ルールが 設 定 されたグループが 検 出 されるまで 処 理 されます。このグループには 次 の 設 定 が 含 まれています。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )61

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要• メディアの 種 類 = 有 線• 接 続 別 DNS サフィックス = mycompany.com• デフォルト ゲートウェイ アドレス• この 接 続 を 隔 離 する = はいコンピュータには LAN と 無 線 LAN ネットワークの 両 方 のアダプタがあり、 有 線 接 続 を 使 用して 企 業 ネットワークに 接 続 します。 無 線 LAN インターフェースはオフィスの 外 にあるホットスポットに 接 続 します。 基 本 アクセス 用 のルールがファイアウォール ルール リストの 最上 位 にあるため、コンピュータは 両 方 のネットワークに 接 続 します。 有 線 LAN 接 続 がアクティブであり、 企 業 LAN のグループの 条 件 を 満 たしています。ファイアウォールは LAN を通 じてトラフィックを 処 理 しますが、 接 続 の 隔 離 が 有 効 であるため、LAN を 通 過 しないその他 すべてのトラフィックはブロックされます。ホテルでの 接 続 の 隔 離接 続 ルールは、VPN 接 続 ルールが 設 定 されたグループが 検 出 されるまで 処 理 されます。このグループには 次 の 設 定 が 含 まれています。• 接 続 の 種 類 = 仮 想• DNS サフィックス = vpn.mycompany.com• IP アドレス = VPN コンセントレータに 固 有 な 範 囲 のアドレス• この 接 続 を 隔 離 する = はい一 般 的 な 接 続 ルールでは、ホテルで 有 効 期 限 のあるアカウントを 設 定 して、インターネットアクセスが 可 能 になります。VPN 接 続 ルールでは、 接 続 および VPN トンネルの 使 用 が 許 可 されます。トンネルが 確 立 された 後 、VPN クライアントは VPN グループの 条 件 に 一 致 する 仮 想アダプタを 作 成 します。ファイアウォールが 許 可 したトラフィックだけが、VPN トンネル 内部 に 入 り、 基 本 トラフィックは 実 際 のアダプタ 上 を 通 過 します。ネットワーク 上 でホテルの他 の 客 がコンピュータにアクセスしようとすると、 有 線 無 線 に 関 係 なくブロックされます。Host IPS カタログの 機 能Host IPS カタログを 使 用 すると、 既 存 のルール、グループ、ネットワーク アドレス、 実 行ファイル、グループの 場 所 データを 参 照 しながら、ファイアウォール ルールとグループを 簡単 に 作 成 できます。また、IPS 保 護 に 関 連 するアプリケーションの 実 行 ファイルも 参 照 できます。カタログ 項 目 を 参 照 するときに、 項 目 とファイアウォール ルールまたはグループ 間 に 依 存 関係 を 作 成 します。カタログ 内 の 項 目 を 変 更 すると、 使 用 される 場 所 も 変 更 されます。カタログ 項 目 とルールまたはグループのリンクを 解 除 して、 依 存 関 係 を 削 除 することもできます。Host IPS カタログは、ePolicy Orchestrator の [システム] の 下 に 表 示 されます。このカタログは 6 ページから 構 成 され、すでに 配 置 されているファイアウォール ルールとファイアウォール グループの 項 目 が 表 示 されます。 項 目 はカタログ 内 に 個 別 に 作 成 できます。 新 しいファイアウォールとルール グループに 作 成 された 項 目 と 関 連 付 けることも、ファイアウォール ルール ポリシーからエクスポートした XML ファイルをインポートすることもできます。カタログ ページには 次 の 情 報 が 表 示 されます。• グループ - ファイアウォール グループとプロパティが 表 示 されます。• ルール - ファイアウォール ルールとプロパティが 表 示 されます。• アプリケーション - ファイアウォール グループまたはルールで 参 照 可 能 なアプリケーションが 表 示 されます。62McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要• 実 行 ファイル - ファイアウォール グループまたはルールで 参 照 可 能 なアプリケーションの 実 行 ファイルが 表 示 されます。IPS 関 連 アプリケーションの 実 行 ファイルも 表 示 されます。• ネットワーク - ファイアウォール グループまたはルールで 参 照 可 能 な IP アドレスが表 示 されます。• 場 所 - ファイアウォール グループの 場 所 固 有 の 情 報 が 表 示 されます。表 6: Host IPS カタログからの 項 目 の 作 成機 能ポリシーポリシー 項 目カタログ 項 目依 存 関 係ファイアウォールファイアウォールルールファイアウォール ルールルールありファイアウォールファイアウォールルールファイアウォール グループグループありファイアウォールファイアウォールルールファイアウォール グループの場 所場 所ありファイアウォールファイアウォールルールファイアウォール ルール/グループネットワークありファイアウォールファイアウォールルールファイアウォール ルール/グループアプリケーションありファイアウォールファイアウォールルールファイアウォール ルール/グループ アプリケーション実 行 ファイルありIPSIPS ルールアプリケーション 保 護 ルール実 行 ファイルなし全 般信 頼 できるアプリケーション信 頼 できるアプリケーション実 行 ファイルなしカタログ フィルタ各 カタログ ページには、ページに 表 示 されたリスト 内 の 項 目 を 検 索 するフィルタがあります。フィルタを 表 示 または 隠 すには、[フィルタ オプションを 表 示 ] または [フィルタ オプションを 隠 す] をクリックします。 条 件 を 有 効 にしてフィルタリングを 行 うには、[フィルタの 設 定 ] をクリックします。フィルタをリセットするには、[クリア] をクリックします。カタログからのコピーファイアウォール ルール ビルダまたはファイアウォール グループ ビルダを 使 用 するときに、[カタログから 追 加 ] ボタンをクリックすると、カタログから 必 要 な 項 目 を 追 加 できます。この 操 作 を 行 うと、 項 目 間 で 依 存 関 係 が 生 成 されます。この 関 係 は 必 要 に 応 じて 解 除 できます。カタログに 追 加カタログに 追 加 するには、 以 下 のいずれかの 操 作 を 行 います。• カタログ ページで [ 新 規 ] をクリックして 情 報 を 入 力 し、 項 目 を 保 存 します。• ファイアウォール ルール ビルダまたはファイアウォール グループ ビルダでルールまたはグループを 作 成 あるいは 編 集 している 場 合 には、 項 目 の 横 にある [カタログに 追 加 ] をクリックします。• エクスポートされた XML 形 式 の Host iPS カタログ データを 使 用 するには、[インポート] をクリックします。注 意 : XML 形 式 でエクスポートされたポリシー カタログは、XML 形 式 の Host IPS カタログと 互 換 性 はありません。ファイアウォール ルール ポリシーをカタログ ポリシーかMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )63

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要らエクスポートし、そのデータを Host IPS カタログにはインポートできません。ファイアウォール ポリシー データを Host IPS カタログで 使 用 するには、[カタログに 追 加 ]リンクを 使 用 します。ファイアウォールでのステートフルなパケット フィルタリングと 検 査Host Intrusion Prevention のファイアウォールは、ステートフル パケット フィルタとステートフル パケット 検 査 の 両 方 を 備 えています。ステートフル パケット フィルタは、OSI ネットワーク スタックのトランスポート 層 ( 第 4層 ) 以 下 の 層 で TCP/UDP/ICMP プロトコル 情 報 をステートフルに 追 跡 します。 各 パケットが確 認 され、 検 査 されたパケットが 既 存 のファイアウォール 許 可 ルールと 一 致 した 場 合 、そのパケットは 許 可 され、 状 態 テーブルにエントリが 作 成 されます。 状 態 テーブルは、 以 前 に 静的 なルール セットと 一 致 した 接 続 を 動 的 に 追 跡 し、TCP/UDP/ICMP プロトコルの 現 在 の 接 続状 態 を 反 映 します。 検 査 されたパケットが 状 態 テーブルの 既 存 のエントリと 一 致 した 場 合 、そのパケットはそれ 以 上 の 検 査 を 行 うことなく 許 可 されます。 接 続 が 閉 じるかタイムアウトになると、 状 態 テーブルからそのエントリが 削 除 されます。ステートフル パケット 検 査 とは、ネットワーク スタックのアプリケーション 層 ( 第 7 層 )でコマンドにステートフル パケット フィルタを 適 用 して 追 跡 する 処 理 です。この 組 み 合 わせにより、コンピュータの 接 続 状 態 を 強 力 に 定 義 します。アプリケーション レベルのコマンドにアクセスすることにより、エラーのない 検 査 を 行 い、FTP プロトコルを 保 護 できます。ファイアウォール 状 態 テーブルステートフルなファイアウォール 機 能 には、 許 可 ルールによって 作 成 されたアクティブな 接続 に 関 する 情 報 を 動 的 に 保 存 する 状 態 テーブルがあります。このテーブル 内 の 各 エントリでは、 次 の 情 報 に 基 づいて 接 続 を 定 義 します。• プロトコル - サービスが 別 のサービスと 通 信 するための 定 義 済 みの 方 式 で、TCP、UDP、ICMP プロトコルなどがあります。• ローカルおよびリモート コンピュータの IP アドレス - 各 コンピュータには 一 意 の IPアドレスが 割 り 当 てられています。IPv4 の 現 在 の IP アドレスの 標 準 では 32 ビット 長までのアドレスを 使 用 できるのに 対 し、IPv6 の 新 しい 標 準 では 128 ビット 長 までのアドレスを 使 用 できます。IPv6 は、Windows Vista や Linux のディストリビューションなど、 一 部 のオペレーティング システムですでにサポートされています。Host IntrusionPrevention は 両 方 の 標 準 に 対 応 しています。• ローカルおよびリモート コンピュータのポート 番 号 - コンピュータは 指 定 された 番 号のポートを 使 用 してサービスの 送 受 信 を 行 います。たとえば、 通 常 HTTP サービスはポート 80、FTP サービスはポート 21 を 使 用 します。ポート 番 号 の 範 囲 は 0 ~ 65535 です。• プロセス ID (PID) - 接 続 のトラフィックに 関 連 付 けられたプロセスの 一 意 の 識 別 子 。• タイムスタンプ - 接 続 に 関 連 付 けられたパケットを 最 後 に 送 受 信 した 時 刻 。• タイムアウト - ファイアウォール オプション ポリシーで 設 定 された 制 限 時 間 ( 秒 )。この 時 間 を 過 ぎても 接 続 と 一 致 するパケットを 受 信 しなかった 場 合 、そのエントリはテーブルから 削 除 されます。TCP 接 続 のタイムアウトは、 接 続 が 確 立 されていない 場 合 のみ 適用 されます。• 方 向 - エントリを 呼 び 出 したトラフィックの 方 向 ( 受 信 または 送 信 )。 接 続 の 確 立 後 、エントリが 状 態 テーブル 内 の 接 続 パラメータと 一 致 すると、 単 方 向 のルールであっても 双方 向 トラフィックが 許 可 されます。状 態 テーブルについては、 次 の 点 に 注 意 してください。64McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要• ファイアウォール ルール セットが 変 更 されると、 新 しいルール セットによってすべてのアクティブな 接 続 がチェックされます。 一 致 するルールがない 場 合 、 接 続 エントリが 状態 テーブルから 破 棄 されます。• アダプタが 新 しい IP アドレスを 取 得 すると、ファイアウォールは 新 しい IP 設 定 を 認 識し、 状 態 テーブル 内 の 無 効 なローカル IP アドレスのエントリをすべて 破 棄 します。• プロセスが 終 了 すると、そのプロセスに 関 連 付 けられた 状 態 テーブル 内 のすべてのエントリが 削 除 されます。ステートフル フィルタの 機 能ステートフル フィルタでは、 設 定 可 能 なファイアウォール ルール セットと 動 的 なファイアウォール ルール セットまたは 状 態 テーブルの、2 つのルール セットを 使 用 してパケットを処 理 します。設 定 可 能 なルールには 次 の 2 つのアクションが 関 連 付 けられます。• 許 可 - パケットが 許 可 され、 状 態 テーブルにエントリが 作 成 されます。• ブロック - パケットがブロックされ、 状 態 テーブルにエントリが 作 成 されません。状 態 テーブル エントリはネットワーク 処 理 に 応 じて 作 成 され、ネットワーク スタックの 状態 が 反 映 されます。 状 態 テーブル 内 の 各 ルールには 1 つのアクション ( 許 可 ) しかないので、 状 態 テーブル 内 のルールと 一 致 するパケットはすべて 自 動 的 に 許 可 されます。フィルタ プロセスには 以 下 の 手 順 が 含 まれます。1 ファイアウォールが、 状 態 テーブル 内 のエントリと 受 信 パケットを 比 較 します。パケットがテーブル 内 のエントリのいずれかと 一 致 した 場 合 、パケットはただちに 許 可 されます。 一 致 しない 場 合 、 設 定 可 能 なファイアウォール ルール リストが 確 認 されます。注 意 : プロトコル、ローカル アドレス、ローカル ポート、リモート アドレスおよびリモート ポートが 一 致 する 場 合 、パケットが 状 態 テーブル エントリと 一 致 すると 見 なされます。2 パケットが 許 可 ルールと 一 致 する 場 合 、そのパケットは 許 可 され、 状 態 テーブルにエントリが 作 成 されます。3 パケットがブロック ルールと 一 致 する 場 合 、そのパケットはブロックされます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )65

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要4 パケットが 設 定 可 能 なルールのいずれとも 一 致 しない 場 合 、そのパケットはブロックされます。図 3: ステートフル フィルタ プロセスステートフル パケット 検 査 の 機 能ステートフル パケット 検 査 では、ステートフル フィルタをアプリケーション レベルのコマンドへのアクセスと 組 み 合 わせ、FTP などのプロトコルを 保 護 します。FTP では、コマンド 用 の 制 御 と 情 報 用 のデータの 2 つの 接 続 を 使 用 します。クライアントがFTP サーバに 接 続 すると 制 御 チャネルが 確 立 され、FTP の 送 信 先 ポート 21 に 到 達 すると、状 態 テーブルにエントリが 作 成 されます。[ファイアウォール オプション] ポリシーで FTP検 査 のオプションが 設 定 されている 場 合 、ファイアウォールがポート 21 で 開 いている 接 続を 検 出 すると、FTP 制 御 チャネルを 介 して 受 信 したパケットでステートフル パケット 検 査 が実 行 されます。制 御 チャネルが 開 いている 場 合 、クライアントは FTP サーバと 通 信 しています。ファイアウォールはパケットの PORT コマンドを 解 析 し、 状 態 テーブル 内 に 2 番 目 のエントリを 作 成してデータ 接 続 を 許 可 します。FTP サーバがアクティブ モードの 場 合 はサーバがデータ 接 続 を 開 き、パッシブ モードの 場合 はクライアントが 接 続 を 開 始 します。FTP サーバが 最 初 のデータ 転 送 コマンド (LIST) を受 信 すると、クライアントに 対 するデータ 接 続 を 開 いてデータを 転 送 します。 転 送 が 完 了 すると、データ チャネルが 閉 じます。制 御 接 続 と 1 つ 以 上 のデータ 接 続 の 組 み 合 わせをセッションと 呼 びます。FTP の 動 的 なルールをセッション ルールと 呼 ぶ 場 合 もあります。 制 御 チャネル エントリが 状 態 テーブルから66McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要削 除 されるまで、セッションは 確 立 されたままです。セッションの 制 御 チャネルが 削 除 された 場 合 、テーブルの 定 期 的 なクリーンアップ 時 にデータ 接 続 もすべて 削 除 されます。ステートフルなプロトコル 追 跡ここでは、ステートフル ファイアウォールが 監 視 するプロトコル 接 続 の 種 類 と 処 理 方 法 について 説 明 します。プロトコルUDPICMPv4/v6処 理 方 法静 的 なルールと 一 致 することが 検 出 され、ルールのアクションが 許 可 の 場 合 、UDP 接 続 が 状 態 テーブルに 追 加 されます。ファイアウォールでは 認 識 されないアプリケーション レベルのプロトコルを 転 送 する 汎 用 UDP 接 続 は、 接 続 のアイドル 時 間 が 指 定 されたタイムアウト 時 間 を 超 えない 限 り状 態 テーブルに 残 ります。メッセージの 種 類 が ICMP Echo Request と ICMP Echo Reply の 場 合 のみ 追 跡 されます。注 意 : 信 頼 性 が 高 く 接 続 指 向 の TCP プロトコルとは 対 照 的 に、UDP と ICMPv4/v6 は 信 頼 性 の 低い 非 接 続 指 向 のプロトコルです。これらのプロトコルを 保 護 するため、ファイアウォールでは 汎用 UDP および ICMP 接 続 を 仮 想 接 続 と 見 なし、 接 続 のアイドル 時 間 がその 接 続 で 指 定 されたタイムアウト 時 間 を 超 えない 限 り 保 持 します。 仮 想 接 続 のタイムアウトは、[ファイアウォール オプション] ポリシーで 設 定 されます。IPv6 を 使 用 する 場 合 、ステートフル ファイアウォールは Windows Vista 以 降 のプラットフォームでのみサポートされます。TCPDNSDHCPTCP プロトコルは 3 方 向 ハンドシェイクで 動 作 します。クライアント コンピュータが 新 しい 接続 を 開 始 すると、 新 しい 接 続 であることを 示 す SYN ビットが 設 定 されたパケットを 送 信 先 に 送 信します。 送 信 先 は、SYN-ACK ビットが 設 定 されたパケットをクライアントに 送 信 することによって 応 答 します。 次 に、クライアントが ACK ビットが 設 定 されたパケットを 送 信 することによって応 答 し、ステートフル 接 続 が 確 立 されます。 送 信 パケットはすべて 許 可 されますが、 受 信 パケットは 確 立 された 接 続 に 含 まれるもののみ 許 可 されます。ただし、ファイアウォールが 最 初 に TCPプロトコルを 照 会 し、 静 的 なルールと 一 致 する 既 存 のすべての 接 続 を 追 加 する 場 合 は 例 外 です。静 的 なルールと 一 致 しない 既 存 の 接 続 はブロックされます。[ファイアウォール オプション] ポリシーで 設 定 された TCP 接 続 のタイムアウトは、 接 続 が 確 立 されていない 場 合 のみ 適 用 されます。TCP 接 続 の 2 番 目 のタイムアウトまたは 強 制 タイムアウトは、 確 立 された TCP 接 続 にのみ適 用 されます。このタイムアウトはレジストリ 設 定 で 制 御 され、デフォルト 値 は 1 時 間 です。4分 ごとにファイアウォールが TCP スタックを 照 会 し、TCP によって 報 告 されない 接 続 は 破 棄 されます。照 会 元 のローカル ポートに 対 してのみ DNS 応 答 を 許 可 し、UDP 仮 想 接 続 タイムアウト 時 間 内 に照 会 されたリモート IP アドレスからのみ DNS 応 答 を 送 信 するように、 照 会 と 応 答 を 照 合 します。 以 下 の 場 合 に 受 信 DNS 応 答 が 許 可 されます。• 状 態 テーブルの 接 続 が 期 限 切 れでない 場 合• 応 答 が 同 じリモート IP アドレスおよび 要 求 送 信 元 のポートから 送 信 された 場 合正 当 な 照 会 についてのみパケットが 返 されるように、 照 会 と 応 答 を 照 合 します。これにより、 次の 場 合 に 受 信 DHCP 応 答 が 許 可 されます。• 状 態 テーブルの 接 続 が 期 限 切 れでない 場 合• 応 答 トランザクション ID が 要 求 のいずれかと 一 致 する 場 合FTP • ファイアウォールは、ポート 21 で 開 かれた TCP 接 続 でステートフル パケット 検 査 を 実 行します。 検 査 は、このポートで 開 かれた 制 御 チャネルの 最 初 の 接 続 でのみ 行 われます。• FTP 検 査 は、 新 しい 情 報 を 転 送 するパケットでのみ 実 行 されます。 再 転 送 されたパケットは無 視 されます。• 方 向 (クライアント/サーバ) とモード (アクティブ/パッシブ) に 応 じて 動 的 なルールが 作成 されます。• クライアント FTP アクティブ モード: 受 信 ポート コマンドの 解 析 後 、ポート コマンドが RFC 959 に 準 拠 している 場 合 、ファイアウォールは 動 的 な 受 信 ルールを 作 成 します。サーバがデータ 接 続 を 開 始 するか、ルールが 期 限 切 れになると、このルールは 削 除 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )67

ファイアウォール ポリシーの 設 定ファイアウォール ポリシーの 概 要プロトコル処 理 方 法• サーバ FTP アクティブ モード: 受 信 ポート コマンドの 解 析 後 、ファイアウォールは 動 的な 送 信 ルールを 作 成 します。• クライアント FTP パッシブ モード:FTP クライアントからの PASV コマンドを 以 前 に 確認 しており、その PASV コマンドが RFC 959 に 準 拠 している 場 合 、FTP サーバによって送 信 された PASV コマンド 応 答 を 読 み 込 むと、ファイアウォールは 動 的 な 送 信 ルールを 作成 します。クライアントがデータ 接 続 を 開 始 するか、ルールが 期 限 切 れになると、このルールは 削 除 されます。• サーバ FTP パッシブ モード:ファイアウォールは 動 的 な 受 信 ルールを 作 成 します。学 習 モードと 適 応 モードがファイアウォールに 与 える 影 響ファイアウォールを 有 効 にすると、Host Intrusion Prevention は 継 続 的 にコンピュータが送 受 信 するネットワーク トラフィックを 監 視 します。ファイアウォール ルールのポリシーに 基 づいて、トラフィックを 許 可 またはブロックします。トラフィックが 既 存 のルールと 一致 しない 場 合 、ファイアウォールが 学 習 モードまたは 適 応 モードで 動 作 していなければ、 自動 的 にブロックされます。学 習 モードでは、Host Intrusion Prevention が 不 明 なネットワーク トラフィックを 傍 受 すると、 学 習 モード アラートが 表 示 されます。アラートは、 既 存 のルールと 一 致 しないトラフィックを 許 可 またはブロックするように 促 すメッセージを 表 示 し、 一 致 しないトラフィックには、 自 動 的 に 該 当 する 動 的 ルールを 作 成 します。 学 習 モードは、 受 信 のみ、 送 信 のみ、または 両 方 に 対 して 有 効 にできます。適 応 モードでは、Host Intrusion Prevention は 自 動 的 に 許 可 ルールを 作 成 して、 既 存 のブロック ルールに 一 致 しないすべてのトラフィックを 許 可 し、 一 致 しないトラフィックに 対 して 自 動 的 に 動 的 許 可 ルールを 作 成 します。ファイアウォールで 適 用 モードを 使 用 する 方 法 については、「 保 護 の 管 理 」の「FAQ - 適 応 モード」を 参 照 してください。セキュリティ 上 の 理 由 で、 学 習 モードまたは 適 応 モードが 適 用 されている 場 合 、 受 信 するICMP トラフィックに 対 して 明 示 的 に 許 可 ルールを 作 成 している 場 合 を 除 き、 受 信 する pingはブロックされます。また、ホスト 上 で 開 いていないポートへの 受 信 トラフィックは、トラフィックに 対 して 明 示 的 に 許 可 ルールを 作 成 している 場 合 を 除 き、ブロックされます。たとえば、ホストが telnet サービスを 開 始 する 前 は、ポート 23 (telnet) への 受 信 TCP トラフィックは、このトラフィックをブロックする 明 示 的 なルールが 存 在 しなくてもブロックされます。 明 示 的 な 許 可 ルールは、 希 望 する 任 意 のトラフィックに 作 成 できます。Host Intrusion Prevention は、 学 習 モードまたは 適 応 モードにより、クライアントで 作 成したすべてのルールを 表 示 し、これらのルールを 保 存 して、 管 理 ルールに 移 行 できるようにします。ステートフル フィルタ 機 能ステートフル ファイアウォールで 適 応 モードまたは 学 習 モードが 適 用 されている 場 合 、フィルタ 処 理 は 受 信 パケットを 処 理 する 新 しいルールを 作 成 します。これは、フィルタリング プロセスです。1 ファイアウォールが 受 信 パケットを 状 態 テーブル 内 のエントリと 比 較 し、 一 致 が 検 出 されない 場 合 、 静 的 ルール リストを 調 べます。ここでも 一 致 が 検 出 されない 場 合 、 次 に 進みます。2 状 態 テーブルにエントリは 作 成 されませんが、TCP パケットの 場 合 、 保 留 リストに 入 れられます。それ 以 外 の 場 合 、パケットは 破 棄 されます。3 新 しいルールが 許 可 された 場 合 、 単 方 向 の 静 的 許 可 ルールが 作 成 されます。TCP パケットの 場 合 は、 状 態 テーブルにエントリが 作 成 されます。4 新 しいルールが 許 可 されない 場 合 、そのパケットは 破 棄 されます。68McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 有 効 化ファイアウォール クライアント ルール適 応 モードあるいは 学 習 モードにあるクライアントによってファイアウォール クライアントルールを 作 成 し、ブロックされた 動 作 を 許 可 することができます。さらに、クライアント コンピュータでルールを 手 動 で 作 成 することもできます。クライアント ルールを 追 跡 して、フィルタされたビューまたは 集 約 ビューに 表 示 できます。これらのクライアント ルールを 使用 して 新 しいポリシーを 作 成 するか、または 既 存 ポリシーに 追 加 します。ルールのフィルタと 集 約フィルタを 適 用 すると、フィルタ 条 件 で 定 義 されたすべての 変 数 を 満 たすルールのリストが生 成 されます。 生 成 されるリストは、すべての 条 件 を 含 むルールのリストです。ルールを 集約 すると、[ 集 約 する 列 を 選 択 する] タブで 選 択 した 各 変 数 に 関 連 する 値 ごとにグループ 化 された、ルールのリストが 生 成 されます。 生 成 されるリストは、 選 択 した 変 数 に 関 連 する 値 ごとにグループ 化 され、 並 べ 替 えられたルールのリストです。ファイアウォール 保 護 の 有 効 化ファイアウォール オプション ポリシーでは、ファイアウォール 保 護 を 有 効 にし、TrustedSource とステートフル ファイアウォールの 設 定 を 行 うことができます。全 般 設 定使 用 できる 全 般 オプションは 次 のとおりです。• 有 効 :ファイアウォールを 選 択 してアクティブにしてから、 保 護 の 種 類 を 選 択 します。• 通 常 (デフォルト) - 配 備 を 調 整 しない 場 合 に 選 択 します。• 適 応 モード - ルールを 自 動 的 に 作 成 してトラフィックを 許 可 します。 配 備 を 調 整 する場 合 に 一 時 的 に 使 用 してください。• 学 習 モード - ユーザの 入 力 後 にルールを 作 成 し、トラフィックを 許 可 します。 受 信 、送 信 あるいは 両 方 向 のトラフィックを 許 可 できます。 配 備 を 調 整 する 場 合 に 一 時 的 に 使用 してください。• サポートされていないトラフィックのプロトコルを 許 可 する - サポートされていないプロトコルを 使 用 するトラフィックをすべて 許 可 します。このオプションを 無 効 にすると、サポートされていないプロトコルを 使 用 するトラフィックはすべてブロックされます。• ブリッジド トラフィックを 許 可 - ローカルの MAC アドレスがローカル システムの MACアドレスに 一 致 していない 場 合 でも、ファイアウォールがサポートする VM の MAC アドレスであればトラフィックを 許 可 します。このオプションは、 仮 想 マシンのブリッジド 環境 のトラフィックを 許 可 する 場 合 に 使 用 します。• このポリシーを 施 行 するときに 既 存 のクライアント ルールを 保 持 する - このポリシーを 施 行 したときに、クライアントで 作 成 された 例 外 ルールを 保 持 します。 適 応 モードで 自動 的 に 作 成 されたルール、 学 習 モードでユーザが 作 成 したルール、クライアントで 手 動 で作 成 したルールを 保 持 します。保 護 設 定次 の 設 定 は、ファイアウォール 固 有 の 保 護 を 有 効 にします。• Host IPS サービスが 開 始 するまで 送 信 トラフィックだけを 許 可 する - クライアントでHost IPS ファイアウォールが 開 始 するまで、 送 信 トラフィックは 許 可 しますが、 受 信 トラフィックはブロックします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )69

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 有 効 化• IP スプーフィング 対 策 を 有 効 にする - ローカル ホストの IP アドレス 以 外 から 送 信 されたネットワーク トラフィックをブロックします。IP アドレスの 偽 装 を 試 みるローカルプロセスからのトラフィックもブロックします。• TrustedSource 違 反 検 出 時 にイベントを ePO に 送 信 する - 受 信 または 送 信 トラフィックに 対 する TrustedSource ブロックしきい 値 に 達 したときに ePO サーバにイベントを 送信 します。• TrustedSource 受 信 ブロックのしきい 値 - ネットワーク 接 続 で 受 信 トラフィックをブロックする TrustedSource 評 価 をリストから 選 択 します。オプションは、[ 危 険 度 高 ]、[ 危 険 度 中 ]、[ 未 検 証 ]、[ブロックしない] です。• TrustedSource 送 信 ブロックのしきい 値 - ネットワーク 接 続 で 送 信 トラフィックをブロックする TrustedSource 評 価 をリストから 選 択 します。オプションは、[ 危 険 度 高 ]、[ 危 険 度 中 ]、[ 未 検 証 ]、[ブロックしない] です。ステートフル ファイアウォールの 設 定ステートフル ファイアウォールの 設 定 は 次 のとおりです。• FTP プロトコルの 検 査 - FTP 接 続 の 追 跡 を 許 可 するステートフル ファイアウォールの設 定 。 送 信 FTP クライアント トラフィックに 1 つのファイアウォール ルールが、 受 信FTP サーバ トラフィックには 1 つのファイアウォール ルールが 必 要 です。このオプションを 選 択 しないと、 受 信 FTP クライアント トラフィックと 送 信 FTP サーバ トラフィックに 追 加 のルールが 必 要 になります。これは 常 に 選 択 してください。• TCP 接 続 のタイムアウト - 接 続 と 一 致 するパケットが 送 受 信 されない 場 合 に、 確 立 されていない TCP 接 続 のアクティブ 状 態 を 維 持 する 時 間 ( 秒 )。• UDP と ICMP のエコー 仮 想 接 続 のタイムアウト - 接 続 と 一 致 するパケットが 送 受 信 されない 場 合 に、 確 立 されていない UDP または ICMP 接 続 のアクティブ 状 態 を 維 持 する 時 間( 秒 )。 仮 想 接 続 と 一 致 するパケットが 送 受 信 されるごとに、この 設 定 値 にリセットされます。ポリシーの 選 択このポリシー カテゴリには、 設 定 済 みポリシーと、McAfee デフォルト ポリシーに 従 って 編集 可 能 な 個 人 用 のデフォルト ポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 して 複 製できます。カスタム ポリシーは、 編 集 、 名 前 変 更 、 複 製 、 削 除 およびエクスポートすることができます。設 定 済 みのポリシーには 次 の 項 目 が 設 定 されています。McAfee デフォルトファイアウォール 保 護 は 無 効 です。ファイアウォールが 有 効 になると、このオプションが 選択 され、 適 用 されます。• ブリッジド トラフィックを 許 可• クライアント ルールを 保 持 する• IP スプーフィング 対 策 を 有 効 にする• FTP プロトコル 検 査 を 実 行ファイアウォール オプションのポリシーの 設 定このポリシーでは、ファイアウォール 保 護 の 有 効 / 無 効 を 設 定 できます。また、 適 応 モードまたは 学 習 モードを 適 用 できます。70McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 有 効 化タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: ファイアウォール] を 選 択 し、[カテゴリ] リストで [ファイアウォールオプション] を 選 択 します。ポリシーのリストが 表 示 されます。2 [ファイアウォール オプション] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。注 意 : 編 集 可 能 なポリシーでは、 名 前 の 変 更 、 複 製 、 削 除 、エクスポートが 実 行 できます。 編 集 不 能 なポリシーでは、 表 示 または 複 製 が 実 行 できます。3 表 示 された [ファイアウォール オプション] ページで、 必 要 に 応 じてデフォルトの 設 定を 変 更 し、[ 保 存 ] をクリックします。FAQ - McAfee TrustedSource とファイアウォールファイアウォール オプションの 2 つのオプションを 使 用 すると、McAfee TrustedSourceが 危 険 度 高 と 評 価 した 受 信 または 送 信 トラフィックがブロックされます。この FAQ では、TrustedSource の 処 理 とファイアウォールへの 影 響 について 説 明 します。TrustedSource とは 何 ですか?TrustedSource は、インターネット 上 での 正 当 な 動 作 と 不 正 な 動 作 を 判 断 するグローバルなインターネット 評 価 情 報 システムです。 電 子 メール、Web アクティビティ、マルウェア、システム 間 の 関 係 に 関 する 動 作 と 送 信 のパターンを 世 界 各 地 から 収 集 し、リアルタイムに 解 析します。TrustedSource は、 分 析 結 果 を 使 用 して 評 価 スコアを 動 的 に 算 出 しています。このスコアにより、Web ページの 閲 覧 によりネットワークが 晒 される 危 険 度 が 分 かります。IP アドレス、ドメイン、 特 定 のメッセージ、URL、 画 像 などの 評 価 スコアはデータベースに 格 納 されています。どのように 動 作 しますか?TrustedSource オプションを 選 択 すると、「TrustedSource - Host IPS サービスを 許 可 」と「TrustedSource - 評 価 を 取 得 」の 2 つのファイアウォール ルールが 作 成 されます。 最初 のルールで TrustedSource への 接 続 が 許 可 されます。2 つ 目 のルールでは、 接 続 の 評 価 結果 とブロックしきい 値 に 従 ってトラフィックを 許 可 またはブロックします。「 評 価 」とはどういう 意 味 ですか?TrustedSource は、 送 信 またはホスティング 動 作 、TrustedSource が 自 動 的 に 収 集 する 環 境データに 基 づき、インターネット 上 の IP アドレスに 対 する 評 価 値 を 算 出 します。また、インターネットの 脅 威 状 況 に 関 して 顧 客 やパートナーから 収 集 した 情 報 を 集 計 し、 関 連 付 けます。 評 価 は 次 の 4 つのクラスで 表 されます。• 最 小 リスク (ブロックなし) - 分 析 の 結 果 、コンテンツやトラフィックの 正 規 の 送 信 元または 送 信 先 であることが 確 認 されています。• 未 検 証 - コンテンツやトラフィックの 正 規 の 送 信 元 または 送 信 先 の 可 能 性 もありますが、 詳 しい 調 査 が 必 要 なプロパティがあります。• 危 険 度 中 - 送 信 元 または 送 信 先 の 動 作 に 不 審 な 傾 向 が 見 られます。この 通 信 のトラフィックとコンテンツは 詳 しい 分 析 が 必 要 です。• 危 険 度 高 - 送 信 元 または 送 信 先 が 不 正 なコンテンツを 保 持 しているか、 不 正 なトラフィックを 送 信 しています。この 送 信 元 または 送 信 先 は 非 常 に 危 険 です。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )71

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義遅 延 は 発 生 しますか。その 場 合 、どのくらいですか?TrustedSource が 評 価 情 報 を 検 索 するときに、 遅 延 時 間 が 発 生 します。McAfee では、この 時間 を 最 小 限 に 抑 えるため、 様 々な 工 夫 を 行 っています。まず、 評 価 の 確 認 は、オプションが 選 択 されている 場 合 にのみ 実 行 されます。2 つ 目 として、情 報 キャッシュ アーキテクチャを 採 用 しています。ネットワークの 通 常 の 使 用 パターンでは、 評 価 クエリを 送 信 せず、 大 半 の 接 続 でキャッシュを 参 照 しています。ファイアウォールが TrustedSource サービスに 接 続 できない 場 合 、トラフィックは 停 止 しますか?ファイアウォールが TrustedSource サーバに 接 続 できない 場 合 、デフォルトの 評 価 で 使 用 可能 なすべての 接 続 を 自 動 的 に 割 り 当 てます。ルールの 分 析 は 後 で 行 います。ファイアウォール 保 護 の 定 義ファイアウォール ルールは、システムの 動 作 を 決 定 し、ネットワーク トラフィックを 傍 受したときに、トラフィックを 許 可 またはブロックします。 適 切 な 設 定 の [ファイアウォールルール] ポリシーと [ファイアウォール DNS ブロック] ポリシーを 適 用 して、ファイアウォール ルールを 作 成 および 管 理 します。ファイアウォール ルール ポリシーの 選 択ファイアウォール ルール ポリシー カテゴリには、2 つの 設 定 済 みポリシーと、McAfee デフォルト ポリシーに 従 って 編 集 可 能 な 個 人 用 のデフォルト ポリシーが 1つ 含 まれています。 設 定 済 みポリシーは 表 示 して 複 製 できます。 編 集 可 能 なカスタム ポリシーは、 作 成 、 編集 、 名 前 変 更 、 複 製 、 削 除 およびエクスポートすることができます。表 7: 設 定 済 みのファイアウォール ルール ポリシーポリシー使 用 方 法最 小 (デフォルト)標 準 的 な 企 業 環 境デフォルトの 最 初 保 護 に 使 用 します。 次 の 処 理 を 行 います。• 攻 撃 者 がコンピュータの 情 報 収 集 に 使 用 できる 受 信ICMP トラフィックをブロックします。Host IPS は、その 他 すべての ICMP トラフィックは 許 可 します。• 同 じサブネットのコンピュータからの Windows ファイル 共 有 要 求 を 許 可 します。その 他 のコンピュータからのファイル 共 有 要 求 はブロックします。 信 頼 できるネットワーク ポリシーで [ローカル サブネットを 自 動 的 に 含 める] が 選 択 されている 必 要 があります。• Windows ドメイン、ワークグループ、およびコンピュータの 参 照 を 許 可 します。• 通 信 量 の 多 い 受 信 および 送 信 UDP トラフィックをすべて 許 可 します。• BOOTP、DNS、および Net Time UDP ポートを 使 用 するトラフィックを 許 可 します。このポリシーを 元 にして、 適 応 モードで 確 認 したルールを 組 み 合 わせます。このポリシーを 使 用 した 場 合 、 既 存のデフォルト ファイアウォール ポリシーと 比 べると、適 応 モードで 適 用 されるクライアント ルールは 少 なくなります。このポリシーにはすべての 機 能 が 含 まれています。 大半 の 組 織 のファイアウォールの 要 件 は 満 たしています。72McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義ファイアウォール DNS ブロック ポリシーの 選 択ファイアウォール DNS ブロック ポリシー カテゴリには、1 つの 設 定 済 みポリシーと、McAfeeデフォルト ポリシーに 従 って 編 集 可 能 な 個 人 用 のデフォルト ポリシーが 1 つ 含 まれています。 設 定 済 みポリシーは 表 示 して 複 製 できます。 編 集 可 能 なカスタム ポリシーは、 作 成 、 編集 、 名 前 変 更 、 複 製 、 削 除 およびエクスポートすることができます。ファイアウォール ルール ポリシーの 設 定このポリシーでは、ファイアウォール 保 護 のルールを 定 義 します。ヒント: 最 初 からポリシーを 作 成 しないでください。 既 存 のポリシーを 複 製 して、ポリシー内 のルールとグループを 必 要 に 応 じて 編 集 してください。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: ファイアウォール] を 選 択 し、[カテゴリ] リストで [ファイアウォールルール] を 選 択 します。ポリシーのリストが 表 示 されます。2 [ファイアウォール ルール] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。注 意 : 編 集 可 能 なカスタム ポリシーでは、 名 前 の 変 更 、 複 製 、 削 除 、エクスポートが 実行 できます。 編 集 不 能 なポリシーでは、 表 示 または 複 製 が 実 行 できます。3 次 のいずれかを 行 います。操 作 ...ファイアウォール ルールの 追 加ファイアウォール グループの 追 加手 順 ...[ 新 しいルール] または [カタログからルールを 追 加 ]クリックします。 詳 細 については、「ファイアウォール ルールの 作 成 と 編 集 」または「Host IPS カタログの 使 用 」を 参 照 してください。[ 新 しいグループ] または [カタログからグループを追 加 ] クリックします。 詳 細 については、「ファイアウォール ルール グループの 作 成 と 編 集 」または「HostIPS カタログの 使 用 」を 参 照 してください。1 つのルールまたはグループへのアクションの 実 行 • ルールまたはグループを 選 択 して、 左 ペインに 項目 設 定 のサマリを 表 示 します。• ルールまたはグループを 選 択 して、 次 の 操 作 を 行います。• 項 目 を 編 集 するには [アクション] の [ 編 集 ]をクリックします。• ファイアウォール カタログに 項 目 を 追 加 するには、[アクション] の 下 にある [カタログに追 加 ] をクリックします。• リスト 内 で 項 目 を 上 に 移 動 するには [ 上 へ 移動 ] をクリックします。• リスト 内 で 項 目 を 下 に 移 動 するには [ 下 へ 移動 ] をクリックします。• 項 目 のコピーを 作 成 するには、[ 複 製 ] をクリックします。• 項 目 を 削 除 するには、[ 削 除 ] をクリックします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )73

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義4 ポリシー 内 のすべてのルールとグループの 情 報 を XML ファイルにエクスポートするには、[エクスポート] をクリックします。このファイルは、ファイアウォール カタログまたは 別 のポリシーにインポートできます。5 [ 保 存 ] をクリックして 変 更 を 保 存 します。ファイアウォール ルールの 作 成 と 編 集特 定 の 操 作 がデフォルトのリストに 含 まれていない 場 合 には、ファイアウォール ルール ポリシーのルールを 編 集 するか、ルール リストに 新 しいファイアウォール ルールを 追 加 します。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [ファイアウォール ルール] ポリシー ページで、 新 しいルールを 作 成 するには [ 新 しいルール] をクリックします。 既 存 のルールを 編 集 するには、[アクション] の 下 の [ 編 集 ]をクリックします。2 [ 次 へ] またはリンクをクリックして 表 示 したタブで、 必 要 な 情 報 を 入 力 します。タブ...説 明ネットワークトランスポートアプリケーションスケジュール設 定 するオプション...名 前 ( 必 須 )、アクション、 方 向 、ステータスネットワーク プロトコル、メディアの 種 類 、ローカル ネットワーク、リモートネットワークトランスポート プロトコルアプリケーションと 実 行 ファイルステータスと 時 間 の 設 定3 [サマリ] タブでルールの 詳 細 を 確 認 して、[ 保 存 ] をクリックします。ファイアウォール ルール グループの 作 成 と 編 集同 じ 目 的 で 使 用 する 一 連 のルールを 作 成 するには、ファイアウォール ルール ポリシーでファイアウォール ルール グループを 作 成 または 編 集 します。たとえば、VPN 接 続 を 許 可 する 複 数 のルールでグループを 作 成 します。グループはルール リストに 表 示 されます。グループの 前 に 表 示 される 矢 印 をクリックすると、グループ 内 のルールを 表 示 または 隠 すことができます。タスク1 [ファイアウォール ルール] ポリシー ページで、 新 しいグループを 作 成 するには [ 新 しいグループ] をクリックします。 既 存 のグループを 編 集 するには、[アクション] の 下 の[ 編 集 ] をクリックします。2 [ 次 へ] またはリンクをクリックして 表 示 したタブで、 必 要 な 情 報 を 入 力 します。タブ...説 明場 所設 定 するオプション...名 前 ( 必 須 )、 方 向 、ステータス場 所 別 の 設 定 ( 接 続 の 隔 離 など)74McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義タブ...ネットワークトランスポートアプリケーションスケジュール設 定 するオプション...ネットワーク プロトコル、メディアの 種 類 ( 有 線 、 無 線 、 仮 想 )、ローカル ネットワーク、リモート ネットワークトランスポート プロトコルアプリケーションと 実 行 ファイルステータスと 時 間 の 設 定 ( 期 限 付 きグループの 有 効 化 など)3 [サマリ] タブでグループの 詳 細 を 確 認 して、[ 保 存 ] をクリックします。4 このグループに 新 しいルールを 作 成 するか、ファイアウォール ルール リストまたはHost IPS カタログから 既 存 のルールをグループに 移 動 します。接 続 隔 離 グループの 作 成特 定 のパラメータでネットワークに 接 続 している 場 合 にのみ 適 用 されるルールを 設 定 するには、 接 続 隔 離 ファイアウォール ルール グループを 作 成 します。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [ファイアウォール ルール ポリシー] ページで、[ 新 規 グループ] または [カタログからグループを 追 加 ] をクリックします。2 [ 宛 先 ] タブで、 分 かりやすい 名 前 を [ 名 前 ] フィールドに 入 力 します。3 [ 場 所 ] タブで、[ 場 所 のステータス] と [ 接 続 の 隔 離 ] の 両 方 で [ 有 効 ] を 選 択 します。場 所 の 名 前 を 入 力 して、DNS サフィックス、デフォルト ゲートウェイ、 他 の 比 較 条 件 を選 択 します。4 [ネットワーク] タブの [メディアの 種 類 ] で、このグループのルールを 適 用 する 接 続 の種 類 ([ 有 線 ]、[ 無 線 ]、[ 仮 想 ]) を 選 択 します。注 意 : 接 続 隔 離 グループでは、トランスポート オプションとアプリケーションは 使 用 できません。5 [サマリ] タブで [ 保 存 ] をクリックします。6 このグループに 新 しいルールを 作 成 するか、ファイアウォール ルール リストまたはHost IPS カタログから 既 存 のルールをグループに 移 動 します。DNS トラフィックのブロックファイアウォール 保 護 を 設 定 するときに、IP アドレスの 参 照 解 決 を 許 可 しないように、HostIPS がブロックするドメイン ネーム サーバのリストを 作 成 できます。注 意 : この 機 能 では 完 全 修 飾 ドメインのブロックに 使 用 しないでください。FQDN のリモートアドレスをブロックするには、ファイアウォール ルールを 使 用 してください。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [ファイアウォール DNS ブロック] ポリシー ページで [ 新 しいルール] をクリックし、[アクション] の 下 の [ 編 集 ] をクリックして、 既 存 のルールを 編 集 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )75

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義2 [ブロックされたドメインの 追 加 ] をクリックします。3 テキスト ボックスに、ブロックするドメイン ネーム サーバの 名 前 を 入 力 します。ワイルドカード (* と ?) を 使 用 します。たとえば、*domain.com と 入 力 します。1 つの 項目 に 1 つの 名 前 を 入 力 してください。4 他 のアドレスを 追 加 するには、[ 追 加 ] ボタンをクリックします。アドレスを 削 除 するには、[ 削 除 ] ボタンをクリックします。5 [ 保 存 ] をクリックして 変 更 を 保 存 します。Host IPS カタログの 使 用Host IPS カタログを 使 用 すると、ファイアウォールで 使 用 する 新 しい 項 目 を 追 加 したり、 既存 の 項 目 を 参 照 できます。この 操 作 を 実 行 すると、、 既 存 のカタログ 項 目 を 検 索 して 編 集 したり、 新 しいカタログ 項 目 を 作 成 して 追 加 することができます。また、カタログ 項 目 のインポートとエクスポートも 実 行 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム]、[Host IPS カタログ] の 順 に 移 動 します。2 [ 項 目 の 種 類 ] でカタログ 項 目 を 選 択 します。 選 択 できる 項 目 は、[グループ]、[ルール]、[アプリケーション]、[プロセス]、[ネットワーク]、[ 場 所 ] です。3 カタログ ページで 次 の 操 作 を 行 います。操 作 ...項 目 のフィルタリング項 目 の 表 示 方 法 の 変 更項 目 の 編 集手 順 ...フィルタ 条 件 を 入 力 して、[フィルタの 設 定 ] をクリックします。デフォルトの 表 示 に 戻 るには、[クリア]をクリックします。[オプション]、[ 列 の 選 択 ] の 順 に 選 択 して、 列 の 選択 、 削 除 、 並 べ 替 えを 行 い、[ 保 存 ] をクリックします。項 目 に 対 応 するリンクをクリックします。 項 目 を 編 集するには、[ 編 集 ] をクリックします。 項 目 のコピーを 作 成 するには、[ 複 製 ] をクリックします。 項 目 を削 除 するには、[ 削 除 ] をクリックします。注 意 : 依 存 関 係 のある 項 目 を 削 除 すると、 削 除 された項 目 の 新 しいコピーがリンク 先 のルールまたはグループ 内 に 作 成 されますが、 依 存 関 係 は 作 成 されません。項 目 の 作 成 と 追 加1 つの 項 目 のエクスポートカタログの 種 類 のすべての 項 目 のエクスポートカタログの 種 類 の 項 目 のインポート[ 新 規 ] をクリックします。 表 示 されたページで、 必要 なデータを 入 力 して [ 保 存 ] をクリックします。項 目 に 対 応 する [エクスポート] リンクをクリックします。ページの 右 上 隅 にある [エクスポート] をクリックし、ファイルの 名 前 を 指 定 して XML 形 式 で 保 存 します。ページの 右 上 隅 にある [インポート] をクリックし、カタログ データを 含 む XML ファイルを 選 択 して 開 きます。注 意 : ファイアウォール ルールまたはグループの 作 成 中 にカタログから 項 目 を 追 加 するには、 該 当 するビルダ ページの 下 にある [カタログから 追 加 ] をクリックします。ファイアウォール ルールまたはグループ ビルダでの 作 業 中 に 作 成 した 項 目 を 追 加 するには、76McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義項 目 の 横 にある [カタログに 追 加 ] をクリックします。カタログから 項 目 を 追 加 するか、カタログに 項 目 を 追 加 するときに、[カタログの 参 照 を 解 除 する] リンクを 使 用 してカタログと 項 目 の 依 存 関 係 を 作 成 します。このリンクをクリックすると、 項 目 とカタログ 間の 依 存 関 係 が 解 除 され、リンク 先 のルールまたはグループに 依 存 関 係 のない 新 しい 項 目が 作 成 されます。ファイアウォール クライアント ルールの 管 理適 応 モードまたは 学 習 モードで 自 動 的 に 作 成 されたファイアウォール クライアント ルールやクライアントで 手 動 で 作 成 したルールを 表 示 し、ファイアウォール ルール ポリシーに 移動 すると、セキュリティを 強 化 することができます。注 意 : [レポート] の [ホスト IPS] タブに 表 示 されるファイアウォール クライアントのルールにアクセスするには、Host Intrusion Prevention のファイアウォールに 対 する 権 限 以 外に、[イベント ログ]、[システム]、および [システム ツリー アクセス] の 表 示 権 限 を 含む、 追 加 の 権 限 が 必 要 です。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [レポート]、[Host IPS] の 順 に 移 動 し、[ファイアウォール クライアント ルール] をクリックします。2 システム ツリーで、クライアント ルールを 表 示 するグループを 選 択 します。3 クラアイント ルールのリストの 表 示 方 法 を 決 定 します。操 作 ...表 示 する 列 を 選 択 する列 によって 並 べ 替 えるグループにフィルタを 設 定 する作 成 日 時 にフィルタを 設 定 する検 索 テキストにフィルタを 設 定 するルールを 集 約 する手 順 ...[オプション] メニューから [ 列 の 選 択 ] を 選 択 します。[ 列 の 選 択 ] ページで、 表 示 する 列 の 追 加 、 削 除 、または 順 序 の 変 更 を 行 います。列 ヘッダーをクリックします。[フィルタ] メニューから、[このグループのみ] または [このグループとすべてのサブグループ] を 選 択 します。ルールが 作 成 された 日 時 を 選 択 します。[なし]、[ 基準 日 ] または [ 範 囲 ] から 選 択 できます。[ 基 準 日 ]を 選 択 した 場 合 、 開 始 日 を 入 力 します。[ 範 囲 ] を 選択 した 場 合 、 開 始 日 と 終 了 日 の 両 方 を 入 力 します。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。フィルタを 適 用 するプロセス パス、プロセス 名 、ユーザ 名 、コンピュータ 名 またはシグネチャ ID を 入 力 します。フィルタ 設 定 を 削 除 するには、[クリア] をクリックします。[ 集 約 ] をクリックし、ルールを 集 約 する 条 件 を 選 択して [OK] をクリックします。 集 約 設 定 を 削 除 するには、[クリア] をクリックします。4 クライアント ルールをポリシーに 移 動 するには、リスト 内 の 1 つ 以 上 のルールを 選 択し、[ファイアウォール ルールの 作 成 ] をクリックして、ルールの 移 動 先 のポリシーを指 定 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )77

ファイアウォール ポリシーの 設 定ファイアウォール 保 護 の 定 義FAQ - ファイアウォール ルールでのワイルドカードの 使 い 方Host IPS では、ファイアウォール ルールの 特 定 のフィールドに 値 を 入 力 するときにワイルドカードを 使 用 できます。パスとアドレスで 使 用 できるワイルドカードを 教 えてください。ファイル、レジストリ キー、 実 行 ファイル、URL のパスには 次 のワイルドカードが 使 用 できます。文 字? ( 疑 問 符 )* (1 つのアスタリスク)** (2 つのアスタリスク)| (パイプ)定 義1 つの 文 字 。/ と \ を 除 く 複 数 の 文 字 。サブフォルダではなく、フォルダのルート レベルの 内 容 と 一 致 させるために 使 用 します。/ と \ を 含 む 複 数 の 文 字 。ワイルドカードのエスケープ。注 意 : ** の 場 合 、エスケープは |*|* になります。注 意 : ファイアウォール グループの 場 所 を 示 すレジストリ キーのパスではワイルドカードを 使 用 できません。他 の 値 で 使 用 できるワイルドカードを 教 えてください。パス 情 報 を 含 まないスラッシュ 付 きの 値 では、 次 のワイルドカードを 使 用 できます。文 字? ( 疑 問 符 )* (1 つのアスタリスク)| (パイプ)定 義1 つの 文 字 。/ と \ を 含 む 複 数 の 文 字 。ワイルドカードのエスケープ。78McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

全 般 ポリシーの 設 定Host Intrusion Prevention の 全 般 ポリシー 機 能 により、IPS ポリシーやファイアウォールに 固 有 でない 共 通 のポリシーにアクセスできます。目 次全 般 ポリシーの 概 要クライアント 機 能 の 定 義信 頼 できるネットワークの 定 義信 頼 できるアプリケーションの 定 義全 般 ポリシーの 概 要全 般 ポリシーは IPS とファイアウォール 機 能 の 両 方 でできます。クライアント アクセスを制 御 し、 信 頼 できるネットワークとアプリケーションを 管 理 します。Windows オペレーティング システムの 場 合 には、すべてのポリシーとオプションが 適 用 されます。Windows 以 外 のシステムの 場 合 には、 選 択 したポリシーのオプションを 適 用 できます。詳 細 については、「Host IPS クライアントの 使 用 」の「Solaris/Linux クライアントでのポリシー 施 行 」を 参 照 してください。使 用 可 能 なポリシー次 の 3つの 全 般 ポリシーがあります。クライアント UI - Windows クライアント コンピュータで 使 用 できるオプションを 決 定 します。これは、ホスト IPS クライアント アイコンをシステム トレイに 表 示 するかどうか、侵 入 アラートの 種 類 、クライアント インターフェースにアクセスするパスワード、トラブルシューティング オプションなどです。パスワード 機 能 は、Windows プラットフォームとWindows 以 外 のプラットフォームの 両 方 のクライアントで 使 用 できます。信 頼 できるネットワーク - 通 信 しても 安 全 な IP アドレスとネットワークのリストです(TrustedSource の 例 外 を 含 む)。 信 頼 できるネットワークには、 個 々の IP アドレスまたはIP アドレスの 範 囲 を 指 定 できます。 信 頼 できるネットワークに 設 定 すると、ネットワークIPS 例 外 や 追 加 のファイアウォール ルールを 作 成 する 必 要 がなくなるか、または 必 要 が 軽 減します。Windows クライアント 専 用 です。信 頼 できるアプリケーション ルール - 安 全 で、 既 知 の 脆 弱 性 がないアプリケーションのリストです。 信 頼 できるアプリケーションに 設 定 すると、IPS 例 外 や 追 加 のファイアウォールルールを 作 成 する 必 要 がなくなるか、または 必 要 が 減 少 します。IPS ルール ポリシーと 同様 、このポリシー カテゴリにも 複 数 のポリシー インスタンスを 含 めることができます。Windows プラットフォームと Windows 以 外 のプラットフォームの 両 方 のクライアントで 使 用可 能 です。信 頼 できるネットワーク ポリシーと 信 頼 できるアプリケーション ポリシーを 設 定 すると、誤 検 知 を 軽 減 または 排 除 できるため、 配 備 の 調 整 に 役 立 ちます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )79

全 般 ポリシーの 設 定クライアント 機 能 の 定 義クライアント 機 能 の 定 義クライアント UI ポリシーでは、Host IPS クライアントの 表 示 方 法 と 機 能 を 設 定 します。Windows クライアントの 場 合 、アイコンの 表 示 設 定 、 侵 入 イベントの 処 理 、 管 理 者 およびクライアント ユーザのアクセスなどが 設 定 できます。Windows 以 外 のクライアントの 場 合 、 管理 者 アクセスのパスワード 機 能 のみが 有 効 です。このポリシーのオプションにより、 次 のような 3 種 類 の 典 型 的 ユーザの 要 望 を 満 たすことができます。ユーザの 種 類通 常接 続 切 断管 理 者機 能Host Intrusion Prevention クライアントをデスクトップまたはノート PC にインストールしている 平 均 的 なユーザです。クライアント UI ポリシーにより、このユーザは 次 の 操作 を 実 行 できます。• Host Intrusion Prevention クライアント アイコンをシステム トレイに 表 示 して、クライアント コンソールを 起 動 できます。• ポップアップ 侵 入 アラートを 受 け 取 るか 阻 止 します。• IPS とファイアウォール 保 護 を 一 時 的 に 無 効 にします。おそらくノート PC を 使 用 しており、 一 定 期 間 Host Intrusion Prevention サーバに 接続 していないユーザです。Host Intrusion Prevention に 技 術 的 な 問 題 がある 場 合 や、または Host Intrusion Prevention と 対 話 しない 操 作 が 必 要 な 場 合 もあります。クライアント UI ポリシーにより、このユーザは、 有 効 期 限 があるパスワードを 取 得 して 管 理 タスクを 実 行 したり、 保 護 機 能 のオン/オフを 切 り 替 えることができます。すべてのコンピュータの IT 管 理 者 で、 管 理 者 に 委 任 されたあらゆるポリシーを 変 更 し、特 別 な 操 作 をクライアント コンピュータで 行 う 必 要 があります。クライアント UI ポリシーにより、このユーザは、 無 期 限 の 管 理 者 パスワードを 取 得 して 管 理 タスクを 実 行 できます。切 断 ユーザと 管 理 者 ユーザの 両 者 が 行 う 管 理 タスクには、 次 のようなものがあります。• IPS およびファイアウォール ポリシーの 有 効 化 / 無 効 化• 特 定 の 正 当 な 動 作 がブロックされる 場 合 に IPS、ファイアウォール、アプリケーション ブロックのルールの 追 加注 意 : ePolicy Orchestrator コンソールから 管 理 ポリシーの 変 更 を 行 っても、パスワードの 期 限 が 切 れるまでは 実 施 されません。この 間 に 作 成 されたクライアント ルールは、管 理 ルールの 許 可 があれば 保 持 されます。このクライアント UI ポリシーには、1 つの 設 定 済 みポリシーと、1 つの 編 集 可 能 な 個 人 用デフォルト ポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 し、 複 製 できます。 編 集 可能 なカスタム ポリシーは、 作 成 、 編 集 、 名 前 変 更 、 複 製 、 削 除 、およびエクスポートすることができます。クライアント UI ポリシーの 設 定このポリシーでは、アイコンの 表 示 方 法 、 侵 入 イベントに 対 する 処 理 、Windows クライアントに 対 する 管 理 者 とユーザのアクセス 権 を 設 定 します。また、Windows 以 外 のクライアントに 対 する 管 理 者 のアクセス 権 も 設 定 します。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: 全 般 ] を 選 択 し、[カテゴリ] リストで [クライアント UI] を 選 択 します。ポリシーのリストが 表 示 されます。80McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

全 般 ポリシーの 設 定クライアント 機 能 の 定 義2 [クライアント UI] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。3 [クライアント UI] ページで、タブ ([ 全 般 オプション]、[ 詳 細 オプション]、[トラブルシューティング オプション]) を 選 択 し、 必 要 な 変 更 を 行 います。 詳 細 については、「クライアント UI の 全 般 オプションの 設 定 」、「クライアント UI の 詳 細 オプションの 設定 」または「クライアント UI のトラブルシューティング オプションの 設 定 」を 参 照 してください。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。クライアント UI の 全 般 オプションの 設 定クライアント UI ポリシーの [ 全 般 設 定 ] タブでは、アイコンの 表 示 方 法 と 侵 入 イベントに対 する 処 理 を 設 定 できます。このタブは、Windows クライアントでのみ 使 用 できます。このタブでは、クライアント UI の 表 示 オプションを 設 定 し、 侵 入 イベント 発 生 時 のクライアントの 対 応 を 指 定 します。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 クライアント UI ポリシーの [ 全 般 設 定 ] タブをクリックします。[ 表 示 オプション]で、トレイ アイコンからクライアント コンソールにアクセスするメニューを 表 示 するかどうかを 設 定 します。また、[プログラムの 追 加 と 削 除 ] リストにアプリケーションを表 示 するかどうかを 設 定 します。注 意 : Host Intrusion Prevention の 機 能 を 一 時 的 に 無 効 にし、ブロックされた 正 規 のアプリケーションやネットワーク サイトにアクセスする 必 要 がある 場 合 、クライアントコンソールを 表 示 しなくても Host Intrusion Prevention トレイ アイコン メニューで機 能 を 無 効 にできます。 無 効 にした 機 能 は、メニュー コマンドまたは 新 しいポリシー 施行 で 復 元 されるまで 無 効 のままです。 次 の 事 項 に 注 意 します。• ISP を 無 効 にすると、Host IPS とネットワーク IPS の 保 護 が 両 方 とも 無 効 になります。• クライアント UI のロックが 解 除 されている 場 合 、メニュー コマンドは 無 効 です。この 機 能 の 場 合 、アイコンの 表 示 を 選 択 して [ 詳 細 オプション] タブをクリックし、[トレイ アイコンからの 機 能 の 無 効 化 を 許 可 する] を 選 択 して、 無 効 にする 機 能 の 一 部 またはすべてを 選 択 します。2 [ 侵 入 イベント 発 生 時 ] で、 侵 入 検 出 時 のクライアントの 処 理 方 法 を 選 択 します。クライアント UI の 詳 細 オプションとパスワードの 設 定クライアント UI ポリシーの [ 詳 細 オプション] タブでは、Windows および Windows 以 外 のクライアントのパスワード 機 能 を 設 定 します。パスワードにより、Windows クライアント コンソールのロックを 解 除 し、Windows と Windows以 外 のクライアントでトラブルシューティングを 可 能 にします。このポリシーがクライアントに 適 用 されると、パスワードがアクティブになります。次 の 2 種 類 のパスワードを 使 用 できます。• 管 理 者 パスワードは、 管 理 者 が 設 定 し、ポリシーがクライアントに 適 用 されている 限 り 有効 です。クライアント コンソールは、 閉 じるまでロックが 解 除 されたままです。クライアント コンソールを 再 び 開 くには、 管 理 者 パスワードを 再 入 力 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )81

全 般 ポリシーの 設 定クライアント 機 能 の 定 義• 有 効 期 限 のあるパスワードには、 有 効 期 限 ( 日 時 ) が 設 定 されます。このパスワードは 自動 的 に 生 成 されます。パスワードを 作 成 するシステムを 指 定 することも、ポリシーを 適 用するすべてのシステムにパスワードを 設 定 することもできます。クライアント コンソールは、 閉 じるまでロックが 解 除 されたままです。注 意 : クラアイント コンソールのロックが 解 除 されていると、ポリシーはクライアントでは施 行 されません。詳 細 については、「Windows クライアント インターフェースのロック 解 除 」を 参 照 してください。タスク1 システムまたはグループに 適 用 されるクライアント UI ポリシーで、[ 詳 細 オプション]タブをクリックします。2 作 成 するパスワードの 種 類 を 決 定 します。パスワードの 種 類 ...手 順 ...管 理 者 • [パスワード] テキスト ボックスにパスワードを 入 力 します。パスワードは 10 文 字 以 上 にする 必 要 があります。• [パスワードの 確 認 ] テキスト ボックスにパスワードを 再 入 力 します。• [ 保 存 ] をクリックします。有 効 期 限 のあるパスワード • [ 有 効 期 限 のあるパスワードを 有 効 にする] を 選 択 します。• パスワードの 有 効 期 限 が 切 れる 日 付 と 時 刻 を 入 力 し、[ 有 効 期 限のあるパスワードの 計 算 ] をクリックします。 有 効 期 限 の 設 定 されたパスワードがダイアログ ボックスに 表 示 されます。• [ 保 存 ] をクリックします。システムごとのパスワードの 作 成有 効 期 限 のあるパスワードをシステムごとに 作 成 して 割 り 当 てることができます。タスク1 クライアント UI ポリシーの [ 詳 細 ] タブで [ 有 効 期 限 のあるパスワードを 有 効 にする]を 有 効 にします。2 ポリシーを 変 更 した 場 合 は、[ 保 存 ] をクリックします。3 [システム]、[システム ツリー] の 順 に 移 動 します。4 パスワードを 適 用 するシステムが 存 在 するグループにクライアント UI ポリシーを 適 用します。5 グループを 選 択 し、[システム] タブで 単 一 のシステムを 選 択 します。6 [ 有 効 期 限 のあるパスワードの 作 成 ] をクリックします。7 パスワードの 有 効 期 限 を 入 力 し、[ 有 効 期 限 のあるパスワードを 計 算 ] をクリックします。パスワードがダイアログ ボックスに 表 示 されます。クライアント UI のトラブルシューティング オプションの 設 定クライアント UI ポリシーの [トラブルシューティング] タブでは、ロギング オプションを設 定 します。また、エンジンの 有 効 / 無 効 も 設 定 できます。82McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

全 般 ポリシーの 設 定クライアント 機 能 の 定 義個 々のクライアントのトラブルシューティング 機 能 を 使 用 する 代 わりに、IPS のログ 記 録 およびファイアウォール イベントを 呼 び 出 し、 特 定 の IPS エンジンを 無 効 にする、ポリシーレベルのトラブルシューティング オプションを 適 用 できます。エンジンを 無 効 にする 場 合 、トラブルシューティングを 完 了 した 後 で 忘 れずに 再 び 有 効 にしてください。タスク1 クライアント UI ポリシーで、[トラブルシューティング] タブをクリックします。2 適 用 するポリシーの 設 定 を 選 択 します。宛 先ファイアウォールのログ 記 録 を 有 効 にするIPS のログ 記 録 を 有 効 にするIPS ログにセキュリティ 違 反 を 加 える手 順 ...ファイアウォール イベントをログに 記 録 するメッセージの 種 類 をリストから 選 択 します。• デバッグ - すべてのメッセージを 記 録 します。• 情 報 - 情 報 、 警 告 、エラー メッセージを 記 録 します。• 警 告 - 警 告 とエラー メッセージを 記 録 します。• エラー - エラー メッセージを 記 録 します。• 無 効 - メッセージを 記 録 しません。Windows クライアントのログ ファイルのパスは、C:\Documents and Settings\All Users\ApplicationData\McAfee\Host IntrusionPrevention\FireSvc.log です。Windows Vista、Windows 2008、Windows 7 の 場 合 には、C:\ProgramData\McAfee\Host IntrusionPrevention\FireSvc.log になります。IPS イベントをログに 記 録 するメッセージの 種 類 をリストから 選 択 します。• デバッグ - すべてのメッセージを 記 録 します。• 情 報 - 情 報 、 警 告 、エラー メッセージを 記 録 します。• 警 告 - 警 告 とエラー メッセージを 記 録 します。• エラー - エラー メッセージを 記 録 します。• 無 効 - メッセージを 記 録 しません。Windows クライアントのログ ファイルのパスは、C:\Documents and Settings\All Users\ApplicationData\McAfee\Host IntrusionPrevention\HipShield.log です。Windows Vista、Windows 2008、Windows 7 の 場 合 には、C:\ProgramData\McAfee\Host IntrusionPrevention\HipShield.log になります。[セキュリティ 違 反 を 記 録 する] を 選 択 して、IPS ログにセキュリティ 違 反 イベントを 記 録 します。クライアントのイベント ログファイルのサイズ (MB)を 設 定 するログファイルのサイズをデフォルトの 1 MB から 変 更します。エンジンのオン/オフを 切 り 替 えます。エンジンを 無 効 にするには、チェックボックスの 選 択を 解 除 します。 再 度 有 効 にするには、チェックボックスを 再 度 選 択 します。注 意 : HIP クライアントの 作 業 の 詳 細 については、「Host Intrusion Prevention クライアントの 作 業 」を 参 照 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )83

全 般 ポリシーの 設 定信 頼 できるネットワークの 定 義信 頼 できるネットワークの 定 義信 頼 できるネットワーク ポリシーでは、ネットワーク アドレスとサブネットのリストを 保持 します。このリストでは、Windows 上 のクライアントに「 信 頼 」タグを 設 定 できます。また、リモート アドレスが 信 頼 されたネットワーク IPS の 例 外 に 設 定 されているファイアウォール ルールに 適 用 できます。このポリシー カテゴリには、 自 動 的 にローカル サブネットを 含 むがネットワーク アドレスはリストしない 1 つの 設 定 済 みポリシーと、1 つの 編 集 可 能 な 個 人 用 デフォルト ポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 し、 複 製 できます。 編 集 可 能 なカスタム ポリシーは、 作 成 、 編 集 、 名 前 変 更 、 複 製 、 削 除 、およびエクスポートすることができます。信 頼 できるネットワーク ポリシーの 設 定このポリシーでは、 信 頼 できるネットワークのオプションを 設 定 します。Windows クライアントの 場 合 には、「 信 頼 」と 設 定 されているネットワーク アドレスとサブネットのリストを保 持 できます。これにより、 次 の 操 作 を 実 行 できます。• 信 頼 できるネットワークのオプション (TrustedSource 例 外 など) を 設 定 します。• 信 頼 できるネットワーク リストで、アドレスまたはサブネットを 追 加 または 削 除 します。注 意 : ファイアウォール ルールの 場 合 、この 機 能 を 利 用 するにはリモート アドレスを「 信頼 」に 設 定 する 必 要 があります。タスクオプションの 定 義 については、オプションが 表 示 されているページで [?] をクリックします。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: 全 般 ] を 選 択 し、[カテゴリ] リストで [ 信 頼 できるネットワーク] を 選 択します。ポリシーのリストが 表 示 されます。2 [ 信 頼 できるネットワーク] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。3 次 のいずれかを 行 います。操 作 ...手 順 ...同 じサブネット 上 にあるユーザであれば、リストに入 っていなくても、 自 動 的 に 信 頼 できるものとして 扱います。[ローカル サブネットを 自 動 的 に 含 める] で [ 有 効 ]を 選 択 します。信 頼 できるネットワーク アドレスをリストに 追 加 します。[ 信 頼 できるネットワーク] テキスト ボックスに、 信頼 できる IP アドレス、アドレスの 範 囲 またはサブネットを 入 力 します。ネットワーク IPS シグネチャまたは HTTP タイプのHost/カスタム IPS シグネチャに 対 して、ネットワークに「 信 頼 」というマークを 設 定 します。[IPS で 信 頼 する] を 選 択 します。信 頼 できるネットワーク アドレスのエントリを 削 除または 追 加 します。削 除 ボタン (-) または 追 加 ボタン ( + ) をクリックします。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。84McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

全 般 ポリシーの 設 定信 頼 できるアプリケーションの 定 義信 頼 できるアプリケーションの 定 義信 頼 できるアプリケーション ポリシーを 使 用 すると、 信 頼 できるアプリケーションのリストを 作 成 できます。このリストのアプリケーションにはイベントが 生 成 されません。システムで 安 全 なアプリケーションのリストを 維 持 数 rと、 誤 検 知 の 件 数 を 大 幅 に 減 らすことができます。信 頼 できるアプリケーション ポリシーはマルチインスタンス ポリシーです。 複 数 のポリシーインスタンスを 割 り 当 て、 信 頼 できるアプリケーションの 使 用 方 法 について 詳 しいプロファイルを 作 成 できます。配 備 の 調 整 では、 誤 検 知 を 減 らすための 1 つの 方 法 として、IPS 例 外 のルールを 作 成 できます。 数 千 ものクライアントに 対 応 する 場 合 や、 時 間 やリソースが 限 られている 場 合 、この 方法 は 必 ずしも 現 実 的 ではありません。より 良 い 解 決 方 法 は、 信 頼 できるアプリケーションのリストを 作 成 することです。 信 頼 できるアプリケーションとは、 特 定 の 環 境 下 で 安 全 であるとわかっているアプリケーションです。たとえば、バックアップ アプリケーションの 実 行 時には 頻 繁 に 誤 検 知 が 発 生 する 可 能 性 があります。これを 避 けるには、バックアップ アプリケーションを 信 頼 できるアプリケーションに 設 定 します。注 意 : 信 頼 できるアプリケーションは、バッファ オーバーフローや 不 正 な 使 用 といった 一 般的 な 問 題 に 対 する 脆 弱 性 があります。このため、 信 頼 できるアプリケーションであっても 監視 を 続 け、 不 当 な 使 用 を 防 止 するためのイベントを 起 動 することができます。このポリシー カテゴリには、 特 定 の McAfee アプリケーションと Windows プロセスのリストを 提 供 する 1 つの 設 定 済 みポリシーが 含 まれています。 設 定 済 みポリシーは 表 示 して 複 製できます。カスタム ポリシーは、 作 成 、 編 集 、 名 前 変 更 、 複 製 、 削 除 およびエクスポートすることができます。信 頼 できるアプリケーション ポリシーの 設 定このポリシーでは、 特 定 の 環 境 で 安 全 と 見 なすアプリケーションを 設 定 します。タスクオプションの 意 味 を 確 認 するには、そのオプションが 表 示 されているページで [?] をクリックします。1 [システム] の [ポリシー カタログ] を 表 示 し、[ 製 品 ] リストで [Host IntrusionPrevention: 全 般 ] を 選 択 し、[カテゴリ] リストで [ 信 頼 できるアプリケーション] を選 択 します。ポリシーのリストが 表 示 されます。2 [ 信 頼 できるアプリケーション] ポリシー リストで、[アクション] の 下 の [ 編 集 ] をクリックして、カスタム ポリシーの 設 定 を 変 更 します。3 次 のいずれかを 行 います。操 作 ...アプリケーションを 追 加 する同 時 に 1 つ 以 上 のアプリケーションでアクションを実 行 する手 順 ...[アプリケーションの 追 加 ] をクリックします。 詳 細については、「 信 頼 できるアプリケーション ルールの 作 成 と 編 集 」を 参 照 してください。ルールを 選 択 し、 次 の 操 作 を 行 います。• [ 有 効 にする] をクリックすると、 無 効 なアプリケーションが 有 効 になります。• [ 無 効 にする] をクリックすると、 有 効 なアプリケーションが 無 効 になります。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )85

全 般 ポリシーの 設 定信 頼 できるアプリケーションの 定 義操 作 ...手 順 ...• [ 削 除 ] をクリックすると、アプリケーションが削 除 されます。• [コピー 先 ] をクリックすると、アプリケーションが 他 のポリシーにコピーされます。ポリシーを 指 定 するよう 求 められます。1 つのアプリケーションでアクションを 実 行 する次 のオプションをクリックします。• 既 存 のアプリケーションを 編 集 するには [ 編 集 ]をクリックします。 詳 細 については、「 信 頼 できるアプリケーション ルールの 作 成 と 編 集 」を参 照 してください。• 同 じポリシー 内 でアプリケーションのコピーを作 成 し、 元 のアプリケーションの "コピー" という 名 前 を 付 けるには、[ 複 製 ] をクリックします。• リストからアプリケーションを 削 除 するには、[ 削 除 ] をクリックします。4 [ 保 存 ] をクリックして 変 更 を 保 存 します。信 頼 できるアプリケーション ルールの 作 成 と 編 集信 頼 できるアプリケーションの 既 存 のリストを 編 集 するか、 新 しいリストを 作 成 し、 環 境 で安 全 と 見 なすアプリケーションをすべて 追 加 します。タスクオプションの 意 味 を 確 認 するには、そのオプションが 表 示 されているページで [?] をクリックします。1 [ 信 頼 できるアプリケーション]ポリシー ページで [ 新 しい 信 頼 できるアプリケーション]をクリックし、[アクション] の 下 の [ 編 集 ] をクリックして、 既 存 のルールを 編 集 します。注 意 : イベントに 基 づいて 信 頼 できるアプリケーションを 作 成 することもできます。 詳細 については、「IPS ポリシーの 設 定 」で「イベントからの 信 頼 できるアプリケーションの 作 成 」を 参 照 してください。2 名 前 を 入 力 するか、 編 集 して、アプリケーションのステータス (アプリケーションが IPSまたはファイアウォールで 信 頼 されているかどうか) を 設 定 します。3 [ 新 規 ] をクリックして、アプリケーションの 実 行 ファイルを 追 加 します。注 意 : [カタログから 追 加 ] をクリックすると、Host IPS カタログから 既 存 の 実 行 ファイルを 追 加 できます。カタログの 詳 細 については、「ファイアウォール ルールの 設 定 」の「Host IPS カタログの 機 能 」を 参 照 してください。4 [OK] をクリックして 変 更 を 保 存 します。ポリシーの 複 数 のインスタンスの 割 り 当 てePolicy Orchestrator のシステム ツリーでポリシーの 1 つ 以 上 のインスタンスをグループシステムに 割 り 当 てると、1 つのポリシーを 複 数 の 目 的 で 使 用 することができます。86McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

全 般 ポリシーの 設 定信 頼 できるアプリケーションの 定 義IPS ルール ポリシーと 信 頼 できるアプリケーション ポリシーは、 複 数 のインスタンスに 割り 当 てられるマルチインスタンス ポリシーです。マルチインスタンス ポリシーは 便 利 なポリシーです。たとえば、IIS サーバには、 通 常 のデフォルトのポリシー、サーバのポリシーおよび IIS のポリシーを 適 用 できます。IIS サーバのポリシーと IIS のポリシーは、IISサーバとして 稼 動 しているシステムを 対 象 として 設 定 するポリシーです。 複 数 をインスタンスを 割 り 当 てると、ポリシーの 各 インスタンスのすべての 要 素 を 割 り 当 てることになります。注 意 : IPS ルールと 信 頼 できるアプリケーションの McAfee デフォルト ポリシーは、コンテンツの 更 新 時 に 更 新 されます。McAfee では、 保 護 を 最 新 の 状 態 にしておくために、この 2つのポリシーを 常 に 適 用 することをお 勧 めします。複 数 のインスタンスがあるポリシーの 場 合 、[ 有 効 なポリシー] リンクが 表 示 され、ポリシーインスタンスの 組 み 合 わせの 詳 細 が 確 認 できます。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 [システム]、[システム ツリー] の 順 に 移 動 し、システム ツリーでグループを 選 択 します。注 意 : 単 一 システムの 場 合 は、システム ツリーでシステムのあるグループを 選 択 し、[システム] タブでシステムを 選 択 し、[その 他 のアクション]、[1 つのシステムのポリシーを 変 更 ] の 順 に 選 択 します。2 [ポリシー] で、[ 製 品 ] リストから [Host Intrusion Prevention 8.0: IPS/ 全 般 ] を 選択 して、[IPS ルール/ 信 頼 できるアプリケーション] で [ 割 り 当 てを 編 集 ] をクリックします。3 [ポリシーの 割 り 当 て] ページで、[ 新 しいポリシー インスタンス] をクリックし、 別 のポリシー インスタンスの [ 割 り 当 て 済 みのポリシー] リストからポリシーを 選 択 します。マルチインスタンス ルール セットで 有 効 なポリシーを 表 示 するには [ 有 効 なポリシーを 表 示 ] をクリックします。4 [ 保 存 ] をクリックして、すべての 変 更 を 保 存 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )87

Host Intrusion Prevention クライアントの 作 業Host Intrusion Prevention クライアントは、Windows、Solaris および Linux プラットフォームにインストールできます。インターフェースは Windows クライアントにしかありませんが、トラブルシューティング 機 能 はいずれのバージョンでも 使 用 できます。ここでは、各 クライアント バージョンの 基 本 機 能 について 説 明 します。目 次Windows クライアントの 概 要Solaris クライアントの 概 要Linux クライアントの 概 要Windows クライアントの 概 要Host Intrusion Prevention Windows クライアントのクライアント 側 での 直 接 管 理 は、クライアント コンソールで 行 うことができます。 表 示 するには、McAfee トレイ アイコンのメニューを 使 用 するか、C:\Program Files\McAfee\Host Intrusion Prevention のMcAfeeFire.exe を 実 行 します。クライアント コンソールが 最 初 に 表 示 されるときに、オプションはロックされています。 現在 の 設 定 を 表 示 するだけです。コンソールのすべての 設 定 を 操 作 するには、パスワードを 使用 してインターフェースのロックを 解 除 します。パスワードの 作 成 方 法 と 使 い 方 については、「 全 般 ポリシーの 設 定 」の「クライアント UI 詳 細 オプションとパスワードの 設 定 」を 参 照してください。システム トレイ アイコンのメニューシステム トレイに McAfee アイコンが 表 示 されている 場 合 、このアイコンから Host IPS クライアント コンソールを 起 動 できます。クライアントにインストールされている McAfeeAgent のバージョンによって、アイコンの 機 能 が 異 なります。McAfee Agent 4.0 の 場 合McAfee Agent アイコンを 右 クリックして [Host Intrusion Prevention] を 選 択 します。 表示 されたショートカット メニューからコンソールを 開 くことができます。表 8: McAfee Agent 4.0 のメニュークリックする 項 目設 定バージョン 情 報 ...操 作 ...Host Intrusion Prevention クライアント コンソールを開 きます。[バージョン 情 報 ] ダイアログ ボックスが 開 かれ、バージョン 番 号 およびその 他 の 製 品 情 報 が 表 示 されます。88McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要適 用 されたクライアント UI ポリシーで [トレイ アイコンでの 機 能 の 無 効 化 を 許 可 する] を選 択 している 場 合 には、 次 のコマンドも 使 用 できます。表 9: 無 効 化 を 許 可 している 場 合 の McAfee Agent 4.0 メニュークリックする 項 目操 作 ...設 定 の 復 元すべて 無 効 にするIPS を 無 効 にするファイアウォールを 無 効 にする無 効 になっているすべての 機 能 を 有 効 にします。 機 能 が無 効 になっている 場 合 にのみ 使 用 できます。IPS とファイアウォール 機 能 を 無 効 にします。 両 方 の 機能 が 有 効 になっている 場 合 のみ 使 用 できます。IPS 機 能 を 無 効 にします。Host IPS とネットワーク IPS機 能 の 両 方 が 対 象 になります。 機 能 が 有 効 になっている場 合 のみ 使 用 できます。ファイアウォール 機 能 を 無 効 にします。 機 能 が 有 効 になっている 場 合 のみ 使 用 できます。[スケジュール] タブで、 適 用 済 みのファイアウォール ルール ポリシーのファイアウォールグループに [McAfee トレイ アイコン メニューから 期 限 付 きグループを 有 効 にする] を 選 択している 場 合 、 次 のコマンドも 使 用 できます。表 10: 期 限 付 きグループが 有 効 な 場 合 の McAfee Agent 4.0 のメニュークリックする 項 目操 作 ...Host IPS 期 限 付 きファイアウォール グループを 有 効 にするHost IPS 期 限 付 きファイアウォール グループの 状 態 を表 示 する期 限 付 きファイアウォール グループを 有 効 にし、 所 定 の期 間 、アクセスを 制 限 するルールを 適 用 する 前 にネットワーク 以 外 のインターネット アクセスを 許 可 します。このコマンドを 選 択 するたびに、グループの 期 限 がリセットされます。期 限 付 きグループの 名 前 と 各 グループの 残 り 時 間 を 表 示します。McAfee Agent 4.5 の 場 合システム トレイの McAfee Agent アイコンを 右 クリックし、[ 機 能 の 管 理 ]、[Host IntrusionPrevention] の 順 に 選 択 してコンソールを 開 きます。注 意 : McAfee Agent と Host IPS クライアントの 両 方 で、この 機 能 のアイコン 表 示 を 設 定 する 必 要 があります。システム トレイに McAfee Agent が 表 示 されない 場 合 、クライアントでシステム トレイ アイコンの 表 示 が 設 定 されていても、クライアントでトレイ アイコンの 表示 が 設 定 されません。適 用 済 みのクライアント IP ポリシーで [Host IPS 期 限 付 きファイアウォール グループの状 態 を 表 示 する] オプションが 選 択 されいる 場 合 にのみ[クイック 設 定 ] で、Host IntrusionPrevention オプションを 選 択 できます。表 11: クリック 設 定 を 使 用 した McAfee Agent 4.5 メニュークリックする 項 目操 作 ...Host IPSネットワーク IPSファイアウォールHost IPS 保 護 の 有 効 / 無 効 を 切 り 替 えます。ネットワーク IPS 保 護 の 有 効 / 無 効 を 切 り 替 えます。ファイアウォール 保 護 の 有 効 / 無 効 を 切 り 替 えます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )89

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要[クイック 設 定 ] の [スケジュール] タブで、 適 用 済 みのファイアウォール ルール ポリシーのファイアウォール グループに [McAfee トレイ アイコン メニューから 期 限 付 きグループを 有 効 にする] オプションを 選 択 している 場 合 、 次 のコマンドも 使 用 できます。表 12: 期 限 付 きグループが 有 効 な 場 合 の McAfee Agent 4.5 のメニュークリックする 項 目操 作 ...Host IPS 期 限 付 きファイアウォール グループを 有 効 にするHost IPS 期 限 付 きファイアウォール グループの 状 態 を表 示 する期 限 付 きファイアウォール グループを 有 効 にし、 所 定 の期 間 、アクセスを 制 限 するルールを 適 用 する 前 にネットワーク 以 外 のインターネット アクセスを 許 可 します。このコマンドを 選 択 するたびに、グループの 期 限 がリセットされます。期 限 付 きグループの 名 前 と 各 グループの 残 り 時 間 を 表 示します。Windows クライアントのクライアント コンソールHost Intrusion Prevention クライアント コンソールからは、いくつかの 設 定 オプションにアクセスすることができます。コンソールを 開 くには、 次 のいずれかを 行 います。• McAfee Agent 4.0 の 場 合 には、McAfee アイコンを 右 クリックして [Host IntrusionPrevention] を 選 択 して [ 設 定 ] をクリックします。• McAfee Agent 4.5 の 場 合 には、McAfee アイコンを 右 クリックして [ 機 能 の 管 理 ]、[HostIntrusion Prevention]、[ 設 定 ] の 順 に 選 択 します。• C:\Program Files\McAfee\Host Intrusion Prevention フォルダで McAfeeFire.exe を 実行 します。コンソールでは、Host Intrusion Prevention 機 能 についての 情 報 を 設 定 および 表 示 できます。コンソールには 複 数 のタブがあり、それぞれが Host Intrusion Prevention の 特 定 の 機能 に 対 応 しています。Windows クライアント インターフェースのロックの 解 除ePolicy Orchestrator を 使 用 してリモートから Host Intrusion Prevention を 管 理 する 管理 者 は、 不 注 意 で 変 更 されないようにインターフェースをパスワードで 保 護 しておくことができます。 期 限 切 れのない 固 定 のパスワードと 一 時 的 な 期 限 付 きのパスワードを 使 用 して、管 理 者 またはユーザはインターフェースのロックを 一 時 的 に 解 除 し、 変 更 を 行 うことができます。操 作 を 始 める 前 にパスワードの 設 定 を 含 む「Host IPS 全 般 : クライアント UI」ポリシーがクライアントに 適用 されていることを 確 認 します。ポリシー 更 新 をすぐに 実 行 するか、スケジュールに 従 ってポリシー 更 新 を 行 うと、ポリシーが 適 用 されます。ポリシーの 更 新 が 実 行 されるまで、クライアントはパスワードを 認 識 しません。タスク1 Host Intrusion Prevention 管 理 者 からパスワードを 入 手 します。注 意 : パスワードの 作 成 方 法 については、「 全 般 ポリシーの 設 定 」の「クライアント UI詳 細 オプションとパスワードの 設 定 」を 参 照 してください。2 クライアント コンソールを 開 き、[タスク]、[ユーザ インターフェースのロックの 解 除 ]の 順 に 選 択 します。90McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要3 [ログイン] ダイアログ ボックスで、パスワードを 入 力 し、[OK] をクリックします。クライアント UI のオプションの 設 定Host Intrusion Prevention クライアント コンソールからは、クライアント UI ポリシーによって 提 供 されるいくつかの 設 定 にアクセスすることができ、クライアントごとにそれらの設 定 をカスタマイズすることができます。操 作 を 始 める 前 に次 のタスクを 実 行 する 前 に、パスワードを 入 力 してクライアント コンソールのロックを 解 除する 必 要 があります。タスク1 クライアント コンソールで [タスク]、[ユーザ インターフェース 言 語 を 設 定 ] の 順 に選 択 します。2 クライアント コンソール インターフェースの 言 語 を 選 択 して [OK] をクリックします。中 国 語 、 英 語 、フランス 語 、ドイツ 語 、イタリア 語 、 日 本 語 、 韓 国 語 、ポルトガル 語 、ロシア 語 、スペイン 語 が 選 択 できます。[ 自 動 ] を 選 択 すると、クライアントがインストールされているオペレーティング システムの 言 語 でインターフェースが 表 示 されます。3 [ 編 集 ]、[オプション] の 順 に 選 択 します。4 [Host Intrusion Prevention オプション] ダイアログ ボックスで、 必 要 に 応 じてオプションを 選 択 および 選 択 解 除 し、[OK] をクリックします。表 13: クライアント コンソール オプション選 択 ...結 果 ...ポップアップ アラートを 表 示 する音 を 鳴 らすシステム トレイに 通 知 を 表 示利 用 可 能 な 場 合 にスニファ キャプチャを 作 成 するトレイ アイコンを 表 示 する攻 撃 が 発 生 すると、アラートが 表 示 されます (IPS のみ)。攻 撃 が 発 生 したときに 音 を 鳴 らします (IPS のみ)。攻 撃 が 発 生 すると、システム トレイ アイコンに 攻 撃のステータスが 表 示 されます (IPS のみ)。スニッファ 侵 入 データが 取 得 されたことを 示 すキャプチャ 列 がアクティビティ ログに 追 加 されます。この情 報 は FirePacketX.cap ファイル (C:\ProgramData\McAfee\Host Intrusion Prevention\McAfee FireSaved Events または C:\Documents and Settings\AllUsers\Application Data\McAfee\Host IntrusionPrevention\McAfee Fire Saved Events) に 保 存 されます (IPS のみ)。McAfee Agent システム トレイ アイコンのメニューに [Host Intrusion Prevention] が 表 示 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )91

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要Windows クライアントのトラブルシューティングHost Intrusion Prevention には、[ヘルプ] メニューにトラブルシューティング 機 能 があります。この 機 能 は、インターフェースのロックが 解 除 されている 場 合 に 利 用 できます。 使 用できるオプションは 次 のとおりです。表 14: トラブルシューティング オプションオプション定 義ロギング:ファイアウォールロギング:IPS *セキュリティ 違 反 をログに 記 録 する*[アプリケーションの 追 加 と 削 除 ] に 製 品 を 表 示 する機 能 *ログに 記 録 するファイアウォール メッセージの 種 類 を 決めます。ログに 記 録 する IPS メッセージの 種 類 を 決 めます。IPS セキュリティ 違 反 を IPS ログに 記 録 します。Host IPS が [アプリケーションの 追 加 と 削 除 ] に 表 示 され、クライアントから 削 除 可 能 かどうかを 設 定 します。トラブルシューティングの 目 的 で Host IPS クラス エンジンを 無 効 または 有 効 にします。* このオプションは、IPS 保 護 でのみ 使 用 できます。注 意 : McAfee では、クライアント コンピュータへの Host Intrusion Prevention の 配 備 に他 社 製 のソフトウェアを 使 用 している 場 合 、 自 動 アップグレードやその 他 のメンテナンス タスクを 支 援 するためのユーティリティ (ClientControl.exe) を 提 供 しています。このコマンドライン ユーティリティをインストール スクリプトとメンテナンス スクリプトに 追 加 すると、IPS 保 護 を 一 時 的 に 無 効 にし、ロギング 機 能 を 有 効 にすることができます。このユーティリティはクライアントの C:\ Program Files\McAfee\Host Intrusion Prevention に 存 在 します。 詳 細 については、「 付 録 B - トラブルシューティング」の「Clientcontrol.exe ユーティリティ」を 参 照 してください。IPS ロギング オプションの 設 定トラブルシューティングの 一 部 として、システム 上 で 分 析 したり、McAfee のサポートに 送 信して 問 題 の 解 決 に 役 立 てることができる IPS のアクティビティ ログを 作 成 できます。IPSロギングを 有 効 にするには、このタスクを 実 行 します。タスク1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の 順 に 選 択 します。2 IPS メッセージの 種 類 を 選 択 します。• デバッグ• 無 効• エラー• 情 報• 警 告メッセージの 種 類 が「 無 効 」に 設 定 されていると、メッセージはログに 記 録 されません。3 [OK] をクリックします。 情 報 が HipShield.log (C:\Documents and Settings\AllUsers\Application Data\McAfee\Host Intrusion Prevention) に 記 録 されます。WindowsVista 以 降 の 場 合 には、C:\Program Data\McAfee\Host Intrusion Prevention\ のログファイルに 書 き 込 まれます。92McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要ファイアウォール ロギング オプションの 設 定トラブルシューティングの 一 部 として、システム 上 で 分 析 したり、McAfee のサポートに 送 信して 問 題 の 解 決 に 役 立 てることができる、ファイアウォールのアクティビティ ログを 作 成 できます。ファイアウォール ロギングを 有 効 にするには、このタスクを 実 行 します。タスク1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の 順 に 選 択 します。2 ファイアウォール メッセージの 種 類 を 選 択 します。• デバッグ• 無 効• エラー• 情 報• 警 告メッセージの 種 類 が「 無 効 」に 設 定 されていると、メッセージはログに 記 録 されません。3 [OK] をクリックします。 情 報 が FireSvc.log (C:\Documents and Settings\AllUsers\Application Data\McAfee\Host Intrusion Prevention) に 記 録 されます。WindowsVista 以 降 の 場 合 には、C:\Program Data\McAfee\Host Intrusion Prevention\ のログファイルに 書 き 込 まれます。ファイル サイズが 100 MB に 達 すると、 新 しいファイルが作 成 されます。Host IPS エンジンの 無 効 化トラブルシューティング 作 業 で、クライアントを 保 護 するクラス エンジンを 無 効 にできます。McAfee では、McAfee サポートと 連 絡 を 取 っている 管 理 者 だけがこの 操 作 を 行 うことをお 勧 めします。クラス 保 護 の 詳 細 については、「カスタム シグネチャの 作 成 」を 参 照 してください。タスクオプションの 定 義 については、インターフェースの ? をクリックしてください。1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の 順 に 選 択 し、[ 機 能 ]をクリックします。2 HIPS エンジンのダイアログボックスで、1 つ 以 上 のエンジンの 選 択 を 解 除 します。すべての 項 目 を 無 効 にするには、[すべてのエンジンンを 有 効 // 無 効 にする] の 選 択 を 解 除 します。注 意 : クライアントがサーバのオペレーティング システムを 実 行 している 場 合 のみ、リストに SQL と HTTP が 表 示 されます。3 [OK] をクリックします。4 問 題 が 解 決 されたら、HIPS エンジンのダイアログ ボックスで、 選 択 解 除 したエンジンをすべて 選 択 します。Windows クライアント アラートユーザは、 数 種 類 のアラートに 遭 遇 する 可 能 性 があり、アラートに 対 応 する 必 要 があります。アラートには、 侵 入 検 知 、ファイアウォール、スプーフィングの 検 出 アラートなどがあります。ファイアウォール アラートは、クライアントがこれらの 機 能 について 学 習 モードになっている 場 合 のみ 表 示 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )93

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要侵 入 アラートへの 対 応IPS 保 護 と [ポップアップ アラートを 表 示 する] オプションを 有 効 にしている 場 合 、HostIntrusion Prevention が 潜 在 的 な 攻 撃 を 検 出 すると、このアラートが 自 動 的 に 表 示 されます。クライアントが 適 応 モードの 場 合 、このアラートは、[クライアント ルールの 許 可 ] オプションが、イベント 発 生 の 原 因 となったシグネチャに 対 して 無 効 にされている 場 合 のみ 表示 されます。[ 侵 入 情 報 ] タブには、 攻 撃 についての 説 明 、 攻 撃 が 発 生 したユーザ/クライアントのコンピュータ、 攻 撃 に 関 連 するプロセス、Host Intrusion Prevention によって 攻 撃 が 阻 止 された 日 付 と 時 刻 を 含 めて、アラートを 生 成 した 攻 撃 に 関 する 詳 細 が 表 示 されます。また、 管 理者 指 定 の 全 般 的 なメッセージも 表 示 されます。[ 無 視 ] をクリックすると、イベントを 無 視 でき、[ 例 外 の 作 成 ] をクリックすると、イベントに 対 する 例 外 ルールを 作 成 できます。[ 例 外 の 作 成 ] ボタンは、[クライアント ルールの 許可 ] オプションが、イベント 発 生 の 原 因 となったシグネチャに 対 して 有 効 にされている 場 合のみアクティブになります。アラートがホスト IP シグネチャの 結 果 である 場 合 、[ 例 外 ルール] ダイアログ ボックスには、プロセス、ユーザ、およびシグネチャが 事 前 入 力 されています。[すべてのシグネチャ]または [すべてのプロセス] を 選 択 できますが、 両 方 は 選 択 できません。 例 外 には 常 にユーザ 名 が 含 まれます。アラートがネットワーク IPS シグネチャの 結 果 である 場 合 、[ 例 外 ルール] ダイアログ ボックスには、シグネチャ 名 およびホスト IP アドレスが 事 前 入 力 されています。オプションとして、[すべてのホスト] を 選 択 することもできます。また、[ 管 理 者 に 通 知 ] をクリックして、イベントに 関 する 情 報 を Host Intrusion Prevention管 理 者 に 送 信 できます。このボタンは、 適 用 したクライアント UI ポリシーで、[ 管 理 者 に 通知 することをユーザに 許 可 する] オプションが 有 効 になっている 場 合 のみアクティブになります。[IPS イベントのアラートは 表 示 しない] を 選 択 すると、IPS イベントのアラートは 表 示 されません。このオプションを 選 択 した 後 、アラートを 再 表 示 するには、[オプション] ダイアログ ボックスで、[ポップアップ アラートを 表 示 する] を 選 択 します。注 意 : ファイアウォール ルールが、[ルールに 一 致 する 場 合 は 侵 入 として 扱 う] オプションが 選 択 されているものと 一 致 すると、この 侵 入 アラートはファイアウォールの 侵 入 にも 表 示されます。ファイアウォール アラートへの 対 応ファイアウォール 保 護 と 学 習 モードを 受 信 トラフィックまたは 送 信 トラフィックのいずれかで 有 効 にしている 場 合 、ファイアウォール アラートが 表 示 されます。ユーザはアラートに 対応 する 必 要 があります。[アプリケーション 情 報 ] セクションには、アプリケーション 名 、パス、バージョンなどを 含めて、ネットワークにアクセスしようとしているアプリケーションの 情 報 が 表 示 されます。[ 接 続 情 報 ] セクションには、トラフィック プロトコル、アドレス、およびポートに 関 する情 報 が 表 示 されます。注 意 : アプリケーションにプロトコルまたはポートの 補 足 情 報 がある 場 合 、[ 接 続 情 報 ] セクションで [ 前 へ] ボタンと [ 次 へ] ボタンが 使 用 できます。 複 数 のアラートが 送 信 されている 場 合 には、ダイアログ ボックスの 下 に [ 前 へ] ボタンと [ 次 へ] ボタンが 表 示 されます。タスク1 アラートのダイアログボックスで、 次 のいずれかを 実 行 します。94McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要• このトラフィックおよび 類 似 のトラフィックをすべてブロックするには、[ 拒 否 ] をクリックします。• このトラフィックおよび 類 似 のトラフィックをすべて 許 可 するには、[ 許 可 ] をクリックします。2 オプション: 新 しいファイアウォール ルールのオプションを 選 択 します。選 択 ...すべてのポートおよびサービスにファイアウォールアプリケーション ルールを 作 成 するアプリケーションの 終 了 時 にこのルールを 削 除 する操 作 ...任 意 のポートまたはサービスにアプリケーションのトラフィックを 許 可 またはブロックするルールを 作 成 します。このオプションを 選 択 しない 場 合 、 新 しいファイアウォール ルールでは 特 定 のポートしか 許 可 またはブロックされません。• 阻 止 されたトラフィックが 1024 未 満 のポートを使 用 する 場 合 、 新 しいルールでは、この 特 定 のポートのみを 許 可 またはブロックします。• トラフィックが、1024 以 上 のポートを 使 用 する 場合 、 新 しいポートは 1024 から 65535 の 範 囲 のポートを 許 可 またはブロックします。アプリケーションを 閉 じると 削 除 される、 一 時 的 に 許可 またはブロックするルールを 作 成 します。このオプションを 選 択 しない 場 合 、 新 しいファイアウォールルールは 恒 常 的 なクライアント ルールとして 作 成 されます。Host Intrusion Prevention は、 選 択 されたオプションに 基 づいて 新 しいファイアウォールを 作 成 し、ファイアウォール ルール ポリシー リストに 追 加 して、 類 似 トラフィックを 自 動 的 に 許 可 またはブロックします。スプーフィング 検 出 アラートへの 対 応ファイアウォール 保 護 を 有 効 にした 場 合 、Host Intrusion Prevention がコンピュータ 上 で偽 装 されたネットワーク トラフィックを 送 信 するアプリケーションを 検 出 すると、スプーフィング アラートが 自 動 的 に 表 示 されます。ユーザはこのアラートに 対 応 する 必 要 はありません。これは、 使 用 中 のコンピュータからのトラフィックが、 異 なるコンピュータから 実 際 に 到 着しているように、そのアプリケーションが 見 せかけようとしていることを 意 味 します。これは、 送 信 パケット 内 の IP アドレスを 変 更 することによって 行 われます。スプーフィングは疑 わしい 動 作 です。このダイアログ ボックスが 表 示 された 場 合 、 偽 装 されたトラフィックを送 信 しているアプリケーションを 直 ちに 調 査 してください。注 意 : [スプーフィング 検 出 アラート] ダイアログ ボックスは、[ポップアップ アラートを表 示 する] オプションを 選 択 している 場 合 のみ 表 示 されます。このオプションを 選 択 していない 場 合 、 偽 造 されたトラフィックは Host Intrusion Prevention によって 自 動 的 にブロックされますが、ユーザへの 通 知 は 行 われません。[スプーフィング 検 出 アラート] ダイアログ ボックスは、ファイアウォール 機 能 の 学 習 モードのアラートとよく 似 ています。[アプリケーション 情 報 ] と [ 接 続 情 報 ] の 2 つの 領 域 に、阻 止 したトラフィックに 関 する 情 報 が 表 示 されます。[アプリケーション 情 報 ] セクションには 次 の 情 報 が 表 示 されます。• トラフィックの 送 信 元 として 偽 装 された IP アドレス• 偽 装 されたトラフィックを 生 成 したプログラムの 情 報• Host Intrusion Prevention によってトラフィックが 阻 止 された 日 付 と 時 刻McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )95

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要[ 接 続 情 報 ] セクションには、さらに 詳 しいネットワーク 情 報 が 表 示 されます。 特 に、[ローカル アドレス] にはアプリケーションが 偽 装 している IP アドレスが 表 示 され、[リモートアドレス] には 実 際 の IP アドレスが 表 示 されます。Host Intrusion Prevention は、 偽 装 されたネットワーク トラフィックを 検 出 すると、トラフィックとそれを 生 成 したアプリケーションの 両 方 をブロックします。[IPS ポリシー] タブについて[IPS ポリシー] タブを 使 用 して、シグネチャと 動 作 ルールに 基 づいて 侵 入 攻 撃 からホストを保 護 する IPS 機 能 を 設 定 できます。このタブからは、 機 能 を 有 効 または 無 効 にして、クライアント 例 外 ルールを 設 定 することができます。IPS ポリシーの 詳 細 については、「IPS ポリシーの 設 定 」を 参 照 してください。[IPS ポリシー] タブには、クライアントに 関 連 する 例 外 ルールが 表 示 され、 各 ルールのサマリと 詳 細 な 情 報 が 示 されます。表 15: [IPS ポリシー] タブ列 名表 示 される 内 容例 外シグネチャアプリケーション例 外 の 名 前 。それに 対 して 例 外 が 作 成 されるシグネチャの 名 前 。このルールが 適 用 されるアプリケーションの 名 前 (プログラムの 名 前 や 実 行 可 能 ファイルの 名 前 を 含 む)。IPS ポリシー オプションのカスタマイズタブの 最 上 部 にあるオプションを 使 用 すると、クライアントのインターフェースのロックが解 除 された 後 は、サーバ 側 の IPS ポリシーによって 提 供 される 設 定 を 制 御 できます。タスク1 Host IPS クライアント コンソールで、[IPS ポリシー] タブをクリックします。2 必 要 に 応 じて、オプションを 選 択 および 選 択 解 除 します。選 択 ...Host IPS を 有 効 にするネットワーク IPS を 有 効 にする適 応 モードを 有 効 にする攻 撃 者 を 自 動 的 にブロックする操 作 ...ホスト 侵 入 防 止 保 護 を 有 効 にします。ネットワーク 侵 入 防 止 保 護 を 有 効 にします。適 応 モードを 有 効 にして、 侵 入 防 止 シグネチャに 対 する 例 外 を 自 動 的 に 作 成 します。設 定 された 期 間 の 間 、ネットワークへの 侵 入 攻 撃 を 自動 的 にブロックします。[ 分 ] フィールドに 分 数 を 指定 します。IPS ポリシー 例 外 ルールの 作 成 と 編 集クライアントの [IPS ポリシー] タブで、IPS 例 外 ルールの 表 示 、 作 成 、 編 集 を 行 います。タスク1 [IPS ポリシー] タブで、[ 追 加 ] をクリックしてルールを 追 加 します。2 [ 例 外 ルール] ダイアログ ボックスで、ルールの 説 明 を 入 力 します。96McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要3 アプリケーション リストから、ルールが 適 用 されるアプリケーションを 選 択 するか、[ 参照 ] をクリックしてアプリケーションを 見 つけます。4 [ 例 外 ルールをアクティブにする] チェック ボックスをオンにしてルールをアクティブにします。デフォルトでは 有 効 ではなく、 選 択 されていない [すべてのシグネチャに 例外 を 適 用 する] を 使 用 すると、すべてのシグネチャに 例 外 が 適 用 されます。5 [OK] をクリックします。6 他 の 編 集 操 作 については、 次 のいずれかを 実 行 してください。操 作 ...ルールの 詳 細 表 示 またはルールの 編 集手 順 ...ルールをダブルクリックするか、ルールを 選 択 して[プロパティ] をクリックします。[ 例 外 ルール] ダイアログ ボックスが 表 示 され、 編 集 可 能 なルールの 情報 が 表 示 されます。ルールをアクティブまたはアクティブでない 状 態 に 設定[ 例 外 ルール] ダイアログ ボックスで、[ 例 外 ルールをアクティブにする] チェックボックスをオンまたはオフにします。リスト 内 で、ルール アイコンの 横 にあるチェック ボックスをオンまたはオフにすることもできます。ルールの 削 除変 更 の 即 時 適 用ルールを 選 択 し、[ 削 除 ] をクリックします。[ 適 用 ] をクリックします。 変 更 後 にこのボタンをクリックしないと、ダイアログ ボックスが 開 き、 変 更を 保 存 するように 指 示 されます。[ファイアウォール ポリシー] タブについて[ファイアウォール ポリシー] タブを 使 用 して、ユーザが 定 義 するルールに 基 づいてネットワーク 通 信 を 許 可 またはブロックするファイアウォール 機 能 を 設 定 します。このタブからは、機 能 を 有 効 または 無 効 にして、クライアント ファイアウォール ルールを 設 定 することができます。ファイアウォール ポリシーの 詳 細 については、「ファイアウォール ポリシーの 設定 」を 参 照 してください。ファイアウォール ルール リストには、クライアントに 関 連 するルールとルール グループが表 示 され、 各 ルールのサマリと 詳 細 な 情 報 が 示 されます。イタリック 体 で 表 示 されているルールは 編 集 できません。表 16: [ファイアウォール ポリシー] タブ項 目説 明チェックボックスファイアウォール グループ期 限 付 きグループ場 所 別 グループファイアウォール ルールルールが 有 効 ( 選 択 ) か 無 効 ( 選 択 解 除 ) かを 示 します。イタリック 体 で 表 示 されていないルールの 場 合 、チェックボックスを 使 用 してルールを 有 効 または 無 効 にできます。グループに 含 まれているルールのリストを 表 示 します。ルールを 表 示 するにはプラスのボックスをクリックします。ルールを 隠 すには、マイナスのボックスをクリックします。期 限 付 きグループかどうかを 表 します。場 所 別 グループかどうかを 表 します。ルールの 基 本 プロパティを 表 示 します。プロパティを 表示 するにはプラスのボックスをクリックします。プロパティを 隠 すには、マイナスのボックスをクリックします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )97

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要項 目ルール アクション説 明ルールによってトラフィックが 許 可 されるのか、ブロックされるのかを 示 します。ルールの 方 向ルールの 適 用 対 象 が 受 信 トラフィック、 送 信 トラフィック、または 両 方かを 示 します。ファイアウォール ポリシー オプションのカスタマイズタブの 最 上 部 にあるオプションを 使 用 すると、クライアントのインターフェースのロックが解 除 された 後 は、サーバ 側 のファイアウォール ポリシーによって 提 供 される 設 定 を 制 御 できます。タスク1 Host IPS クライアント コンソールで、[ファイアウォール ポリシー] タブをクリックします。2 必 要 に 応 じて、オプションを 選 択 および 選 択 解 除 します。操 作 ...ファイアウォール ポリシーによる 保 護 を 有 効 にする受 信 トラフィックに 学 習 モードを 有 効 にする送 信 トラフィックに 学 習 モードを 有 効 にする適 応 モードを 有 効 にする信 頼 できるネットワークを 表 示 する選 択 ...ファイアウォールを 有 効 にする学 習 モード 受 信 有 効学 習 モード 送 信 有 効適 応 モード信 頼 できるネットワークファイアウォール ルールの 作 成 と 編 集クライアントの [ファイアウォール ポリシー] で、ファイアウォール ルールの 表 示 、 作 成または 編 集 します。タスク1 [ファイアウォール ポリシー] タブで、[ 追 加 ] をクリックしてルールを 追 加 します。注 意 : クライアント コンソールで 作 成 できるのはルールだけです。グループは 作 成 できません。2 [ 全 般 ] ページでルール 名 を 入 力 し、ルール アクションと 方 向 の 情 報 を 選 択 します。3 [ 次 へ] をクリックして 別 のページに 移 動 し、デフォルトの 設 定 を 変 更 します。注 意 : ルール ビルダの 各 ページは、ファイアウォール ルール ポリシーのファイアウォール ルール ビルダに 対 応 するタブがありません。目 的 の 操 作 ...全 般ネットワーク入 力 する 情 報 ...ルールの 名 前 、ステータス、アクション、 方 向 。このルールが 適 用 される IP アドレス、サブネット、ドメインまたは 他 の特 定 の 識 別 子 。98McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要目 的 の 操 作 ...トランスポートアプリケーションスケジュール入 力 する 情 報 ...このルールが 適 用 されるプロトコル、ローカルまたはリモート アドレス。個 別 のアドレスを 定 義 することも、アドレスの 範 囲 、 特 定 のアドレス リストを 定 義 し、これらのアドレスにアクセスできます。このルールが 適 用 されるアプリケーションの 名 前 ( 実 行 ファイルの 名 前 を含 む)。ルールのスケジュール ( 存 在 する 場 合 )4 [ 終 了 ] をクリックして、 新 しいルールを 保 存 します。5 他 の 編 集 操 作 については、 次 のいずれかを 実 行 してください。操 作 ...ルールの 詳 細 表 示 またはルールの 編 集ルールをアクティブまたはアクティブでない 状 態 に 設 定既 存 ルールのコピーの 作 成ルールの 削 除変 更 の 即 時 適 用手 順 ...ルールを 選 択 し、[プロパティ] をクリックします。ファイアウォール ルールビルダのダイアログボックスが 開 き、ルールに 関 する 情 報 が 表 示 されます。この 機 能 がイタリック 体 で 表 示 されていなければ、 編 集 できます。ファイアウォール ルールの [ 全 般 ] ページで「 有 効 」の 横 にあるチェックボックスを 選 択 または 選 択 をクリアします。リスト 内 で、ルールの 横 にあるチェック ボックスをオンまたはオフにすることもできます。ルールを 選 択 します。 有 効 なデフォルト ルールを 設 定 し、[ 複 製 ] をクリックします。ルールを 選 択 し、[ 削 除 ] をクリックします。[ 適 用 ] をクリックします。 変 更 後 にこのボタンをクリックしないと、ダイアログ ボックスが 開 き、 変 更 を 保 存 するように 指 示 されます。[ブロックされたホスト] タブについて[ブロックされたホスト] タブを 使 用 して、ネットワーク IPS (NIPS) による 保 護 が 有 効 にされると 自 動 的 に 作 成 される、ブロックされたホスト (IP アドレス) のリストを 監 視 します。ePolicy Orchestrator コンソールの IPS オプション ポリシーで、[クライアント ルールを作 成 する] が 選 択 されている 場 合 は、ブロックされたホストのリストへの 追 加 と 編 集 が 可 能です。ブロックされたホストのリストには、Host Intrusion Prevention によって 現 在 ブロックされているすべてのホストが 表 示 されます。 各 行 が 1 つのホストを 表 しています。 各 列 の 情 報を 読 むと、 個 々のホストについてさらに 詳 細 な 情 報 を 入 手 できます。表 17: [ブロックされたホスト] タブ列表 示 される 内 容ソースブロックされた 理 由Host Intrusion Prevention によってブロックされている IP アドレス。このアドレスが Host Intrusion Prevention によってブロックされている 理 由 の 説 明 。システムに 攻 撃 を 試 みたことが 理 由 で、このアドレスがリストに 追 加 された 場 合 は、この 列 に 攻 撃 の 種 類 が示 されます。ファイアウォール ルールの 1 つが、[ルールに 一 致 する 場 合 は 侵 入 として 扱 う] オプションを 使用 しているためにこのアドレスが 追 加 された 場 合 、この 列 には、 関 連 するファイアウォール ルールの 名 前 が示 されます。このアドレスをユーザが 手 動 で 追 加 した場 合 、この 列 にはユーザがブロックした IP アドレスだけが 示 されます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )99

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要列時 間残 り 時 間表 示 される 内 容ブロックされたアドレスのリストに、このアドレスを 追加 した 日 付 と 時 刻 。Host Intrusion Prevention でこのアドレスのブロックを 続 ける 時 間 。アドレスをブロックしたときに 有 効 期 限 を 指 定 した 場合 、この 列 には、Host Intrusion Prevention によってリストからアドレスが 削 除 されるまでの 残 り 時 間( 分 ) が 表 示 されます。リストから 手 動 で 削 除 するまでこのアドレスをブロックすることを 指 定 した 場 合 、この 列 には [ 削 除 されるまで] と 表 示 されます。[ブロックされたホスト] リストの 編 集ブロックされたアドレスのリストを 編 集 し、ブロックされるホストの 追 加 、 削 除 または 変 更を 行 います。タスク1 [ 追 加 ] をクリックしてホストを 追 加 します。2 [ブロックされたホスト] ダイアログ ボックスで、ブロックする IP アドレスを 入 力 します。ドメイン 名 で IPS アドレスを 検 索 するには、[DNS 参 照 ] をクリックします。ホスト 名 が 見 つかった 場 合 には、[ 使 用 ] をクリックします。3 IP アドレスをブロックする 分 数 ( 最 大 60 分 まで) を 入 力 します。4 [OK] をクリックします。注 意 : ブロックされたアドレスを 作 成 すると、Host Intrusion Prevention によって、[アプリケーション 保 護 ] タブのリストに 新 しいエントリが 追 加 されます。ブロックされたアドレスのリストからその IP アドレスを 削 除 するか、 設 定 した 時 間 が 経 過 するまで、その IP アドレスから 試 みられるすべての 通 信 がブロックされます。5 他 の 編 集 操 作 については、 次 のいずれかを 実 行 してください。操 作 ...手 順 ...ブロックされたホストの 詳 細 表 示 またはブロックされたホストの 編 集ホストの 項 目 をダブルクリックするか、ホストを 選 択して [プロパティ] をクリックします。[ブロックされたホスト] ダイアログ ボックスに 編 集 可 能 な 情 報が 表 示 されます。ブロックされたホストの 削 除変 更 の 即 時 適 用ホストを 選 択 し、[ 削 除 ] をクリックします。[ 適 用 ] をクリックします。 変 更 後 にこのボタンをクリックしないと、ダイアログ ボックスが 開 き、 変 更を 保 存 するように 指 示 されます。[アプリケーション 保 護 リスト] タブについて[アプリケーション 保 護 リスト] タブには、クライアントで 保 護 されているアプリケーションのリストが 表 示 されます。これは、 管 理 ポリシーおよびヒューリスティックに 作 成 した 特 定クライアントのためのアプリケーション リストからデータが 格 納 される 表 示 専 用 のリストです。100McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Windows クライアントの 概 要このリストには、クライアントにある 監 視 されているすべてのプロセスが 表 示 されます。表 18: [アプリケーション 保 護 ] タブ列表 示 される 内 容プロセスPIDアプリケーションの 完 全 なパスアプリケーション プロセス。プロセス ID。プロセスのキャッシュ 参 照 用 のキーです。アプリケーション 実 行 ファイルの 完 全 なパス 名 。[アクティビティ ログ] タブについて[アクティビティ ログ] タブを 使 用 して、ロギング 機 能 を 設 定 し、Host Intrusion Preventionのアクションを 追 跡 します。アクティビティ ログには、 動 作 の 継 続 的 なログが 含 まれています。 最 新 の 動 作 がリストの 最下 部 に 表 示 されます。列時 間イベントIP アドレス/ユーザ侵 入 データアプリケーションメッセージ一 致 したルール表 示 される 内 容Host Intrusion Prevention のアクションの 日 付 と 時 刻 。アクションを 実 行 した 機 能 。• [トラフィック] はファイアウォールのアクションを 示 しています。• [アプリケーション] はアプリケーション ブロックのアクションを 示しています。• [ 侵 入 ] は IPS のアクションを 示 しています。• [システム] は、ソフトウェアの 内 部 コンポーネントに 関 連 するイベントを 示 しています。• [サービス] は、ソフトウェアのサービスまたはドライバに 関 連 するイベントを 示 しています。この 通 信 の 送 信 先 、または 発 信 元 のリモート アドレス。Host Intrusion Prevention で、この 攻 撃 に 関 連 するパケット データが保 存 されたことを 示 すアイコン (IPS ログ 項 目 にのみ 表 示 されます)。このログ 項 目 に 関 連 付 けられているパケット データをエクスポートできます。ログ 項 目 を 右 クリックし、Sniffer ファイルにデータを 保 存 します。注 意 : この 列 は、[McAfee オプション] ダイアログ ボックスで [SnifferCapture の 作 成 ...] オプションを 選 択 した 場 合 のみ 表 示 されます。アクションの 原 因 となったアプリケーション。アクションの 説 明 。 可 能 な 限 りの 詳 細 が 示 されます。一 致 したルールの 名 前注 意 : この 列 は 画 面 の 右 側 にあります。この 列 とコンテンツを 表 示 するには、スクロールするか、 列 のサイズを 変 更 する 必 要 があります。アクティビティ ログ オプションのカスタマイズタブの 最 上 部 にあるオプションを 使 用 すると、クライアントのインターフェースのロックが解 除 された 後 は、サーバ 側 のクライアント UI ポリシーによって 提 供 されるロギング 設 定 を制 御 できます。タスク1 Host IPS クライアント コンソールで、[アクティビティ ログ] タブをクリックします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )101

Host Intrusion Prevention クライアントの 作 業Solaris クライアントの 概 要2 必 要 に 応 じて、オプションを 選 択 および 選 択 解 除 します。選 択 ...トラフィック ロギング - ブロックされたものをすべてログに 記 録 するトラフィック ロギング - 許 可 されたものをすべてログに 記 録 するフィルタ オプション - トラフィックフィルタ オプション - 侵 入操 作 ...ブロックされたファイアウォール トラフィックをすべてログに 記 録 します。許 可 されたファイアウォール トラフィックをすべてログに 記 録 します。データにフィルタを 適 用 し、ブロックされたファイアウォール トラフィックや 許 可 されたファイアウォール トラフィックを 表 示 します。データにフィルタを 適 用 し、 侵 入 を 表 示 します。注 意 : ファイアウォール トラフィックのロギングは 有 効 または 無 効 にすることが 可 能 ですが、IPS 機 能 のロギングは 有 効 と 無 効 を 切 り 替 えられません。ただし、これらのイベントをフィルタで 除 外 し、ログで 非 表 示 にすることはできます。3 以 下 の 操 作 を 実 行 して 表 示 を 変 更 します。操 作 ...表 示 を 更 新ログの 内 容 を 完 全 に 削 除 する手 順 ...[ 更 新 ] をクリックします。[クリア] をクリックします。ログの 内 容 を 保 存 してタブからリストを 削 除 する[エクスポート] をクリックします。 表 示 されたダイアログ ボックスで、.txt ファイルに 名 前 を 付 けて 保 存 します。変 更 の 即 時 適 用[ 適 用 ] をクリックします。 変 更 後 にこのボタンをクリックしないと、ダイアログ ボックスが 開 き、 変 更 を 保 存 するように 指 示 されます。Solaris クライアントの 概 要Host Intrusion Prevention Solaris クライアントは、Solaris サーバのファイルやアプリケーションに 対 する 侵 入 の 危 険 性 を 特 定 して 防 止 します。サーバのオペレーティング システム、Apache Web サーバ、および Sun Web サーバを、 特 にバッファ オーバフロー 攻 撃 から 保護 します。Solaris クライアントでのポリシーの 実 施Windows クライアントを 保 護 するポリシーのすべてを、Solaris クライアントで 使 用 できるわけではありません。Host Intrusion Prevention は、 危 険 な 攻 撃 からホスト サーバを 保 護しますが、ファイアウォールは 提 供 しません。 有 効 なポリシーは 次 のとおりです。表 19: Solaris クライアントのポリシーポリシー使 用 可 能 なオプションHost Intrusion Prevention 8.0 IPSIPS オプションIPS 保 護• HIPS を 有 効 にする• 適 応 モードを 有 効 にする• 既 存 のクライアント ルールを 保 持 するすべて102McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Solaris クライアントの 概 要ポリシー使 用 可 能 なオプションIPS ルール • 例 外 ルール• シグネチャ (デフォルトとカスタム HIPS ルールのみ)注 意 : NIPS シグネチャとアプリケーション 保 護 ルールは使 用 できません。Host Intrusion Prevention 8.0 全 般クライアント UI信 頼 できるネットワーク信 頼 できるアプリケーションHost Intrusion Prevention 8.0 ファイアウォールトラブルシューティング ツールで 使 用 する 管 理 者 パスワードまたは 期 限 付 きパスワードのみ。なし信 頼 できるアプリケーションを 追 加 するための [IPS で信 頼 できると 設 定 ] および [ 新 しいプロセス 名 ] のみ。なしSolaris クライアントのトラブルシューティングクライアントのインストール 時 やアンインストール 時 に 問 題 が 発 生 した 場 合 、 調 査 する 点 がいくつかあります。すべての 必 要 なファイルが 正 しいディレクトリにインストールされたかどうかの 確 認 、クライアントのアンインストールと 再 インストール、プロセス ログの 確 認 などです。また、クライアントの 操 作 で 問 題 が 見 つかる 場 合 もあります。このような 場 合 には、クライアントが 実 行 されているかどうかを 確 認 し、クライアントをいったん 停 止 して 再 起 動します。Solaris クライアントには、 操 作 上 の 問 題 のトラブルシューティングを 行 うユーザ インターフェースがありません。コマンド ラインのトラブルシューティング ツール hipts が 提 供 されており、/opt/McAfee/hip ディレクトリ 内 にあります。このツールを 使 用 するには、HostIntrusion Prevention クライアント パスワードを 入 力 する 必 要 があります。クライアントに 付 属 しているデフォルトのパスワード (abcde12345) を 使 用 するか、クライアント UI ポリシーに 管 理 者 パスワードまたは 時 間 ベースのパスワードのいずれかを 設 定 してクライアントに 送 信 し、このパスワードを 使 用 します。トラブルシューティング ツールは、 次 のことに 使 用 します。• クライアントのロギングの 設 定 とエンジン ステータスを 指 定 します。• メッセージのロギングのオン/オフを 切 り 替 えます。• エンジンのオン/オフを 切 り 替 えます。root としてログオンし、 次 のコマンドを 実 行 すると、トラブルシューティングに 役 立 ちます。操 作 ...クライアントの 現 在 のステータスを 取 得 し、 有 効 なロギングの 種 類 と 実 行 中 のエンジンを 確 認 します。特 定 のメッセージの 種 類 に 対 してロギングをオンにします。実 行 ...hipts statushipts logging onすべてのメッセージの 種 類 に 対 してロギングをオフにします。デフォルトでは、ロギングがオフにされています。hipts logging offロギングがオンに 設 定 されている 場 合 に、 指 定 したメッセージの 種 類 を 表 示 します。 次 のようなメッセージがあります。• エラーhipts message :onMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )103

Host Intrusion Prevention クライアントの 作 業Solaris クライアントの 概 要操 作 ...• 警 告• デバッグ• 情 報• 違 反実 行 ...ログ 記 録 がオンに 設 定 されている 場 合 に、 指 定 したメッセージの 種 類 を 非 表 示 にします。デフォルトではメッセージ エラーがオフにされています。hipts message :offロギングがオンに 設 定 されている 場 合 に、すべてのメッセージの 種 類 を 表 示 します。ロギングがオンに 設 定 されている 場 合 に、すべてのメッセージの 種 類 を 非 表 示 にします。指 定 したエンジンをオンにします。デフォルトではエンジンがオンにされています。 次 のようなエンジンがあります。• MISC• FILES• GUID• MMAP• BO• HTTP指 定 したエンジンをオフにします。すべてのエンジンをオンにします。すべてのエンジンをオフにします。hipts message all:onhipts message all:offhipts engines :onhipts engines :offhipts engines all:onhipts engines all:offヒント: 操 作 の 検 証 や 問 題 の 追 跡 には、トラブルシューティング ツールを 使 用 するほか、/opt/McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイルも 参 照 してください。Solaris インストール ファイルの 確 認インストール 後 、すべてのファイルがクライアント 上 の 適 切 なディレクトリにインストールされていることを 確 認 してください。/opt/McAfee/hip ディレクトリに、 次 のファイルとディレクトリが 存 在 している 必 要 があります。ファイル 名 /ディレクトリ 名HipClient; HipClient-binHipClientPolicy.xmlhipts; hipts-bin*.solog ディレクトリ説 明Solaris クライアントポリシー ルールトラブルシューティング ツールHost Intrusion Prevention と McAfee Agent の 共 有 オブジェクトモジュールデバッグ ログ ファイルとエラー ログ ファイルが 保 存 されるディレクトリインストール 履 歴 は /opt/McAfee/etc/hip-install.log に 記 録 されます。Host IntrusionPrevention クライアントのインストール プロセスまたは 削 除 プロセスについて 疑 問 点 がある 場 合 には、このファイルを 参 照 してください。104McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Linux クライアントの 概 要Solaris クライアントの 実 行 状 況 の 確 認クライアントが 正 しくインストールされていても、 操 作 時 に 問 題 が 発 生 する 場 合 があります。たとえば、ePO コンソールにクライアントが 表 示 されない 場 合 は、 次 のいずれかのコマンドを 使 用 して、クライアントが 実 行 されているかどうかを 確 認 してください。• /etc/rc2.d/S99hip status• ps –ef | grep HipSolaris クライアントの 停 止トラブルシューティングの 際 に、 実 行 中 のクライアントの 停 止 と 再 起 動 が 必 要 になる 場 合 があります。タスク1 実 行 中 のクライアントを 停 止 するには、まず IPS 保 護 を 無 効 にします。 次 のいずれかの操 作 を 実 行 します。• ePO コンソールで [IPS オプション] を [オフ] に 設 定 し、このポリシーをクライアントに 適 用 します。• root でログインし、hipts engines MISC:off コマンドを 実 行 します。2 /sbin/rc2.d/S99hip stop コマンドを 実 行 します。Solaris クライアントの 再 起 動トラブルシューティングの 際 に、 実 行 中 のクライアントの 停 止 と 再 起 動 が 必 要 になる 場 合 があります。タスク1 /sbin/rc2.d/S99hip restart コマンドを 実 行 します。2 IPS 保 護 を 有 効 にします。クライアントの 停 止 に 使 用 した 手 順 に 応 じて、 次 のいずれかを 実 行 します。• ePO コンソールで [IPS オプション] を [オン] に 設 定 し、このポリシーをクライアントに 適 用 します。• root でログインし、hipts engines MISC:on コマンドを 実 行 します。Linux クライアントの 概 要Host Intrusion Prevention Linux クライアントは、Linux サーバのファイルやアプリケーションに 対 する 侵 入 の 危 険 性 を 特 定 して 防 止 します。サーバのオペレーティング システムとApache Web サーバを、 特 にバッファ オーバフロー 攻 撃 から 保 護 します。Linux クライアントでのポリシーの 実 施Windows クライアントを 保 護 するポリシーのすべてを、Linux クライアントで 使 用 できるわけではありません。Host Intrusion Prevention は 危 険 な 攻 撃 からホスト サーバを 保 護 できMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )105

Host Intrusion Prevention クライアントの 作 業Linux クライアントの 概 要ても、バッファ オーバーフローなど、ネットワーク 侵 入 の 防 止 まではできません。 有 効 なポリシーは 次 のとおりです。表 20: Linux クライアント ポリシーポリシーHost Intrusion Prevention 8.0 IPSIPS オプションIPS 保 護使 用 可 能 なオプション• HIPS を 有 効 にする• 適 応 モードを 有 効 にする• 既 存 のクライアント ルールを 保 持 するすべてIPS ルール • 例 外 ルール• シグネチャ (デフォルトとカスタム HIPS ルールのみ)注 意 : NIPS シグネチャとアプリケーション 保 護 ルールは使 用 できません。Host Intrusion Prevention 8.0 全 般クライアント UI信 頼 できるネットワーク信 頼 できるアプリケーションHost Intrusion Prevention 8.0 ファイアウォールトラブルシューティング ツールで 使 用 する 管 理 者 パスワードまたは 期 限 付 きパスワードのみ。なし信 頼 できるアプリケーションを 追 加 するための [IPS で信 頼 できると 設 定 ] および [ 新 しいプロセス 名 ] のみ。なしLinux クライアントについての 注 意 事 項• Host IPS 8.0 Linux クライアントは、 施 行 モードの SELinux と 互 換 性 がありません。 施行 モードを 無 効 にするには、system-config-securitylevel コマンドを 実 行 して、 設 定 を 無効 に 変 更 し、クライアント システムを 再 起 動 します。• Host IPS 8.0 Linux カーネル モジュールが 読 み 込 まれると、SUSE カーネルは 感 染 していると 報 告 されます。カーネル ログで「schook: module not supported by Novell,setting U taint flag; hipsec: module not supported by Novell, setting U taintflag」のフラグを 確 認 します。 他 社 製 モジュールの Novell 要 件 のため、Host IPS カーネルが 感 染 しているとマークされます。Host IPS 8.0 カーネルのモジュールは GPL ライセンスで 提 供 されるため、このメッセージは 無 視 してください。McAfee は 現 在 、Novellと 協 力 してこの 問 題 の 解 決 を 取 り 組 んでいます。Linux クライアントのトラブルシューティングクライアントのインストール 時 やアンインストール 時 に 問 題 が 発 生 した 場 合 、 調 査 する 点 がいくつかあります。すべての 必 要 なファイルが 正 しいディレクトリにインストールされたかどうかの 確 認 、クライアントのアンインストールと 再 インストール、プロセス ログの 確 認 などです。また、クライアントの 操 作 で 問 題 が 見 つかる 場 合 もあります。このような 場 合 には、クライアントが 実 行 されているかどうかを 確 認 し、クライアントをいったん 停 止 して 再 起 動します。Linux クライアントには、 操 作 上 の 問 題 のトラブルシューティングを 行 うユーザ インターフェースがありません。コマンド ラインのトラブルシューティング ツール hipts が 提 供 されており、opt/McAfee/hip ディレクトリ 内 にあります。このツールを 使 用 するには、Host106McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Linux クライアントの 概 要Intrusion Prevention クライアント パスワードを 入 力 する 必 要 があります。クライアントに 付 属 しているデフォルトのパスワード (abcde12345) を 使 用 するか、クライアント UI ポリシーに 管 理 者 パスワードまたは 時 間 ベースのパスワードのいずれかを 設 定 してクライアントに 送 信 し、このパスワードを 使 用 します。トラブルシューティング ツールは、 次 のことに 使 用 します。• クライアントのロギングの 設 定 とエンジン ステータスを 指 定 します。• メッセージのロギングのオン/オフを 切 り 替 えます。• エンジンのオン/オフを 切 り 替 えます。root としてログオンし、 次 のコマンドを 実 行 すると、トラブルシューティングに 役 立 ちます。操 作 ...クライアントの 現 在 のステータスを 取 得 し、 有 効 なロギングの 種 類 と 実 行 中 のエンジンを 確 認 します。特 定 のメッセージの 種 類 に 対 してロギングをオンにします。実 行 ...hipts statushipts logging onすべてのメッセージの 種 類 に 対 してロギングをオフにします。デフォルトでは、ロギングがオフにされています。hipts logging offロギングがオンに 設 定 されている 場 合 に、 指 定 したメッセージの 種 類 を 表 示 します。 次 のようなメッセージがあります。• エラー• 警 告• デバッグ• 情 報• 違 反hipts message :onログ 記 録 がオンに 設 定 されている 場 合 に、 指 定 したメッセージの 種 類 を 非 表 示 にします。デフォルトではメッセージ エラーがオフにされています。hipts message :offロギングがオンに 設 定 されている 場 合 に、すべてのメッセージの 種 類 を 表 示 します。ロギングがオンに 設 定 されている 場 合 に、すべてのメッセージの 種 類 を 非 表 示 にします。指 定 したエンジンをオンにします。デフォルトではエンジンがオンにされています。 次 のようなエンジンがあります。• MISC• FILES• HTTP指 定 したエンジンをオフにします。すべてのエンジンをオンにします。すべてのエンジンをオフにします。hipts message all:onhipts message all:offhipts engines :onhipts engines :offhipts engines all:onhipts engines all:offヒント: 操 作 の 検 証 や 問 題 の 追 跡 には、トラブルシューティング ツールを 使 用 するほか、McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイルも参 照 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )107

Host Intrusion Prevention クライアントの 作 業Linux クライアントの 概 要Linux インストール ファイルの 確 認インストールの 後 、すべてのファイルがクライアント 上 の 適 切 なディレクトリにインストールされたことを 確 認 してください。opt/McAfee/hip ディレクトリに、 次 の 重 要 なファイルとディレクトリが 含 まれている 必 要 があります。ファイル 名HipClient; HipClient-binHipClientPolicy.xmlhipts; hipts-bin*.solog ディレクトリ説 明Linux クライアントポリシー ルールトラブルシューティング ツールHost Intrusion Prevention と McAfee Agent の 共 有 オブジェクトモジュールデバッグ ログ ファイルとエラー ログ ファイルが 保 存 されるディレクトリインストール 履 歴 は /opt/McAfee/etc/hip-install.log に 記 録 されます。Host IntrusionPrevention クライアントのインストール プロセスまたは 削 除 プロセスについて 疑 問 点 がある 場 合 には、このファイルを 参 照 してください。Linux クライアントが 実 行 されているかどうかの 確 認たとえば、ePO コンソールにクライアントが 表 示 されない 場 合 は、クライアントが 実 行 されているかどうかを 確 認 してください。 次 のコマンドを 実 行 します。ps –ef | grep HipLinux クライアントの 停 止トラブルシューティングの 際 に、 実 行 中 のクライアントの 停 止 と 再 起 動 が 必 要 になる 場 合 があります。タスク1 クライアントを 停 止 するには、IPS 保 護 を 無 効 にします。 次 のいずれかの 操 作 を 実 行 します。• ePO コンソールで [IPS オプション] を [オフ] に 設 定 し、このポリシーをクライアントに 適 用 します。• hipts engines MISC:off コマンドを 実 行 します。2 hipts agent off コマンドを 実 行 します。Linux クライアントの 再 起 動トラブルシューティングの 際 に、 実 行 中 のクライアントの 停 止 と 再 起 動 が 必 要 になる 場 合 があります。タスク1 hipts agent on コマンドを 実 行 します。2 IPS 保 護 を 有 効 にします。クライアントの 停 止 に 使 用 した 手 順 に 応 じて、 次 のいずれかを 実 行 します。108McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

Host Intrusion Prevention クライアントの 作 業Linux クライアントの 概 要• ePO コンソールで [IPS オプション] を [オン] に 設 定 し、このポリシーをクライアントに 適 用 します。• hipts engines MISC:on コマンドを 実 行 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )109

付 録 A - カスタム シグネチャと 例 外 の 作 成このセクションでは、クラス、パラメータ、ディレクティブなど、IPS シグネチャの 構 造 について 説 明 します。また、クライアント プラットフォーム 用 にカスタム シグネチャを 作 成する 方 法 についても 説 明 します。この 情 報 は、 例 外 の 詳 細 ページでも 使 用 できます。目 次ルールの 構 造Windows のカスタム シグネチャWindows 以 外 のカスタム シグネチャルールの 構 造どのシグネチャにも、ANSI Tool Command Language (TCL) 構 文 で 記 述 されたルールが 1 つ以 上 含 まれています。 各 ルールには、 必 須 およびオプションのセクションが 含 まれ、1 行 あたり 1 つのセクションになっています。オプションのセクションは、オペレーティング システムとルールのクラスによって 異 なります。 各 セクションでは、ルールのカテゴリとその値 を 定 義 します。1 つのセクションでは 必 ずルールのクラスを 識 別 します。このクラスにより、ルールの 全 般 的 な 動 作 が 定 義 されます。ルールの 基 本 的 な 構 造 は 次 のとおりです。Rule {SectionA valueSectionB valueSectionC value...}注 意 : カスタム ルールを 作 成 する 前 に、TCL の 記 述 文 字 列 とエスケープ シーケンスの 構 文を 確 認 してください。TCL の 標 準 リファレンスに 目 を 通 すことにより、 適 切 な 値 を 正 しく 入力 できます。http 要 求 クエリ 内 に "subject" がある 要 求 が Web サーバに 送 信 されないようにするルールは、 次 の 形 式 になります。Rule {Class IsapiId 4001level 4query { Include *subject* }method { Include GET }110McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成ルールの 構 造time { Include * }Executable { Include * }user_name { Include * }directives isapi:request}セクションと 値 については、「Windows カスタム シグネチャ」と「Windows 以 外 のカスタムシグネチャ」を 参 照 してください。共 通 セクションルールの 共 通 セクションとその 値 には 下 に 示 すアイテムが 含 まれます。 選 択 したクラスに 関連 するセクションについては、Windows または Windows 以 外 のカスタム シグネチャのクラス セクションを 参 照 してください。キーワード Include と Exclude は、tag、Id、level、directives を 除 くすべてのセクションで 使 用 されます。Include は、 指 定 した 値 に 対 してそのセクションが 作 用 することを 意 味 し、Exclude は、 指 定 したもの 以 外 のすべての 値 に 対 してそのセクションが 作 用 することを 意 味 します。注 意 : すべてのプラットフォームですべてのセクション 名 は 大 文 字 と 小 文 字 が 区 別 されます。セクションの 値 は、Windows 以 外 のプラットフォームの 場 合 にのみ 大 文 字 と 小 文 字 が 区 別 されます。セクション値説 明クラスオペレーティング システムによって 異 なります。このルールの 適 用 対 象 になるクラスを 指 定します。「Windows カスタム シグネチャ」または「Windows 以 外 のカスタム シグネチャ」を 参 照してください。tagIdleveluser_name引 用 符 で 囲 まれたルール 名("...")4000 - 599901234{ユーザの 名 前 またはシステムアカウントを 追 加 / 除 外 }サブルール 名 。シグネチャの 一 意 の ID 番 号 。この 番 号 は、カスタム ルールで 使 用 できる 番 号 です。シグネチャの 重 大 度0 = 無 効1 = ログ2 = 低3 = 中4 = 高ルールの 適 用 対 象 になるユーザ。 特 定 のユーザまたはすべてのユーザを 指 定 します。Windows での 注 意 :• ローカル ユーザの 場 合 :/ の 形 式 を 使 用 します。• ドメイン ユーザの 場 合 :/ の 形 式 を 使 用します。• ローカル システムの 場 合 :Local/Systemを 使 用 します。• リモートから 開 始 されたアクションの 一 部は、リモート ユーザの ID を 報 告 しませんが、ローカル サービスとそのユーザ コMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )111

付 録 A - カスタム シグネチャと 例 外 の 作 成ルールの 構 造セクション値説 明ンテキストが 代 わりに 使 用 されます。ルールの 開 発 時 には、それに 応 じて 計 画 する 必要 があります。プロセスが Null セッションのコンテキストで 発 生 した 場 合 、ユーザとドメインは 匿 名 です。すべてのユーザにルールを 適 用 する 場 合 は、* を 使 用 します。UNIX では、このセクションで 大 文 字と 小 文 字 が 区 別 されます。実 行 ファイルdirectives{ファイル 名 のパス、フィンガープリント、 署 名 者 または 説 明 を追 加 / 除 外 します。}操 作 の 種 類実 行 ファイルは 括 弧 に 囲 んで 指 定 し、-path、-hash、-sdn、-desc を 使 用 します。 各 セクションで 複 数 の 括 弧 を 使 用 できます。 括 弧 の 中 に1 つ 以 上 のオプションを 指 定 できます。-path(ファイル パス 名 )、-sdn (ファイルの 署 名者 )、-desc (ファイルの 説 明 ) 値 は 文 字 列 で、スペースや 他 の TCL 予 約 文 字 を 入 れる 場 合 には TCL でエスケープする 必 要 があります。-hash (MD5 ハッシュ) 値 は 32 文 字 の hexbin文 字 列 です。例 :Executable {Include -path "C:\\ProgramFiles\\McAfee\\VirusScanEnterprise\\Mcshield.exe" -sdn"CN=\"mcafee,inc.\", OU=iss, OU=digital idclass 3 - microsoft software validationv2, O=\"mcafee, inc.\", L=santa clara,ST=california, C=us" -desc "On-AccessScanner service"}すべての 実 行 ファイルにルールを 適 用 する 場 合は、* を 使 用 します。UNIX では、このセクションで 大 文 字 と 小 文 字 が 区 別 されます。操 作 の 種 類 はクラスによって 異 なります。 後 のセクションで、 各 クラスの 操 作 の 種 類 を 示 します。注 意 : 1 つのルールの 後 に 別 のルールを 追 加 し、 複 数 のルールがあるシグネチャを 作 成 することができます。 同 じシグネチャ 内 に 含 める 各 ルールの id セクションおよび level セクションは、 同 じ 値 である 必 要 があります。Include と Exclude の 使 用セクションの 値 を Include として 設 定 した 場 合 、そのセクションは 指 定 した 値 に 対 して 作 用し、Exclude として 設 定 した 場 合 、そのセクションは 指 定 したもの 以 外 のすべての 値 に 対 して 作 用 します。これらのキーワードを 使 用 する 場 合 、 括 弧 { ... } で 囲 みます。注 意 : 標 準 サブルールでは、ファイル パスに 1 つのバックスラッシュを 使 用 します。エキスパート サブルールでは、ファイル パスに 二 重 のバックスラッシュを 使 用 します。 標 準 サブルールでは、 単 一 のスラッシュが 二 重 スラッシュに 変 換 されます。エキスパート サブルールでは 変 換 は 実 行 されません。たとえば、C:\test\ にあるすべてのテキスト ファイルを 監 視 するには、 次 のように 記 述 します。files { Include C:\\test\\*.txt }C:\test\ にあるテキスト ファイル 以 外 のすべてのファイルを 監 視 するには、 次 のように 記述 します。files { Exclude C:\\test\\*.txt }112McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成ルールの 構 造含 めた 値 のセットから 特 定 の 値 を 除 外 するには、キーワードを 組 み 合 わせます。C:\test\フォルダで、abc.txt 以 外 のテキスト ファイルをすべて 監 視 するには、 次 のように 記 述 します。files { Include C:\\test\\*.txt }files { Exclude C:\\test\\abc.txt }同 じキーワードを 持 つ 同 じセクションを 追 加 するたびに、 操 作 が 追 加 されます。C:\test\フォルダで、 名 前 が "abc" という 文 字 列 で 始 まるすべてのテキスト ファイルを 監 視 するには、 次 のように 記 述 します。files { Include C:\\test\\*.txt }files { Include C:\\test\\abc* }注 意 : include よりも exclude の 方 が 優 先 されます。3 つの 例 を 示 します。• 単 一 のサブルールに 特 定 のユーザ marketing\jjohns を 追 加 し、 同 じユーザmarketing\jjohns を 除 外 すると、ユーザ marketing\jjohns がシグネチャを 生 成 するアクションを 実 行 しても、シグネチャは 生 成 されません。• サブルールにすべてのユーザを 追 加 し、 特 定 のユーザ marketing\jjohns を 除 外 すると、ユーザが marketing\jjohns でなくてもシグネチャが 生 成 されます。• サブルールにユーザ marketing\* を 追 加 し、marketing\jjohns を 除 外 すると、ユーザがmarketing\jjohns でない 限 り (この 場 合 、トリガーされません)、ユーザがmarketing\anyone の 場 合 にのみシグネチャが 生 成 されます。オプションの 共 通 セクションルールのオプションの 共 通 セクションとその 値 には、 下 に 示 す 項 目 が 含 まれます。 選 択 したクラスに 関 連 するオプション セクションについては、Windows または Windows 以 外 のカスタム シグネチャのクラス セクションを 参 照 してください。キーワードの Include と Excludeは、dependencies と attributes の 両 方 のセクションで 使 用 されます。Include は、 指 定 した 値 に 対 してそのセクションが 作 用 することを 意 味 し、Exclude は、 指 定 したもの 以 外 のすべての 値 に 対 してそのセクションが 作 用 することを 意 味 します。セクションdependenciesattributes値{Include/Exclude “ルールのID”}-no_log-not_auditable-no_trusted_apps-inactive説 明ルール 間 の 依 存 関 係 を 定 義 し、 依 存 するルールが 呼 び 出 されないようにします。シグネチャのイベントは ePO サーバに 送 信 されません。適 応 モードが 適 用 されている 場 合 に、シグネチャの 例 外 を 生 成 しません。信 頼 できるアプリケーション リストはこのシグネチャに 適 用 されません。シグネチャは 無 効 です。dependencies セクションの 使 用より 限 定 的 なルールと 一 緒 に 一 般 的 なルールが 呼 び 出 されないようにするには、オプションのセクションである dependencies を 追 加 します。たとえば、C:\test\ 内 の 1 つのテキスト ファイルを 監 視 する、 次 のルールがあるとします。files { Include C:\\test\\abc.txt }また、C:\test\ にあるすべてのテキスト ファイルを 監 視 する、 次 のルールもあるとします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )113

付 録 A - カスタム シグネチャと 例 外 の 作 成ルールの 構 造files { Include C:\\test\\*.txt }より 限 定 的 なルールに dependencies のセクションを 追 加 し、 限 定 的 なルールが 呼 び 出 された 場 合 は、 基 本 的 に 一 般 的 なルールは 呼 び 出 さないように 指 定 します。files { Include C:\\test\\abc.txt }dependencies “the general rule”ワイルドカードと 変 数指 定 可 能 なセクションでは、ワイルドカード、メタシンボル、および 定 義 済 み 変 数 を 値 として 使 用 できます。ワイルドカードセクションの 値 には、ワイルドカードを 使 用 できます。パスとアドレスではアスタリスクの使 い 方 が 若 干 異 なります。 通 常 はスラッシュまたはバックスラッシュを 使 用 する 場 所 にこれらの 文 字 を 使 用 します。シグネチャのエキスパート サブルールでは、TCL ワイルドカードを使 用 します。表 21: ワイルドカード文 字? ( 疑 問 符 )* (1 つのアスタリスク)意 味1 つの 文 字 。/ と \ を 含 む 複 数 の 文 字 。注 意 : パスとアドレスの 場 合 、** (2 つのアスタリスク) を 使 用 して / と \ を 追 加 します。* (1 つのアスタリスク) を 使 用 して / と \ を 除 外 します。| (パイプ)表 22: TCL ワイルドカード文 字? ( 疑 問 符 )* (1 つのアスタリスク)& (アンパサンド)! ! ( 感 嘆 符 )ワイルドカードのエスケープ。意 味1 つの 文 字 。/ と \ を 含 む 複 数 の 文 字 。 例 :files { Include“C:\*.txt” ” }/ と \ を 除 く 複 数 の 文 字 。サブフォルダではなく、フォルダのルート レベルの 内 容 と 一 致 させるために 使 用 します。 例 :files { Include “C:\test\\&.txt” }ワイルドカードのエスケープ。 例 :files { Include“C:\test\\yahoo!.txt” }環 境 変 数 の 使 用環 境 変 数 は、Windows のファイルおよびディレクトリのパス 名 を 指 定 する 省 略 表 現 として 使用 します。iEnv コマンド では、1 つのパラメータ ( 変 数 名 ) を 使 用 して、 角 括 弧 [ ... ]で 囲 みます。環 境 変 数iEnv SystemRoot意 味C:\winnt\ を 表 します。C は Windows システム フォルダを 格 納 しているドライブです。 例 :files {Include[iEnv SystemRoot]\\system32\\abc.txt }114McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成ルールの 構 造環 境 変 数iEnv SystemDrive意 味C:\ を 表 します。C は Windows システム フォルダを 格納 しているドライブです。 例 :files {Include [iEnvSystemDrive]\\system32\\abc.txt}定 義 済 み 変 数 の 使 用Host Intrusion Prevention には、ルール 記 述 用 の 定 義 済 みの 変 数 が 用 意 されています。$で 始 まるこれらの 変 数 を、 以 下 のリストに 示 します。表 23: Windows IIS Web サーバ変 数IIS_BinDirIIS_ComputerIIS_EnvelopeIIS_Exe_DirsIIS_Ftp_DirIIS_FTP_USRIIS_FtpLogDirIIS_IUSRIIS_IUSRDIIS_IWAMIIS_LogFileDirIIS_LVirt_RootIIS_ProcessesIIS_Services表 24: MS SQL データベース サーバ変 数MSSQL_Allowed_Access_PathsMSSQL_Allowed_Execution_PathsMSSQL_Allowed_Modification_PathsMSSQL_Auxiliary_ServicesMSSQL_Core_ServicesMSSQL_Data_PathsMSSQL_DataRoot_PathsMSSQL_Instances説 明inetinfo.exe があるディレクトリIIS が 実 行 されているコンピュータの 名 前IIS がアクセスを 許 可 されているすべてのファイルを 含むエンベロープファイルの 実 行 を 可 能 にする、システム ルートと IISルートを 含 む 仮 想 ディレクトリFTP サイトのルート ディレクトリローカルの FTP 匿 名 ユーザ アカウント 名FTP ログ ファイルのディレクトリローカルの Web 匿 名 ユーザ アカウント 名ドメインの Web 匿 名 ユーザ アカウント 名IIS Web アプリケーション 管 理 者 のユーザ アカウント 名Web ログ ファイルのディレクトリすべての IIS 仮 想 ディレクトリIIS リソースに 対 するアクセス 権 を 持 つプロセスIIS の 正 しい 動 作 に 必 要 なすべてのサービス説 明アクセス 可 能 なディレクトリ (\WINNT や\WINNT\System32 など)実 行 可 能 なディレクトリ (\WINNT や \WINNT\System32など)変 更 可 能 なディレクトリ (\WINNT\Temp など)システムで 検 出 された 補 助 的 な MS SQL サービスシステムで 検 出 された MS SQL コア サービスMS SQL に 関 連 付 けられており、MSSQL_DataRoot_Pathディレクトリの 外 に 置 かれている 可 能 性 がある 他 のすべてのデータ ファイル各 インスタンスでの MS SQL データ ファイルへのパスインストールされている 各 MS SQL インスタンスの 名 前McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )115

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャ変 数MSSQL_Registry_Paths表 25: Unix Apache および iPlanet変 数UAPACHE_BinsUAPACHE_CgiRootsUAPACHE_ConfDirsUAPACHE_DocRootsUAPACHE_LogsUAPACHE_Logs_dirUAPACHE_RootsUAPACHE_UsersUAPACHE_VcgiRootsUAPACHE_VdocRootsUAPACHE_VlogsUAPACHE_Vlogs_dirUIPLANET_BinDirsUIPLANET_CgiDirsUIPLANET_DocDirsUIPLANET_ProcessUIPLANET_Roots説 明MS SQL に 関 連 付 けられているすべてのレジストリの 場 所説 明Apache バイナリへのパスCGI ルートへのパスApache 設 定 ファイルを 含 むディレクトリドキュメント ルートへのパスApache ログ ファイルログ ファイルのディレクトリApache Web ルートApache の 実 行 ユーザ仮 想 サーバの CGI ルートへのパス仮 想 ドキュメント ルート仮 想 サーバのログ ファイル仮 想 サーバのログ ファイル 用 のディレクトリiPlanet バイナリへのパスCGI ディレクトリへのパスドキュメント ディレクトリへのパスiPlanet ns-httpd バイナリへのパスiPlanet ルートへのパスWindows のカスタム シグネチャこのセクションでは、Windows プラットフォーム 用 のカスタム シグネチャを 作 成 する 方 法 について 説 明 します。注 意 : Windows の Files クラスのルールは、パスに 二 重 のバックスラッシュを 使 用 しますが、Windows 以 外 の UNIX_file クラスのルールのパスではスラッシュを 一 つだけ 使 用 します。シグネチャが 使 用 するクラスは、セキュリティの 問 題 の 性 質 とシグネチャで 提 供 できる 保 護によって 異 なります。クラスとパラメータの 一 部 はカスタム シグネチャのユーザ インターフェースに 表 示 されます。ユーザ インターフェースに 表 示 されないクラスとパラメータには、エキスパート 向 けの 方 法 でルールを 作 成 するとアクセスできます。Windows の 場 合 、 次のクラスが 使 用 できます。クラスBuffer OverflowFilesHook用 途バッファ オーバーフロー 対 策ファイルまたはディレクトリ 操 作 の 保 護API プロセス フックの 保 護116McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャクラスIllegal API UseIllegal UseIsapiProgramRegistryServicesSQL用 途Host IPS API の 不 正 利 用 に 対 する 対 策API の 不 正 利 用 に 対 する 対 策IIS に 対 する http 要 求 の 監 視 用プログラム 操 作 の 保 護レジストリ キーとレジストリ 値 操 作 の 保 護サービス 操 作 の 保 護SQL 操 作 の 保 護Windows クラス Buffer Overflow以 下 の 表 では、Windows クラス Buffer Overflow に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルdependenciescaller moduledirectives値Buffer_Overflow「 共 通 セクション」を 参 照 してください。428バッファ オーバーフローを 引 き起 こした 実 行 ファイルによって読 み 込 まれたモジュール (DLL)のパスbo:stackbo:heapbo:writeable_memorybo:invalid_callbo:target_bytesbo:call_not_foundメモこれはオプションです。 注 1 を 参 照 してください。実 行 されるメモリ 位 置 を 確 認 し、 現 在 の 脅 威 スタックを 構 成 する 書 き 込 み 可 能 なメモリでメモリ 場 所 が 実 行 されていないかどうか 検 査 します。実 行 されるメモリ 位 置 を 確 認 し、ヒープ 領 域 からの 書 き 込 みがメモリ 場 所 で 実 行 されていないかどうか 検 査 します。実 行 されるメモリ 位 置 を 確 認 し、 現 在 の 脅 威 スタックでもヒープ 領 域 でもない 書 き 込 み 可 能 なメモリでメモリ 場 所 が 実 行 されていないかどうか 検 査 します。適 切 な 呼 出 し 命 令 で API が 呼 び 出 されていないかどうか 確 認 します。32 バイトの 命 令 を 表 す 16 進 数 値 は、 攻 撃 対 象に 対 象 実 行 ファイルの 例 外 設 定 を 使 用 します。誤 検 知 の 例 外 を 取 得 しないと、 項 目 プロセスでバッファ オーバーフロー 対 策 を 無 効 にできます。戻 りアドレスよりも 前 の 部 分 のコードが 実 行 されているかどうか 確 認 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )117

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクション値bo:call_return_unreadableメモ戻 りアドレスで、 読 み 取 り 可 能 なメモリでないことが 判 明 。bo:call_different_target_address呼 び 出 し 側 とフック 対 象 と 一 致 するかどうか 確認 します。bo:call_return_to_api戻 りアドレスが API 入 力 点 かどうか 確 認 してしてください。注 1シグネチャ 428、 汎 用 バッファオーバーフローは 汎 用 のバッファ オーバーフロー ルールです。このルールによってこのルールが 最 初 であれば、「 依 存 関 係 (448)」セクションをカスタム シグネチャを 選 択 します。Windows クラス Files以 下 の 表 では、Windows クラス Files に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイル (リモート ファイルへのアクセスとローカル ファイルへのアクセスを 識 別 するために、このパラメータを 使 用 します。 注 3 を 参 照 してください。)files値Files「 共 通 セクション」を 参 照 してください。操 作 に 必 要 なファイルまたはフォルダメモ必 須 パラメータの 一 つ。 注 1 と 注 2 を 参 照 してください。dest_file操 作 にソース ファイルと 出 力 先ファイルが 必 要 な 場 合 の 対 象ファイル必 須 パラメータの 一 つ。files:rename とfiles:hardlink でのみ 使 用 します。 注 1 と 注2 を 参 照 してください。drive_type • Network - ネットワークファイル アクセス• Floppy - フロッピードライブ アクセス• CD - CD または DVD アクセス• OtherRemovable - USB または 他 のリムーバブル ドライブ アクセス• OtherFixed - ローカルハードディスクまたは 他 の固 定 ハードディスク アクセスドライブの 種 類 固 有 の files クラス ルールを作 成 します。directivesfiles:createディレクトリにファイルを 作 成 します。 他 のディレクトリにファイルを 移 動 します。118McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクション値files:readfiles:writefiles:executefiles:deletefiles:renamefiles:attributefiles:hardlinkメモ読 み 取 り 専 用 アクセス 権 でファイルを 開 きます。読 み 取 り 書 き 込 みアクセス 権 でファイルを 開 きます。ファイルを 実 行 します (ディレクトリの 実 行 とはそのディレクトリを 現 在 のディレクトリにすることです)。ディレクトリからファイルを 削 除 するか、 別 のディレクトリにファイルを 移 動 します。同 じディレクトリのファイル 名 を 変 更 します。注 2 を 参 照 してください。ファイルの 属 性 を 変 更 します。 監 視 される 属 性 :• 読 み 取 り 専 用• 隠 し• アーカイブ• システムハード リンクを 作 成 します。注 1files セクションが 使 用 されている 場 合 、 監 視 対 象 のフォルダまたはファイルへのパスは、完 全 なパスまたはワイルドカードのどちらかで 指 定 できます。たとえば、 以 下 は 有 効 なパスの 表 現 です。files { Include “C:\\test\\abc.txt” }files { Include “*\\test\\abc.txt” }files { Include “*\\abc.txt” }dest_file セクションが 使 用 されている 場 合 、 絶 対 パスは 使 用 できず、パスの 先 頭 にワイルドカードを 記 述 し、ドライブを 表 す 必 要 があります。たとえば、 以 下 は 有 効 なパスの 表 現 です。dest_file { Include “*\\test\\abc.txt” }dest_file { Include “*\\abc.txt” }注 2ディレクティブの files:rename は、files セクションおよび dest_file セクションと 組 み合 わせて 使 用 する 場 合 は 異 なる 意 味 になります。files セクションと 組 み 合 わせた 場 合 、files セクションで 指 定 したファイルの 名 前 の 変 更が 監 視 されることを 意 味 します。たとえば 次 のルールでは、C:\test\abc.txt ファイルのファイル 名 変 更 が 監 視 されます。Rule {tag "Sample1"Class FilesId 4001level 4files { Include “C:\\test\\abc.txt” }Executable { Include “*”}McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )119

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャuser_name { Include “*” }directives files:rename}dest_file セクションと 組 み 合 わせた 場 合 、どのファイルも、dest_file セクションで 指 定したファイルの 名 前 に 変 更 できないことを 意 味 します。たとえば 次 のルールでは、ファイル名 C:\test\abc.txt への 変 更 が 監 視 されます。Rule {tag "Sample2"Class FilesId 4001level 4dest_file { Include “*\\test\\abc.txt” }Executable { Include “*”}user_name { Include “*” }directives files:rename}files セクションは、dest_file セクションが 使 用 される 場 合 は 必 須 ではありません。filesセクションを 使 用 する 場 合 は、files セクションと dest_file セクションの 両 方 が 一 致 する必 要 があります。注 3ディレクティブのリモート ファイル アクセスとローカル ファイル アクセスを 識 別 するため、 実 行 ファイルのパス 名 に SystemRemoteClient に 設 定 します。Executable { Include -path“SystemRemoteClient” }実 行 ファイルがローカルでない 場 合 には、ディレクティブは 実 行 されません。詳 細Files クラスのセキュリティ イベントの [ 詳 細 ] タブには、 次 のパラメータの 一 部 またはすべてが 表 示 されます。これらのパラメータの 値 は、シグネチャが 呼 び 出 された 理 由 を 理 解 するために 役 立 ちます。GUI での 名 前filesdest_file説 明アクセスされたファイルの 名 前 。ファイル 名 を 変 更 する 場 合 のみ 適 用 可 能 。 変 更 後 のファイルの 新 しい 名 前 です。次 のルールは、 任 意 のユーザまたはプロセスによって C:\test\ フォルダ 内 に "abc.txt" が作 成 されないようにします。Rule {tag "Sample3"Class FilesId 4001level 4files { Include “C:\\test\\abc.txt” }120McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャExecutable { Include “*”}user_name { Include “*” }directives files:create}このルールの 各 セクションの 意 味 は 次 のとおりです。• Class Files:このルールがファイル 操 作 のクラスに 関 連 することを 示 します。• id 4001:このルールに ID 4001 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールは 例 外 なく 同 じ ID を 使 用 する 必 要 があります。• level 4:このルールに 重 大 度 高 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールが 例 外 なく 同 じレベルを 使 用 する 必 要 があります。• files { Include “C:\\test\\abc.txt” }:このルールが、C:\test\abc.txt という 特 定のファイルおよびパスに 適 用 されることを 示 します。ルールを 複 数 のファイルに 適 用 する場 合 、それらのファイルは 別 の 行 でこのセクションに 追 加 します。たとえば、C:\test\abc.txt と C:\test\xyz.txt を 監 視 するんは、セクションを 次 のように 変 更 します。files { Include “C:\\test\\abc.txt” “C:\\test\\xyz.txt” }.• Executable { Include “*”}:このルールが、すべてのプロセスに 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のプロセスに 制 限 する 場 合 は、ここですべてのパス名 を 完 全 に 指 定 します。• user_name { Include “*” }:このルールがすべてのユーザ (より 明 確 に 言 えばプロセスが 実 行 されるセキュリティ コンテキスト) に 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のユーザ コンテキストに 制 限 する 場 合 は、ここで "ローカル/ユーザ"または "ドメイン/ユーザ" の 形 式 で 完 全 に 指 定 します。 詳 細 については、「 共 通 セクション」を 参 照 してください。• directives files:create:このルールではファイルの 作 成 を 扱 うことを 示 します。Windows クラス Hook以 下 の 表 では、Windows クラス Hook に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルhandler moduledirectives値Hook「 共 通 セクション」を 参 照 してください。別 の 実 行 ファイルがフックする実 行 ファイルのパス 名hook:set_windows_hookメモ必 須 パラメータ。hook:set_windows_hook による 実 行 ファイルへの DLL の 挿 入 を 阻 止 するには、アプリケーション 保 護 リストに 実 行 ファイルを 追 加 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )121

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャWindows クラス Illegal Host IPS API Use以 下 の 表 では、Windows クラス Illegal API Use に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルvulnerability_namedetailed_event_infodirectives値Illegal_API_Use「 共 通 セクション」を 参 照 してください。脆 弱 性 の 名 前 。1 つ 以 上 の CLSIDillegal_api_use:bad_parameterillegal_api_use:invalid_callメモソフトウェア コンポーネントの 一 意 の ID を 表す 128 ビットの 数 字 。 次 のように 表 示 されます。"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"カスタム killbit シグネチャの 作 成 に 使 用 します。killbit は、ActiveX を 使 用 する Webブラウザや 他 のアプリケーションのセキュリティ 機 能 です。killbit は、 脆 弱 性 脅 威 として特 定 される ActiveX ソフトウェア コントロールのオブジェクト クラス 識 別 子 (CLSID) を指 定 します。ActiveX を 使 用 するアプリケーションは、killbit が 設 定 されている ActiveXソフトウェアを 読 み 込 みません。killbit の 基 本 的 な 目 的 は、セキュリティ ホールを 埋 めることです。killbit の 更 新 は、Microsoft Windows の Windows セキュリティ 更 新 で 配 布 されます。シグネチャの 例 は 次 のとおりです。Rule {tag "Sample4"Class Illegal_API_UseId 4001level 4Executable { Include “*”}user_name { Include “*” }vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}detailed_event_info { Include"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_callattributes -not_auditable}Windows クラス Illegal Use以 下 の 表 では、Windows クラス Illegal Use に 使 用 可 能 なセクションと 値 を 説 明 します。122McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクションクラスIdleveltimeuser_name実 行 ファイルnamedirectives値Illegal_Use「 共 通 セクション」を 参 照 してください。次 のいずれか。LsarLookupNames、LsarLookupSids またはADMCOMConnectillegal:apiメモWindows クラス Isapi (HTTP)以 下 の 表 では、IIS の Windows クラス Isapi に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルurlquerymethoddirectives値Isapi「 共 通 セクション」を 参 照 してください。GET、POST、INDEX、 他 の 許 可 された HTTP メソッド。isapi:requestisapi:requrlisapi:reqqueryisapi:rawdataisapi:responseメモ必 須 パラメータの 一 つ。 受 信 要 求 の URL の 部 分と 比 較 。 注 1 から 注 4 を 参 照 してください。必 須 パラメータの 一 つ。 受 信 要 求 のクエリの 部分 と 比 較 。 注 1 から 注 4 を 参 照 してください。必 須 パラメータの 一 つ。 注 4 を 参 照 してください。受 信 http 要 求 の 3 つの 種 類url 要 求クエリ 要 求ロー データ 要 求要 求 の 応 答注 1受 信 http 要 求 は、http://www.myserver.com/ {url}?{query} として 表 すことができます。このドキュメントでは、{url} のことを http 要 求 の “url” 部 分 と 呼 び、{query} のことを http 要 求 の “クエリ” 部 分 と 呼 びます。これにより、“url” セクションは {url} と比 較 され、“query” セクションは {query} と 比 較 されると 言 い 表 すことができます。たとえば 次 のルールは、IIS が http 要 求 の http://McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )123

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャwww.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を 受 信 した 場 合 に呼 び 出 されます。Rule {tag "Sample6"Class IsapiId 4001level 1url { Include “*abc*” }Executable { Include “*”}user_name { Include “*” }directives isapi:request}このルールが 呼 び 出 されるのは、{url} が /search/abc.exe であることが、"url" セクションの 値 (すなわち abc) と 一 致 するためです。注 2比 較 が 行 われる 前 に、 要 求 をエンコードやエスケープ シーケンスでいっぱいにすることができないように、"url" セクションと "query" セクションがデコードされて 正 規 化 されます。注 3"url" セクションと "query" セクションのために 最 大 長 の 制 限 を 定 義 できます。これらのセクションの 値 に ";number-of-chars" を 追 加 すると、{url} や {query} の 文 字 数 が"number-of-chars" より 多 い 場 合 のみ、ルールを 一 致 させることができます。たとえば、"abc*;500" は 'abc' を 含 む 500 文 字 以 上 の 文 字 列 に 一 致 します。"*abc;xyz*;" は 長さに 関 係 なく 'abc;xyz' を 含 む 文 字 列 に 一 致 します。注 41 つのルールには、オプションのセクションである url、query、および method のうち、 少なくとも 1 つを 含 める 必 要 があります。詳 細Isapi クラスのセキュリティ イベントの [ 詳 細 ] タブには、 次 のパラメータの 一 部 またはすべてが 表 示 されます。これらのパラメータの 値 は、シグネチャが 呼 び 出 された 理 由 を 理 解 するために 役 立 ちます。GUI での 名 前urlqueryweb server typemethod説 明受 信 HTTP 要 求 の、デコードと 正 規 化 が 行 われた 場 所 の部 分 (? の 前 の 部 分 )。受 信 HTTP 要 求 の、デコードと 正 規 化 が 行 われたクエリ部 分 ( 最 初 の ? の 後 にある 部 分 )。使 用 される Web サーバ アプリケーションの 種 類 とバージョン。受 信 HTTP 要 求 のメソッド (Get、Put、Post、Query など)。124McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャGUI での 名 前local fileraw urlusersourceservercontent len説 明要 求 によって 取 得 されたファイル、または 取 得 が 試 みられたファイルの 物 理 名 。IIS でデコードされ、 正 規 化 されます。受 信 HTTP 要 求 の " 未 処 理 " (デコードと 正 規 化 が 行 われていない) の 要 求 行 。 要 求 行 は、" CRLF" の 形 式 です。要 求 を 発 行 しているクライアントのユーザ 名 。この 情 報は、 要 求 が 認 証 される 場 合 のみ 提 供 されます。HTTP 要 求 送 信 元 のコンピュータのクライアント 名 またはIP アドレス。アドレスは、host name、address、portnumber の 3 つから 構 成 されます。イベントが 作 成 された Web サーバ (クライアントがインストールされているコンピュータ) に 関 する、:: という 形 式 での 情 報 。このホスト 名 は、HTTP ヘッダのホスト 変 数 です。 情 報 がない場 合 は 空 白 のままになります。クエリのメッセージ 部 分 の 本 文 に 含 まれるバイト 数 。次 のルールでは、HTTP 要 求 のクエリ 部 分 に "subject" が 含 まれる 要 求 は、Web サーバに 送信 されなくなります。Rule {tag "Sample7"Class IsapiId 4001level 1query { Include “*subject*” }method { Include “GET” }Executable { Include “*”}user_name { Include “*” }directives isapi:request}たとえば、http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=oceanという GET 要 求 は、このルールによって 中 止 されます。このルールの 各 セクションの 意 味 は 次 のとおりです。• Class Isapi:このルールが Isapi 操 作 のクラスに 関 連 することを 示 します。• Id 4001:このルールに ID 4001 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールは 例 外 なく 同 じ ID を 使 用 する 必 要 があります。• level 4:このルールに 重 大 度 高 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールが 例 外 なく 同 じレベルを 使 用 する 必 要 があります。• query { Include “*subject*” }:このルールは、HTTP 要 求 のクエリ 部 分 に "subject"という 文 字 列 が 含 まれるすべての (GET) 要 求 に 一 致 することを 示 します。ルールを 複 数のクエリ 部 分 ファイルに 適 用 する 場 合 、それらは 別 の 行 でこのセクションに 追 加 します。• method { Include “GET” }:このルールは GET 要 求 のみに 一 致 することを 示 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )125

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャ• Executable { Include “*”}:このルールが、すべてのプロセスに 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のプロセスに 制 限 する 場 合 は、ここですべてのパス名 を 完 全 に 指 定 します。• user_name { Include “*” }:このルールがすべてのユーザ (より 明 確 に 言 えばプロセスが 実 行 されるセキュリティ コンテキスト) に 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のユーザ コンテキストに 制 限 する 場 合 は、ここで "ローカル/ユーザ"または "ドメイン/ユーザ" の 形 式 で 完 全 に 指 定 します。 詳 細 については、「 共 通 セクション」を 参 照 してください。• directives isapi:request:このルールでは HTTP 要 求 を 扱 うことを 示 します。Windows クラス Program以 下 の 表 では、Windows クラス Program に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルfilenamepathdirectives値Program「 共 通 セクション」を 参 照 してください。操 作 のプロセス 名プロセスのパス 名program:runprogram:open_with_anyメモ必 須 パラメータの 一 つ。必 須 パラメータの 一 つ。対 象 の 実 行 ファイルの 実 行 を 阻 止 します。(ユーザ インターフェースで 対 象 の 実 行 ファイルを 実行 します。)"program:open_with_x" ディレクトリは、OpenProcess() で 生 成 されたプロセスのアクセス 権 を 処 理 します。 次 のプロセス 固 有 のアクセス 権 を 阻 止 します。• PROCESS_TERMINATE - プロセスの 終 了 に 必要• PROCESS_CREATE_THREAD - スレッドの 生 成に 必 要• PROCESS_VM_WRITE - メモリへの 書 き 込 みで必 要• PROCESS_DUP_HANDLE - ハンドルの 複 製 に 必要• PROCESS_SET_INFORMATION - 優 先 クラスなど、プロセスに 関 する 特 定 の 情 報 の 設 定 に 必要 。• PROCESS_SUSPEND_RESUME - プロセスの 中 断または 再 開 に 必 要• PROCESS_TERMINATE - プロセスの 終 了 に 必要• SYNCHRONIZE - プロセスの 終 了 待 機 に 必 要(ユーザ インターフェースで 任 意 のアクセス 権で 実 行 )126McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクション値メモprogram:open_with_create_thread次 のプロセス 固 有 のアクセス 権 を 阻 止 します。• PROCESS_CREATE_THREAD - スレッドの 生 成に 必 要(ユーザ インターフェースでスレット 作 成 権 限で 実 行 )program:open_with_modifyprogram:open_with_terminateprogram:open_with_wait次 のプロセス 固 有 のアクセス 権 を 阻 止 します。• PROCESS_TERMINATE - プロセスの 終 了 に 必要• PROCESS_CREATE_THREAD - スレッドの 生 成に 必 要• PROCESS_VM_WRITE - メモリへの 書 き 込 みで必 要• PROCESS_DUP_HANDLE - ハンドルの 複 製 に 必要• PROCESS_SET_INFORMATION - 優 先 クラスなど、プロセスに 関 する 特 定 の 情 報 の 設 定 に 必要 。• PROCESS_SUSPEND_RESUME - プロセスの 中 断または 再 開 に 必 要(ユーザ インターフェースで 変 更 権 限 で 実 行 )次 のプロセス 固 有 のアクセス 権 を 阻 止 します。• PROCESS_SUSPEND_RESUME - プロセスの 中 断または 再 開 に 必 要• PROCESS_TERMINATE - プロセスの 終 了 に 必要(ユーザ インターフェースで 終 了 権 限 で 実 行 )次 のプロセス 固 有 のアクセス 権 を 阻 止 します。• SYNCHRONIZE - プロセスの 終 了 待 機 に 必 要(ユーザ インターフェースで 待 機 権 限 で 実 行 )注 意 : Microsoft Vista 以 降 のプラットフォームでは 使 用 できません。Windows クラス Registry以 下 の 表 では、Windows クラス Registry に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルキー値Registry「 共 通 セクション」を 参 照 してください。レジストリ キーの 演 算メモ必 須 パラメータの 一 つ。キーが 操 作 できます ( 作成 、 削 除 、 名 前 の 変 更 、 列 挙 、モニタ、 復 元 、既 読 、 未 読 のルールは 変 更 されています)。 注 1を 参 照 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )127

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクションdest_keys値値レジストリ キーの 演 算レジストリ キーの 演 算メモこれはオプションです。キー 名 を 変 更 すると、registry:rename に 使 用 されます。 対 象 はキーの 名 前 です。必 須 パラメータの 一 つ。レジストリ 値 の 操 作 ( 削除 、 読 み 取 り、 修 正 、 作 成 ) で 使 用 します。new_dataレジストリ キーの 演 算 。 値 の 新しいデータ。これはオプションです。registry:modify または registry:create でのみ 必 要 です。 注 2 を参 照 してください。directivesregistry:deleteregistry:modifyregistry:createregistry:permissionsregistry:readregistry:enumerateregistry:monitorregistry:restoreregistry:replaceregistry:loadregistry:open_existing_keyregistry:renameレジストリ キーまたは 値 を 削 除 します。レジストリ 値 のコンテンツまたは 情 報 を 書 き 換えます。レジストリ キーを 作 成 できます。レジストリ キーのアクセス 許 可 を 変 更 します。レジストリ キーの 情 報 (サブ キーの 数 など)を 取 得 するか、レジストリ 値 の 内 容 を 取 得 します。レジストリ キーを 列 挙 します。つまり、すべてのキーのサブ キーと 値 のリストを 取 得 します。レジストリ キーの 監 視 を 要 求 しています。regedit32 復 元 機 能 のように、レジストリを 復元 します。再 起 動 後 にのみレジストリの 設 定 を 復 元 します。ファイルからレジストリ キーまたは 値 を 読 み 込みます。既 存 のレジストリ キーを 開 きます。レジストリ キーの 名 前 を 変 更 します。注 1HKEY_LOCAL_MACHINE は \REGISTRY\MACHINE\ で 置 き 換 えられるレジストリ パスで、CurrentControlSet は ControlSet で 置 き 換 えられます。たとえば、レジストリ キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa の 下 にあるレジストリ 値 "abc"・は、\\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc として 表 されます。注 2セクションの 新 しいデータは 16 進 数 でなければなりません。たとえば、レジストリ 値\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc・のデータ 'def' は、old_data { Include "%64%65%66"} と 表 現 する 必 要 があります。詳 細Registry クラスのセキュリティ イベントの [ 詳 細 ] タブには、 次 のパラメータの 一 部 またはすべてが 表 示 されます。これらのパラメータの 値 は、シグネチャが 呼 び 出 された 理 由 を 理解 するために 役 立 ちます。128McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャGUI での 名 前レジストリ キー説 明パス 名 を 含 む、 影 響 を 受 けるレジストリ キーの 名 前 。 次 の 事 項 に 注 意 します。キーHKEY_LOCAL_MACHINE\HKEY_CURRENT_USER\HKEY_CLASSES_ROOT\HKEY_CURRENT_CONFIG\HKEY_USERS\構 文\REGISTRY\MACHINE\\REGISTRY\CURRENT_USER\\REGISTRY\MACHINE\SOFTWARE\CLASSES\REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\\REGISTRY\USER\レジストリ 値完 全 なキーの 名 前 と 連 結 されたレジストリ 値 の 名 前 。 次 の 事 項 に 注 意 します。キーの 値HKEY_LOCAL_MACHINE\TestHKEY_CURRENT_USER\TestHKEY_CLASSES_ROOT\TestHKEY_CURRENT_CONFIG\TestHKEY_USERS\Test構 文\REGISTRY\MACHINE\Test\*\REGISTRY\CURRENT_USER\Test\*\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\Test\*\REGISTRY\USER\Test\*old datanew dataold data typenew data typeレジストリ 値 を 変 更 する 場 合 のみ 適 用 可 能 : 変 更 される 前 、または 変 更 が 試 みられる 前 にレジストリ 値 に 格 納 されていていたデータ。レジストリ 値 を 変 更 する 場 合 のみ 適 用 可 能 : 変 更 後 にレジストリ 値 に 格 納 されていたデータ、または 変 更 が 完 了 した 場 合 にレジストリ 値 に 格 納 されていたはずのデータ。レジストリ 値 を 変 更 する 場 合 のみ 適 用 可 能 : 変 更 される 前 、または 変 更 が 試 みられる 前 にレジストリ 値 に 格 納 されていていたデータ 型 。レジストリ 値 を 変 更 する 場 合 のみ 適 用 可 能 : 変 更 後 にレジストリ 値 に 格 納 されていたデータ型 、または 変 更 が 完 了 した 場 合 にレジストリ 値 に 格 納 されていたはずのデータ 型 。次 のルールでは、すべてのユーザおよびプロセスが、レジストリ キー"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" の 下 にあるレジストリ 値"abc" を 削 除 できなくなります。Rule {tag "Sample8"Class RegistryId 4001level 4values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }application { Include “*”}user_name { Include “*” }directives registry:delete}このルールの 各 セクションの 意 味 は 次 のとおりです。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )129

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャ• Class Registry:このルールが IIS に 送 信 される 要 求 に 関 連 することを 示 します。• Id 4001:このルールに ID 4001 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールは 例 外 なく 同 じ ID を 使 用 する 必 要 があります。• level 4:このルールに 重 大 度 高 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールが 例 外 なく 同 じレベルを 使 用 する 必 要 があります。• values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc”}:レジストリ キー "\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" の下 にあるレジストリ 値 abc を 監 視 するルールを 示 します。ルールを 複 数 の 値 に 適 用 する場 合 、それらのサービスは 別 の 行 でこのセクションに 追 加 します。• application { Include “*”}:このルールが、すべてのプロセスに 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のプロセスに 制 限 する 場 合 は、ここですべてのパス 名 を 完 全 に 指 定 します。• user_name { Include “*” }:このルールがすべてのユーザ (より 明 確 に 言 えばプロセスが 実 行 されるセキュリティ コンテキスト) に 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のユーザ コンテキストに 制 限 する 場 合 は、ここで "ローカル/ユーザ"または "ドメイン/ユーザ" の 形 式 で 完 全 に 指 定 します。 詳 細 については、「 共 通 セクション」を 参 照 してください。• directives registry:delete:このルールでは、レジストリ キーまたはレジストリ 値 の 削除 を 扱 うことを 指 定 します。Windows クラス Services以 下 の 表 では、Windows クラス Services に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルservicesdisplay_namesdirectives値Registry「 共 通 セクション」を 参 照 してください。インスタンスを 作 成 する 操 作 の主 体 であるサービスの 名 前サービスの 表 示 名services:deleteservices:createservices:startservices:stopservices:pauseservices:continueservices:startupメモ必 須 パラメータの 一 つ。サービス 名 はレジストリの HKLM\SYSTEM\CurrentControlSet\Services\に 記 録 されます。 注 1 を 参 照 してください。必 須 パラメータの 一 つ。この 名 前 はサービス マネージャに 表 示 されます。 注 1 を 参 照 してください。サービスを 削 除 します。サービスを 作 成 します。サービスを 開 始 します。サービスを 停 止 します。サービスを 解 析 します。一 時 停 止 後 サービスを 続 行 します。サービスのスタートアップ モードを 変 更 します。130McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクション値services:profile_enableservices:profile_disableservices:logonメモハードウェア プロファイルを 有 効 にします。ハードウェア プロファイルを 無 効 にします。サービスのログオン 情 報 を 変 更 します。注 1service セクションには、HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ の 下にある、 対 応 するレジストリ キーのサービスの 名 前 を 含 める 必 要 があります。display_names セクションには、サービス マネージャの 名 前 を 含 める 必 要 があります。これは、 下 記 のレジストリ 値 に 記 載 されています。HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\詳 細Services クラスのセキュリティ イベントの [ 詳 細 ] タブには、 次 のパラメータの 一 部 またはすべてが 表 示 されます。これらのパラメータの 値 は、シグネチャが 呼 び 出 された 理 由 を 理解 するために 役 立 ちます。GUI での 名 前display namesservicesparams説 明Windows サービスのサービス マネージャでの 表 示 名 。Windows サービスのHKLM\CurrentControlSet\Services\に 設 定 されているシステム 名 。サービス マネージャの 表 示 名 と異 なる 場 合 があります。サービスを 開 始 する 場 合 のみ 適用 可 能 :アクティブにするときにサービスに 渡 すパラメータです。使 用 可 能 な 値old startupnew startuplogonサービスのスタートアップ モードを 作 成 または 変 更 する 場 合 のみ 適 用 可 能 : 変 更 される 前 、または 変 更 が 試 みられる 前 のスタートアップ モードを 示 します。サービスのスタートアップ モードを 変 更 する 場 合 のみ 適 用 可 能 :変 更 後 のサービスのスタートアップ モード、または 変 更 が 完了 した 場 合 のサービスのスタートアップ モードを 示 します。サービスのログオン モードを 変更 する 場 合 のみ 適 用 可 能 :サービスによって 使 用 されるログオン情 報 (システムまたはユーザ アカウント) です。Boot (ブート)、System (システム)、Automatic( 自 動 )、Manual ( 手 動 )、Disabled ( 無 効 )Boot (ブート)、System (システム)、Automatic( 自 動 )、Manual ( 手 動 )、Disabled ( 無 効 )次 のルールでは、Alerter サービスを 常 にアクティブな 状 態 にします。Rule {tag "Sample9"Class ServicesMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )131

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャId 4001level 4Service { Include “Alerter” }application { Include “*”}user_name { Include “*” }directives service:stop}このルールの 各 セクションの 意 味 は 次 のとおりです。• Class Services:このルールがファイル 操 作 のクラスに 関 連 することを 示 します。• Id 4001:このルールに ID 4001 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールは 例 外 なく 同 じ ID を 使 用 する 必 要 があります。• level 4:このルールに 重 大 度 高 を 割 り 当 てます。カスタム シグネチャに 複 数 のルールが存 在 する 場 合 は、それらのルールが 例 外 なく 同 じレベルを 使 用 する 必 要 があります。• Service { Include “Alerter” }: このルールでは、Alerter という 名 前 のサービスを扱 うことを 示 します。ルールを 複 数 のサービスに 適 用 する 場 合 、それらのサービスは 別 の行 でこのセクションに 追 加 します。• application { Include "*"}: このルールが、すべてのプロセスに 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のプロセスに 制 限 する 場 合 は、ここですべてのパス名 を 完 全 に 指 定 します。• user_name { Include “*” }:このルールがすべてのユーザ (より 明 確 に 言 えばプロセスが 実 行 されるセキュリティ コンテキスト) に 対 して 有 効 であることを 示 します。ルールの 適 用 範 囲 を 特 定 のユーザ コンテキストに 制 限 する 場 合 は、ここで "ローカル/ユーザ"または "ドメイン/ユーザ" の 形 式 で 完 全 に 指 定 します。 詳 細 については、「 共 通 セクション」を 参 照 してください。• directives service:stop:このルールではサービスの 非 アクティブ 化 を 扱 うことを 示 します。Windows クラス SQL以 下 の 表 では、Windows クラス SQL に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルauthentication_modeclient_agent値MSSQL「 共 通 セクション」を 参 照 してください。Windows 認 証 (1 に 設 定 ) または SQL 認 証 (0 に 設 定 ) を 表 すBool 値 。クライアント システムに 要 求 を送 信 するユーティリティの 名前 。メモ例 :OSQL-32, Internet Information Services132McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャセクション値メモdb_user_nameSQL 認 証 の 場 合 にはユーザ 名 。Window 認 証 の 場 合 には「 信 頼 できるユーザ」。例 :sasp_namesp_param_char_len_one...sp_param_one...sp_param_orign_len-one...sql_line_commentsql_original_querysql_queryストアド プロシージャ 名パラメータの 長 さ ( 文 字 数 )。パラメータの 値 。パラメータの 長 さ (バイト 数 )。クエリに 単 一 引 用 符 を 含 む 行 コメント ("-") が 含 まれている 場合 、この 値 は「1」に 設 定 されます。受 信 時 と 同 じ 完 全 な SQL クエリ( 文 字 列 とホワイトスペースを 含む)文 字 列 、ホワイトスペースなどを 含 む SQL クエリ 文 字 列 。コメントを 除 いた 後 の 部 分 。ストアド プロシージャの 名 前 と 一 致 する 必 要 があります。ストアド プロシージャは、SQL エージェント リリースのプロシージャ 名 リストで 識別 されます (Agent ディレクトリのSPList.txt)。sql_user_passwordtransportパスワードが NULL の 場 合 には1、それ 以 外 の 場 合 は 0 に 設 定されます。MSSQL 2005/2008 の 場 合 には 共有 メモリ (LPC)SQL 以 外 のユーザの 場 合 には 常 に 0 に 設 定 されます。directivessql:request.受 信 SQL 要 求Windows プラットフォームごとのクラスとディレクティブWindows プラットフォームごとに 有 効 なクラスとディレクティブは 次 のとおりです。• Windows XP、SP2、SP3、32 ビット/64 ビット (XP)• Windows 2003、R2、R2 SP2、32 ビット/64 ビット (2K3)• Windows Vista、32 ビット/64 ビット (V)• Windows 2008 R2、32 ビット/64 ビット (2K8)• Windows 7、32 ビット/64 ビット (7)Buffer Overflow クラスディレクティブ32 ビット Windows OS (x32) 上の 32 ビット プロセス64 ビット Windows OS (x64)上 の 32 ビット プロセス64 ビット Windows OS(x64) 上 の 64 ビット プロセスbo:XP2K3V2K87XP2K3V2K87XP2K3V2K87stackxxxxxxxxxxheapxxxxxxxxxxwriteable_memoryxxxxxxxxxxMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )133

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャディレクティブ32 ビット Windows OS (x32) 上の 32 ビット プロセス64 ビット Windows OS (x64)上 の 32 ビット プロセス64 ビット Windows OS(x64) 上 の 64 ビット プロセスbo:XP2K3V2K87XP2K3V2K87XP2K3V2K87invalid_callxxxxxxxxxxtarget_bytesxxxxxxxxxxcall_not_foundxxxxxxxxxxcall_return_unreadablexxxxxxxxxxcall_different_targetxxxxxxxxxxcall_return_to_apixxxxxxxxxxFiles クラスディレクティブ32 ビット Windows OS (x32) 上 の32 ビット プロセス32 ビット Windows OS (x64) 上の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスfiles:XP2K3V2K87XP2K3V2K87XP2K3V2K87createxxxxxxxxxxxxxxxreadxxxxxxxxxxxxxxxwritexxxxxxxxxxxxxxxexecutexxxxxxxxxxxxxxxdeletexxxxxxxxxxxxxxxrenamexxxxxxxxxxxxxxxattributexxxxxxxxxxxxxxxwriteopxxxxxxxxxxxxxxxhardlinkxxxxxxxxxxxxxxxHook クラスディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64) 上の 64 ビット プロセス64 ビット Windows OS (x64) 上の 64 ビット プロセスhook:XP2K3V2K87XP2K3V2K87XP2K3V2K87set_windows_hookxxxxxxxxxxxxxxxIllegal API Use クラスディレクティブ32 ビット Windows OS (x32) 上の 32 ビット プロセス32 ビット Windows OS (x64)上 の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスillegal_api_use:XP2K3V2K87XP2K3V2K87XP2K3V2K87bad_parameterxxxxxxxxxxxxxxxinvalid_callxxxxxxxxxxxxxxx134McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows のカスタム シグネチャIllegal Use クラスディレクティブ32 ビット Windows OS (x32) 上の 32 ビット プロセス32 ビット Windows OS (x64)上 の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスillegal:XP2K3V2K87XP2K3V2K87XP2K3V2K87apixxxxxxxxxxxxxxxISAPI クラスディレクティブ32 ビット Windows OS (x32) 上 の32 ビット プロセス32 ビット Windows OS (x64) 上 の64 ビット プロセス64 ビット Windows OS (x64) 上の 64 ビット プロセスisapi:XP2K3V2K87XP2K3V2K87XP2K3V2K87requestxxxxxxrequrlxxxxxxreqqueryxxxxxxrawdataxxxxxxresponsexxxxxxProgram クラスディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64)上 の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスprogram:XP2K3V2K87XP2K3V2K87XP2K3V2K87runxxxxxxxxxxxxxopen_with_anyxxxxxxxxxxxxxopen_with_create_threadxxxxxxxxxxxxxopen_with_modifyxxxxxxxxxxxxxopen_with_terminatexxxxxxxxxxxxxopen_with_waitxxxxRegistry クラスディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64)上 の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスregistry:XP2K3V2K87XP2K3V2K87XP2K3V2K87createxxxxxxxxxxxxxxxreadxxxxxxxxxxxxxxxdeletexxxxxxxxxxxxxxxmodifyxxxxxxxxxxxxxxxpermissionsxxxenumeratexxxxxxxxxxxxxxxmonitorxxxrestorexxxMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )135

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64)上 の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスregistry:XP2K3V2K87XP2K3V2K87XP2K3V2K87replacexxxloadxxxxxxxxxopen_existing_keyxxxxxxxxxxxxxxxrenamexxxxxxxxxServices クラスディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64) 上の 64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスservices:XP2K3V2K87XP2K3V2K87XP2K3V2K87startxxstopxxpausexxcontinuexxstartupxxxxxxxxxxxxxxxprofile_enablexxxxxxxxxxxxxxxprofile_disablexxxxxxxxxxxxxxxlogonxxxxxxxxxxxxxxxcreatexxxxxxxxxxxxxxxdeletexxxxSQL クラスディレクティブ32 ビット Windows OS (x32)上 の 32 ビット プロセス32 ビット Windows OS (x64) 上 の64 ビット プロセス64 ビット Windows OS (x64)上 の 64 ビット プロセスsql:XP2K3V2K87XP2K3V2K87XP2K3V2K87requestxxxxxxxxxWindows 以 外 のカスタム シグネチャこのセクションでは、Solaris と Linux プラットフォーム 用 のカスタム シグネチャを 作 成する 方 法 について 説 明 します。注 意 : Windows の Files クラスのルールは、パスに 二 重 のラッシュを 使 用 しますが、Windows以 外 の UNIX_file クラスのルールのパスではスラッシュを 一 つだけ 使 用 します。シグネチャのクラスは、セキュリティの 問 題 の 性 質 と、シグネチャで 提 供 できる 保 護 によって 異 なります。Solaris と Linux の 場 合 、 次 のクラスが 使 用 できます。136McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャクラスUNIX_fileUNIX_apacheUNIX_MiscUNIX_boUNIX_mapUNIX_GUID用 途Solaris と Linux でのファイルまたはディレクトリ 操 作の 保 護Solaris と Linux の http 要 求Solaris と Linux のアクセス 保 護バッファ オーバーフロー 用 。Solaris のみ。ファイルやデバイスとメモリのマッピング。Solaris のみ。実 行 ファイルの 所 有 者 またはグループの 権 限 での 実 行 ファイルの 許 可 。Solaris のみ。Solaris/Linux クラス UNIX_file以 下 の 表 では、Unix ベースのクラス UNIX_file に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルfilessourcefile値UNIX_file「 共 通 セクション」を 参 照 してください。操 作 に 必 要 なファイルまたはフォルダ対 象 ファイル 名 。ソース ファイル 名 のパーミッション リストメモ必 須 パラメータの 一 つ。 検 索 するファイル。 注1 を 参 照 してください。必 須 パラメータの 一 つ。 注 1 を 参 照 してください。Solaris のみ。これはオプションです。 注 2 を参 照 してください。new新 しく 作 成 されたファイルまたは 変 更 されたパーミッションのモードSolaris のみ。これはオプションです。 注 2 を参 照 してください。zonedirectivesシグネチャを 適 用 するゾーン 名unixfile:chdirunixfile:chmodunixfile:chownunixfile:createunixfile:linkunixfile:mkdirunixfile:readSolaris 10 以 降 。 注 5 を 参 照 してください。作 業 ディレクトリを 変 更 します。ディレクトリまたはファイルのパーミッションを 変 更 します。ディレクトリまたはファイルの 所 有 権 を 変 更 します。ファイルを 作 成 します。ハード リンクを 作 成 します。 注 3 を 参 照 してください。ディレクトリを 作 成 します。読 み 取 り 専 用 モードでファイルを 開 きます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )137

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャセクション値unixfile:renameunixfile:rmdirunixfile:symlinkunixfile:unlinkunixfile:writeunixfile:setattrunixfile:mknodunixfile:accessunixfile:foolaccessunixfile:priocntlメモファイル 名 を 変 更 します。 注 4 を 参 照 してください。ディレクトリを 削 除 します。シンボリック リンクを 作 成 します。ディレクトリからファイルを 削 除 します。または、ディレクトリを 削 除 します。読 み 取 り/ 書 き 込 みモードでファイルを 開 きます。Linux のみ。ディレクトリまたはファイルのパーミッションと 所 有 権 を 変 更 します。ノードを 作 成 します。ファイルの 属 性 を 変 更 します。 監 視 される 属 性は、 読 み 取 り 専 用 、 隠 し、アーカイブおよびシステムです。Solaris のみ。ファイル 名 は 512 個 の 連 続 した'/' です。Solaris のみ。スケジュール パラメータを 表 示または 設 定 します。注 1各 セクションに 関 連 するディレクティブ:ディレクティブファイルソースファイル パーミッション新 しいパーミッションchdirXXchmodXXXchownX作 成XXXリンクXmkdirX読 み 取 りX名 前 の 変 更XXrmdirXsetattrXシンボリック リンクXXXリンク 解 除X書 き 込 みX注 2file permissions セクションと new permissions セクションの 値 は、アクセス 制 御 リスト(ACL) に 対 応 しています。これらのセクションでは SUID または SGID の 値 のみ 使 用 できます。138McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャ注 3ディレクティブの Unixfile:link は、files セクションおよび source セクションと 組 み 合わせて 使 用 する 場 合 は 異 なる 意 味 になります。• files セクションと 組 み 合 わせた 場 合 、files セクションで 指 定 したファイルへのリンクの 作 成 が 監 視 されることを 意 味 します。• source セクションと 組 み 合 わせた 場 合 、どのリンクも、source セクションで 指 定 した 名前 を 使 用 して 作 成 できないことを 意 味 します。注 4ディレクティブの unixfile:rename は、files セクションおよび source セクションと 組 み合 わせて 使 用 する 場 合 は 異 なる 意 味 になります。• files セクションと 組 み 合 わせた 場 合 、files セクションで 指 定 したファイルの 名 前 の 変更 が 監 視 されることを 意 味 します。• source セクションと 組 み 合 わせた 場 合 、どのファイルも、source セクションで 指 定 したファイルの 名 前 に 変 更 できないことを 意 味 します。注 5デフォルトでは、すべてのゾーンがシグネチャで 保 護 されます。 特 定 のゾーンに 保 護 を 制 限するには、シグネチャの zone セクションを 追 加 し、ソーン 名 を 設 定 します。たとえば、app_zone というゾーン 名 で root が /zones/app の 場 合 、ルールは 次 のようになります。Rule {...file { Include "/tmp/test.log" }zone { Include "app_zone" }... }これは、ゾーン app_zone のファイルにのみ 適 用 されます。グローバル ゾーンには 適 用 されません。このリリースでは、Web サーバ 保 護 を 特 定 のゾーンに 限 定 することはできません。詳 細UNIX_file クラスのセキュリティ イベントの [ 詳 細 ] タブには、 次 のパラメータの 一 部 またはすべてが 表 示 されます。これらのパラメータの 値 は、シグネチャが 呼 び 出 された 理 由 を 理解 するために 役 立 ちます。GUI での 名 前filessourcefile permissionsource permission説 明アクセスされた、またはアクセスが 試 みられたファイルの 名 前 。ファイル 間 でシンボリック リンクを 作 成 する 操 作 の 場 合のみ 適 用 可 能 :ネットワーク リンクの 名 前 。ファイルの名 前 を 変 更 する 操 作 の 場 合 のみ 適 用 可 能 :ファイルの 新 しい 名 前 。ファイルのパーミッション。ファイル 間 でシンボリック リンクを 作 成 する 操 作 の 場 合のみ 適 用 可 能 : 対 象 ファイル (リンク 先 ファイル) のパーミッション。Solaris のみ。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )139

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャGUI での 名 前new permission説 明新 しいファイルを 作 成 する 場 合 、または chmod 操 作 を 実行 する 場 合 のみ 適 用 可 能 : 新 しいファイルのパーミッション。Solaris のみ。Solaris/Linux クラス UNIX_apache (HTTP)以 下 の 表 では、Unix ベースのクラス apache に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルurlquery値UNIX_apache「 共 通 セクション」を 参 照 してください。メモこれはオプションです。 受 信 要 求 の URL の 部 分と 比 較 。 注 1 から 注 4 を 参 照 してください。これはオプションです。 受 信 要 求 のクエリの 部分 と 比 較 。 注 1 から 注 4 を 参 照 してください。methodGET、POST、INDEX およびその 他の 許 可 されている http メソッドのすべてこれはオプションです。 注 4 を 参 照 してください。zonedirectivesシグネチャを 適 用 するゾーン 名apache:requrlapache:reqqueryapache:rawdataSolaris 10 以 降 。 注 5 を 参 照 してください。URL 要 求クエリ 要 求ロー データ 要 求注 1受 信 http 要 求 は、http://www.myserver.com/ {url}?{query} として 表 すことができます。このドキュメントでは、{url} のことを http 要 求 の url 部 分 と 呼 び、{query} のことをhttp 要 求 のクエリ 部 分 と 呼 びます。これにより、URL セクションは {url} と 比 較 され、queryセクションは {query} と 比 較 されると 言 い 表 すことができます。たとえば 次 のルールは、IIS が http 要 求 の http://www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を 受 信 した 場 合 に呼 び 出 されます。Rule {Class UNIX_apacheId 4001level 1url { Include “*abc*” }time { Include “*” }application { Include “*”}140McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャuser_name { Include “*” }directives apache:request}このルールが 呼 び 出 されるのは、{url} が /search/abc.exe であることが、url セクションの 値 (すなわち abc) と 一 致 するためです。注 2比 較 が 行 われる 前 に、 要 求 をエンコードやエスケープ シーケンスでいっぱいにすることができないように、"url" セクションと "query" セクションがデコードされて 正 規 化 されます。注 3"url" セクションと "query" セクションのために 最 大 長 の 制 限 を 定 義 できます。これらのセクションの 値 に ";number-of-chars" を 追 加 すると、{url} や {query} の 文 字 数 が"number-of-chars" より 多 い 場 合 のみ、ルールを 一 致 させることができます。たとえば 次 のルールは、 要 求 の url 部 分 に、abc が 含 まれていて 500 を 超 える 文 字 がある 場 合 にのみ 一致 します。Rule {Class UNIX_apacheId 4001level 1url { Include “*abc*;500” }time { Include “*” }application { Include “*”}user_name { Include “*” }directives apache:request}}注 41 つのルールには、オプションのセクションである url、query、および method のうち、 少なくとも 1 つを 含 める 必 要 があります。注 5デフォルトでは、すべてのゾーンがシグネチャで 保 護 されます。 特 定 のゾーンに 保 護 を 制 限するには、シグネチャの zone セクションを 追 加 し、ソーン 名 を 設 定 します。たとえば、app_zone というゾーン 名 で root が /zones/app の 場 合 、ルールは 次 のようになります。Rule {...file { Include "/tmp/test.log" }zone { Include "app_zone" }... }これは、ゾーン app_zone のファイルにのみ 適 用 されます。グローバル ゾーンには 適 用 されません。このリリースでは、Web サーバ 保 護 を 特 定 のゾーンに 限 定 することはできません。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )141

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャSolaris/Linux クラス UNIX_Misc以 下 の 表 では、Solaris または Linux クラス UNIX_misc に 使 用 可 能 なセクションと 値 を 説明 します。セクションクラスIdleveltimeuser_name実 行 ファイルzonedirectives値UNIX_misc「 共 通 セクション」を 参 照 してください。シグネチャを 適 用 するゾーン 名unixmisc:killagentメモアクセス 保 護 を 行 うその 他 のクラスSolaris 10 以 降 。クライアントへの SIGKILL 信 号 の 送 信 を 防 止 します。Solaris クラス UNIX_bo以 下 の 表 では、Solaris の class_bo (Buffer Overflow) に 使 用 可 能 なセクションと 値 を 説明 します。セクションクラスIdleveltimeuser_name実 行 ファイルprogramzonedirectives値UNIX_bo「 共 通 セクション」を 参 照 してください。プログラム 名シグネチャを 適 用 するゾーン 名unixbo:binargsunixbo:illegal_addressunixbo:execunixbo:environmentunixbo:binenvunixbo:libcメモ検 索 するプログラム。Solaris 10 以 降 。 注 1 を 参 照 してください。バイナリ 引 数不 正 なアドレス。スタックからのプログラムの実 行 など。プログラムの 実 行プログラム 環 境バイナリ 環 境関 数 の 戻 りアドレスが 正 しいスタック フレーム上 にない 場 合 に 使 用 します。注 1デフォルトでは、すべてのゾーンがシグネチャで 保 護 されます。 特 定 のゾーンに 保 護 を 制 限するには、シグネチャの zone セクションを 追 加 し、ソーン 名 を 設 定 します。142McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャたとえば、app_zone というゾーン 名 で root が /zones/app の 場 合 、ルールは 次 のようになります。Rule {...file { Include "/tmp/test.log" }zone { Include "app_zone" }... }これは、ゾーン app_zone のファイルにのみ 適 用 されます。グローバル ゾーンには 適 用 されません。このリリースでは、Web サーバ 保 護 を 特 定 のゾーンに 限 定 することはできません。Solaris クラス UNIX_map以 下 の 表 では、Solaris クラス Unix_map に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルzonedirectives値UNIX_map「 共 通 セクション」を 参 照 してください。シグネチャを 適 用 するゾーン 名mmap:mprotectmmap:mmapメモUNIX ファイルまたはデバイスをメモリにマッピングします。Solaris 10 以 降 。メモリ ページのアクセス 保 護 を 設 定 します。ファイルやデバイスをメモリにマッピングします。Solaris クラス UNIX_GUID以 下 の 表 では、Solaris クラス UNIX_GUID に 使 用 可 能 なセクションと 値 を 説 明 します。セクションクラスIdleveltimeuser_name実 行 ファイルzone値UNIX_GUID「 共 通 セクション」を 参 照 してください。シグネチャを 適 用 するゾーン 名メモ実 行 ファイルの 所 有 者 またはグループのパーミッションで 実 行 ファイルを 実 行 できる Unix アクセス 権 限 フラグを 設 定 します。Solaris 10 以 降 。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )143

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャセクションdirectives値guid:setuidguid:seteuidguid:setreuidguid:setgidguid:setegidguid:setregidメモ実 行 ファイルの 所 有 者 のパーミッションで 実 行ファイルを 実 行 できるユーザ ID を 設 定 します。有 効 なユーザ ID を 設 定 します。実 際 の 有 効 なユーザ ID を 設 定 します。実 行 ファイルのグループのパーミッションで 実行 ファイルを 実 行 できるグループ ID を 設 定 します。有 効 なグループ ID を 設 定 します。実 際 の 有 効 なグループ ID を 設 定 します。UNIX プラットフォームごとのクラスとディレクティブWindows 以 外 のプラットフォームごとに 有 効 なクラスとディレクティブは 次 のとおりです。UNIX_bo クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10unixbo:binargsXXunixbo:illegal_addressXXunixbo:execXXunixbo:enrironmentXXunixbo:binenvXXunixbo:libcXXUNIX_file クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10unixfile:chdirXXXXunixfile:chmodXXXXunixfile:chownXXXXunixfile:createXXXXunixfile:linkXXXXunixfile:mkdirXXXXunixfile:readXXXXunixfile:renameXXXXunixfile:rmhdirXXXXunixfile:setattrXXunixfile:symlinkXXXXunixfile:unlinkXXXXunixfile:writeXXXX144McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 A - カスタム シグネチャと 例 外 の 作 成Windows 以 外 のカスタム シグネチャディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10unixfile:mknodXXXXunixfile:accessXXXXunixfile:foolaccessXXunixfile:priocntlXXUNIX_Misc クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10unixmisc:killagentXXXXUNIX_apache クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10apache:requrlXXXXapache:reqqueryXXXXapache:rawdataXXXXUNIX_map クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10mmap:mprotectXXmmap:mmapXXUNIX_GUID クラスディレクティブRedHat LinuxSuSE LinuxSolaris 9Solaris 10guid:setuidXXguid:seteuidXXguid:setreuidXXguid:setgidXXguid:setegidXXguid:setregidXXMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )145

付 録 B - トラブルシューティングMcAfee サポート サイト (http://mcafee.com) で KnowledgeBase の 記 事 を 参 照 すると、 問題 とトラブルシューティングに 関 する 最 新 のサポート 情 報 を 確 認 できます。 最 新 の 情 報 はKB69184 です。目 次全 般 的 な 問 題Host IPS ログClientcontrol.exe ユーティリティ全 般 的 な 問 題ソフトウェアを 正 常 に 動 作 させるには、クライアント システムに Host Intrusion Preventionのどのサービスをインストールして 実 行 する 必 要 がありますか?IPS またはファイアウォール (あるいはその 両 方 ) で 侵 入 防 止 を 行 うには、 次 のサービスを常 時 アクティブにしておく 必 要 があります。• McAfee Host Intrusion Prevention Service (FireSvc.exe)• McAfee Firewall Core Service (mfefire.exe)• McAfee Validation Trust Protection Service (mfevtps.exe)次 のサービスは、 呼 び 出 し 時 にアクティブになっている 必 要 があります。• McAfee Host Intrusion Prevention システム トレイ アイコン サービス (FireTray.exe).• McAfee Host Intrusion Prevention クライアント コンソール (McAfeeFire.exe)IP 以 外 のトラフィックがファイアウォールでブロックされないようにするには、どうしたらよいですか。ファイアウォール ルールで 特 に 指 定 しない 限 り、IP 以 外 のトラフィックの 一 部 はファイアウォールに 認 識 されず、 結 果 としてブロックされます。また、 適 応 モードと 学 習 モードでは、IP 以 外 のプロトコルを 動 的 に 検 出 してファイアウォール ルールを 作 成 しません。IP 以 外 のプロトコルをブロックされないようにするには、[ファイアウォール オプション] ポリシーで [サポートされていないプロトコルのトラフィックを 許 可 する] を 選 択 します。 次 に、アクティビティ ログで「Allowed Incoming/Outgoing Non-IP Protocol: 0xXXX」を 確 認 します。0xXXX は、プロトコルの IANA Ethernet 番 号 です(htttp://www.iana.org/assignments/ethernet-numbers を 参 照 )。この 情 報 を 使 用 して、 必要 な IP 以 外 のトラフィックを 特 定 し、トラフィックを 許 可 するファイアウォール ルールを作 成 します。146McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティング全 般 的 な 問 題Host Intrusion Prevention のインストール 後 またはコンテンツの 更 新 後 にアプリケーションでエラーが 発 生 したり、 正 常 に 機 能 しなくなった 場 合 、どのようにすれば 良 いですか。Host Intrusion Prevention クライアントのインストールまたは 更 新 後 、あるいはコンテンツの 更 新 後 にアプリケーションの 動 作 が 変 わった 場 合 には、 問 題 の 原 因 がシグネチャなどの要 素 にあるかどうか 確 認 する 必 要 があります。問 題 の 原 因 が IPS シグネチャの 場 合 :1 クライアントで IPS ロギング ( 書 き 込 み 先 は HipShield.log) とファイアウォール ロギング ( 書 き 込 み 先 は FireSvc.log) を 有 効 にします。あるいは、ePolicy Orchestratorサーバのクライアント UI ポリシーでこれらのロギングを 有 効 にして 問 題 を 再 現 します。2 HipShield.log で VIOLATION: を 検 索 して、 の 違 反 情 報 を 確 認 します。3 イベントによって 新 しいシグネチャがアクティビティをブロックしている 場 合 、ePolicyOrchestrator サーバの [レポート] の 下 にある [Host IPS] で [イベント] タブを 開き、 例 外 を 作 成 します。 例 外 は、イベントの 詳 細 パラメータを 使 用 して 可 能 限 り 詳 しく設 定 してください。4 イベントの 詳 細 パラメータが 制 限 されている 場 合 には、イベント 関 連 のシグネチャを 表示 します。IPS シグネチャの 説 明 に Common Vulnerabilities and Exposures (CVE) の項 目 がある 場 合 には、セキュリティ 更 新 パッチが 使 用 できます。このパッチを 適 用 してシグネチャを 無 効 にします。問 題 の 原 因 が IPS シグネチャでない 場 合 :1 すべての Host Intrusion Prevention モジュール (IPS、ネットワーク IPS、ファイアウォール) を 無 効 にして、 問 題 が 発 生 するかどうか 再 度 確 認 します。2 IPS を 無 効 にして Host Intrusion Prevention クライアント サービス (FireSvc.exe)を 停 止 して、 問 題 が 発 生 するかどうか 再 度 確 認 します。3 問 題 が 発 生 しない 場 合 には、ePolicy Orchestrator サーバの [ファイアウォール オプション] ポリシーで [サポートされていないプロトコルのトラフィックを 許 可 する] を選 択 し、ポリシーをクライアントに 適 用 します。このオプションを 設 定 して 再 度 確 認 します。 注 :ファイアウォールが 無 効 になっていても、Host Intrusion Prevention がアクティブであれば、トラフィックがドロップする 場 合 があります。4 以 上 の 操 作 を 行 っても 問 題 が 解 決 しない 場 合 には、McAfee NDIS Intermediate FilterMiniport アダプタを 無 効 にして、 問 題 が 発 生 するかどうか 再 度 確 認 します。5 以 上 の 操 作 を 行 っても 問 題 が 解 決 しない 場 合 には、McAfee NDIS Intermediate FilterMiniport アダプタを 削 除 して、 問 題 が 発 生 するかどうか 再 度 確 認 します。 詳 細 については、KnowledgeBase の 記 事 51676 ( http://knowledge.mcafee.com) を 参 照 してください。6 NDIS の 削 除 後 、 問 題 が 発 生 しない 場 合 には、KnowledgeBase の 記 事 68557 (http://knowledge.mcafee.com) を 参 照 してください。NDIS が 削 除 され、Microsoft PassThru ドライバがインストールされた 状 態 でテストを 行 ってください。問 題 発 生 時 に IPS モジュールが 有 効 で、 同 時 に HipShield.log に 違 反 が 記 録 されていない 場 合 :1 アプリケーションに 関 連 付 けられている 実 行 ファイルを 特 定 します。2 Host IPS アプリケーション 保 護 リストから 実 行 ファイルを 削 除 し、 保 護 対 象 外 にします。3 アプリケーションが 正 常 に 動 作 しているかどうか 再 度 確 認 します。 結 果 を 記 録 します。4 手 順 2 で 除 外 した 実 行 ファイルを 追 加 します。5 問 題 の 原 因 となっている 可 能 性 がある IPS エンジンを 隔 離 します。 詳 細 については、KnowledgeBase の 記 事 54960 ( http://knowledge.mcafee.com) を 参 照 してください。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )147

付 録 B - トラブルシューティング全 般 的 な 問 題6 問 題 の 原 因 となっている IPS エンジンを 特 定 します。問 題 の 原 因 を 特 定 するために Host IPS コンポーネントをどのように 隔 離 すればよいですか。注 意 : このプロセスでは、 再 起 動 とログインを 繰 り 返 し、 問 題 を 何 度 も 再 現 します。 以 下 の操 作 は、ローカルのクライアント システムで Host IPS コンソールから 実 行 してください。問 題 の 原 因 が 判 明 しても 解 決 方 法 が 分 からない 場 合 には、 取 得 したログを McAfee サポートに 送 付 してください。すべてのコンポーネントを 無 効 にしてエラーのテストを 行 う:1 IPS を 無 効 にします。[IPS ポリシー] タブをクリックして、[Host IPS を 有 効 にする]と [ネットワーク IPS を 有 効 にする] の 選 択 を 解 除 します。2 ファイアウォールを 無 効 にします。[ファイアウォール ポリシー] タブをクリックして、[ファイアウォールを 有 効 にする] の 選 択 を 解 除 します。3 [ブロックされたホスト] リストのクリアします。[ブロックされたホスト] タブをクリックして、 項 目 を 選 択 して [ 削 除 ] をクリックし、リストをクリアします。4 アクティビティ ログを 有 効 にします。[アクティビティ ログ] タブをクリックして、すべてのトラフィック ロギングとフィルタ オプションのチェックボックスが 選 択 されているかどうか 確 認 します。5 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。• 問 題 が 解 決 しない 場 合 には、 手 順 6 に 進 みます。• 問 題 が 解 決 した 場 合 には、「 反 復 テスト フェーズ」の 手 順 1 に 進 みます。6 以 下 の 点 を 確 認 します。• McAfee Host IPS サービスを 停 止 して 再 度 確 認 します。 問 題 が 解 決 された 場 合 には、サービスに 直 接 関 係 する 問 題 として 問 題 を 報 告 します。• ローカル システムから Host IPS クライアントを 削 除 して 再 度 確 認 します。 問 題 が解 決 された 場 合 には、 特 定 のコンポーネントではなく、インストール 済 みのファイルに 関 係 する 問 題 として 問 題 を 報 告 します。各 コンポーネントの 反 復 テスト フェーズ:Host IPS のテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [IPS ポリシー] タブをクリックして、[Host IPS を 有 効 にする] を 選 択 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。• 問 題 が 再 現 されない 場 合 には、「 手 順 5 ネットワーク IPS のテスト」に 進 みます。• 問 題 が 解 決 されない 場 合 :1 [ホスト IPS を 有 効 にする] の 選 択 を 解 除 します。2 問 題 が 解 決 されたかどうか 再 度 確 認 します。 問 題 が 解 決 された 場 合 、Host IPS に問 題 がある 可 能 性 があります。3 アクティビティ ログのコピーを 作 成 して「Host IPS Activity Log wProb」という 名 前 に 変 更 し、サポートに 報 告 します。4 [Host IPS を 有 効 にする] を 選 択 して、 問 題 が 再 度 発 生 するかどうかを 確 認 します。すべての IPS エンジンのテスト1 [ヘルプ] をクリックして [トラブルシューティング] を 選 択 します。2 IPS ロギングの 下 の [エラー] を 選 択 します。148McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティング全 般 的 な 問 題3 [セキュリティ 違 反 のログの 記 録 ] を 選 択 します。4 [ 機 能 ] をクリックします。5 [HIPS エンジン] ダイアログ ボックスで [すべてのエンジンを 有 効 / 無 効 にする] の 選択 を 解 除 し、[OK] をクリックします。6 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。7 次 のいずれかの 操 作 を 実 行 します。• 問 題 が 再 度 発 生 する 場 合 には、 問 題 が 特 定 のエンジンではなく IPS コンポーネントが 原 因 かどうか 確 認 します。hipshield.log で、IPS コンポーネントに 問 題 があるかどうか 確 認 します。• 問 題 が 発 生 しない 場 合 には、 特 定 のエンジンが 原 因 で 問 題 が 発 生 している 可 能 性 があります。 次 の 手 順 「 各 IPS エンジンのテスト」に 進 みます。各 IPS エンジンのテスト1 [ヘルプ] をクリックして [トラブルシューティング] を 選 択 します。2 IPS ロギングの 下 の [エラー] を 選 択 します。3 [セキュリティ 違 反 のログの 記 録 ] を 選 択 します。4 [ 機 能 ] をクリックします。5 エンジンを 選 択 して 再 度 確 認 します。エンジンは 1 回 に 1 つだけ 選 択 します。6 各 テスト 後 の hipshield log のコピーを 保 存 して、テストしたエンジンの 名 前 をログのファイル 名 に 付 けてサポートに 報 告 します。7 テストが 完 了 したら、すべてのエンジンを 使 用 して 次 の 手 順 に 進 みます。IPS 適 応 モードのテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [IPS ポリシー] タブをクリックして、[ 適 応 モードを 有 効 にする] を 選 択 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。4 次 のいずれかの 操 作 を 実 行 します。• 問 題 が 発 生 する 場 合 には、[ 適 応 モードを 有 効 にする] の 選 択 を 解 除 して、 問 題 が 解決 するかどうか 再 度 確 認 します。 解 決 しない 場 合 、 適 応 モードの Host IPS が 原 因 で問 題 が 発 生 している 可 能 性 があります。アクティビティ ログのコピーを 作 成 して「Host IPS Adaptive Activity Log wProb」という 名 前 に 変 更 し、サポートに 報 告 します。• 問 題 が 発 生 しない 場 合 には、[Host IPS を 有 効 にする] の 選 択 を 解 除 して 次 の 手 順 に進 みます。ネットワーク IPS のテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [IPS ポリシー] タブをクリックして、[ネットワーク IPS を 有 効 にする] を 選 択 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。4 次 のいずれかの 操 作 を 実 行 します。• 問 題 が 発 生 する 場 合 には、[ネットワーク IPS を 有 効 にする] の 選 択 を 解 除 して、 問題 が 解 決 するかどうか 再 度 確 認 します。 解 決 した 場 合 、ネットワーク IPS が 原 因 で問 題 が 発 生 している 可 能 性 があります。アクティビティ ログのコピーを 作 成 して「Network IPS Activity Log wProb」という 名 前 に 変 更 し、サポートに 報 告 します。• 問 題 が 発 生 しない 場 合 には、[ネットワーク IPS を 有 効 にする] を 選 択 して 次 の 手 順に 進 みます。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )149

付 録 B - トラブルシューティング全 般 的 な 問 題ネットワーク IPS の 自 動 ブロックのテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [IPS ポリシー] タブをクリックして、[ネットワーク IPS を 有 効 にする] を 選 択 します。3 [ 攻 撃 者 を 自 動 的 にブロックする] チェックボックスをクリックします。4 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。abc[ 攻 撃 者 を 自 動 的 にブロックする] の 選 択 を 解 除 して、 問 題 が 解 決 したかどうか 再 度確 認 します。 解 決 した 場 合 、 攻 撃 者 ブロック モードのネットワーク IPS が 原 因 で問 題 が 発 生 している 可 能 性 があります。[ブロックされたホスト] タブをクリックして、ブロックされた 攻 撃 者 の 項 目 をメモし、 誤 検 知 かどうか 確 認 します。アクティビティ ログのコピーを 作 成 して「Network IPS Adaptive Activity LogwProb」という 名 前 に 変 更 し、サポートに 報 告 します。5 問 題 が 発 生 しない 場 合 には、[ネットワーク IPS を 有 効 にする] の 選 択 を 解 除 して 次 の手 順 に 進 みます。ファイアウォール ポリシーのテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [ファイアウォール ポリシー] タブをクリックして、[ファイアウォールを 有 効 にする]を 選 択 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。abc[ファイアウォールを 有 効 にする] の 選 択 を 解 除 します。問 題 が 解 決 されたかどうか 再 度 確 認 します。 解 決 した 場 合 、Host IPS ファイアウォールが 原 因 で 問 題 が 発 生 している 可 能 性 があります。アクティビティ ログ のコピーを 作 成 して 名 前 を Firewall Activity Log wProb に変 更 します。4 問 題 が 発 生 しない 場 合 には、[ファイアウォールを 有 効 にする] を 選 択 して 次 の 手 順 に 進みます。ファイアウォールの 学 習 モードのテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [ファイアウォール ポリシー] タブをクリックして、[ 学 習 モード] と [ 受 信 ] を 選 択 します。[ 送 信 ] の 選 択 を 解 除 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。abcd[ 受 信 ] の 選 択 を 解 除 します。問 題 が 解 決 されたかどうか 再 度 確 認 します。 解 決 した 場 合 、 受 信 学 習 モードのファイアウォールが 原 因 で 問 題 が 発 生 している 可 能 性 があります。アクティビティ ログのコピーを 作 成 して「Firewall Activity Log LearnIN wProb」という 名 前 に 変 更 し、サポートに 報 告 します。[アクティビティ ログ] タブをクリックしてログをクリアします。4 [アクティビティ ログ] タブをクリックしてログをクリアします。5 [ファイアウォール ポリシー] タブをクリックして、[ 学 習 モード] と [ 送 信 ] を 選 択 します。[ 受 信 ] の 選 択 を 解 除 します。150McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティング全 般 的 な 問 題6 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。abcd[ 送 信 ] の 選 択 を 解 除 します。問 題 が 解 決 されたかどうか 再 度 確 認 します。 解 決 した 場 合 、 送 信 学 習 モードのファイアウォールが 原 因 で 問 題 が 発 生 している 可 能 性 があります。アクティビティ ログのコピーを 作 成 して「Firewall Activity Log LearnOUT wProb」という 名 前 に 変 更 し、サポートに 報 告 します。[アクティビティ ログ] タブをクリックしてログをクリアします。7 [ファイアウォール ポリシー] タブに 移 動 します。8 [ファイアウォール ポリシー] タブをクリックして、[ 学 習 モード]、[ 受 信 ] と [ 送 信 ]を 選 択 します。9 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。a[ 受 信 ] と [ 送 信 ] の 選 択 を 解 除 します。b 問 題 が 解 決 されたかどうか 再 度 確 認 します。 解 決 した 場 合 、 受 信 および 送 信 学 習 モードのファイアウォールが 原 因 で 問 題 が 発 生 している 可 能 性 があります。cアクティビティ ログのコピーを 作 成 して「Firewall Activity Log LearnINOUTwProb」という 名 前 に 変 更 し、サポートに 報 告 します。ファイアウォールの Any Any ルールのテスト注 意 : この 手 順 では、ファイアウォール ルール リストの 最 初 のルールを Any Any テストルールにする 必 要 があるため、ePO 管 理 コンソールからの 設 定 が 必 要 になる 場 合 があります。他 のポリシーをコンソールから 設 定 している 場 合 には、ローカルで 作 成 したルールよりも 優先 順 位 を 高 くしてください。1 新 しいルールを 作 成 して「Any Any」という 名 前 を 付 けます。2 アクションを「 許 可 」に 設 定 します。3 プロトコルを「IP TCP」に 設 定 します。4 方 向 を「いずれか」に 設 定 します。5 ルールを 保 存 します。ePO コンソールでポリシーにルールを 作 成 した 場 合 には、ポリシーリストで Any Any ルールを 最 初 のルールにします。ルールをローカルで 作 成 した 場 合 には、 他 のルールの 優 先 度 をこのルールよりも 低 くしてください。6 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、次 の 操 作 を 行 います。abcdeAny Any ルールの 選 択 を 解 除 します。問 題 が 解 決 されたかどうか 再 度 確 認 します。 問 題 が 解 決 した 場 合 には、ルールの 設定 エラーが 原 因 で 問 題 が 発 生 している 可 能 性 があります。[ファイアウォール ポリシー] タブで、ファイアウォール リストのスクリーンショットを 取 得 します。アクティビティ ログ のコピーを 作 成 して 名 前 を Firewall Activity Log AnyAnyTest に 変 更 します。Host IPS ポリシー の 設 定 をエクスポートします。abcdePO コンソールにログオンします。ePO システム ツリーで [ポリシー カタログ] オブジェクトに 移 動 します。「Host IPS」を 選 択 して 展 開 します。[すべてのポリシーをエクスポート] をクリックします。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )151

付 録 B - トラブルシューティングHost IPS ログ7 [ファイアウォール ポリシー] タブをクリックして [ファイアウォールを 有 効 にする]チェックボックスの 選 択 を 解 除 して、 次 の 手 順 に 進 みます。ブロックされたホスト ポリシーのテスト1 [アクティビティ ログ] タブをクリックしてログをクリアします。2 [ブロックされたホスト] タブをクリックして、ブロックされたホストをすべてリストから 削 除 します。3 システムをテストし、 問 題 が 再 現 されるかどうか 確 認 します。 問 題 が 発 生 する 場 合 には、ブロックされたホストが 原 因 で 問 題 が 発 生 している 可 能 性 があります。問 題 の 原 因 が 特 定 できない 場 合 には、McAfee サポートに 連 絡 し、 問 題 の 説 明 してください。また、このプロセスで 取 得 したデータを 送 付 してください。Host IPS ログログ ファイルの 場 所クライアントのオペレーティング システムによって、ログ ファイルの 保 存 場 所 が 異 なります。• Windows XP、Windows 2003 - C:\Documents and Settings\All Users\ApplicationData\McAfee\Host Intrusion Prevention• Windows Vista、Windows 2008、Windows 7 - C:\ProgramData\McAfee\Host IntrusionPreventionロギングを 有 効 にする 方 法Host IPS ロギングは、Host IPS クライアント コンソールまたは ePolicy Orchestrator コンソールの Host IPS クライアント UI ポリシーから 設 定 できます。クライアントからロギングを 有 効 にするには、 次 の 手 順 に 従 います。1 トレイ アイコンから Host IPS コンソールを 開 きます。 管 理 者 パスワードまたは 期 限 付きパスワードを 使 用 して、ユーザ インターフェースのロックを 解 除 します。2 [ヘルプ]、[トラブルシューティング] の 順 に 選 択 します。3 必 要 なロギング 設 定 を 選 択 します。• デバッグ - すべてのメッセージを 記 録 します。• 情 報 - 情 報 、 警 告 、エラー メッセージを 記 録 します。• 警 告 - 警 告 とエラー メッセージを 記 録 します。• エラー - エラー メッセージを 記 録 します。• 無 効 - メッセージを 記 録 しません。ファイアウォール ロギングと IPS ロギングは 別 々に 制 御 されます。クライアント コンソールがロックされ、 次 のポリシー 施 行 が 実 行 されるまで、これらのロギングは 有 効 です。注 意 : HKLM\Software\McAfee\HIP レジストリ キーに DWORD 'debug_enabled' 値 を 追 加 すると、ロギングをローカルで 設 定 できます。10 進 数 の 1 は、 冗 長 デバッグ ロギングを 有 効 にします。ローカルのレジストリ キーを 使 用 してデバッグ ロギングの 設 定 を 変 更 すると、ePolicy Orchestrator で 設 定 したポリシーが 上 書 きされます。ePolicy Orchestrator からロギングを 有 効 にするには、 次 の 手 順 に 従 います。152McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティングHost IPS ログ1 Host IPS の [ 全 般 ] で、クライアントに 適 用 するクライアント UI ポリシーを 編 集 します。2 [トラブルシューティング] タブをクリックします。3 必 要 なロギング 設 定 を 選 択 します。• デバッグ - すべてのメッセージを 記 録 します。• 情 報 - 情 報 、 警 告 、エラー メッセージを 記 録 します。• 警 告 - 警 告 とエラー メッセージを 記 録 します。• エラー - エラー メッセージを 記 録 します。• 無 効 - メッセージを 記 録 しません。ファイアウォール ロギングと IPS ロギングは 別 々に 制 御 されます。これらのロギング設 定 は、 次 のポリシー 施 行 時 に 適 用 されます。Host IPS コンポーネントとログ ファイルHost IPS コンポーネントの 基 本 的 なログ ファイルは HipShield.log です。ログ ファイルの 最 大 サイズは 128 MB です。バックアップは 1 つ 作 成 されます。ログ ファイルの 再 利 用 は、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP レジストリ キーのDWORD 項 目 (log_rotate_size_kb と log_rotate_count) で 制 御 します。log_rotate_countキーによって、 保 存 されるバックアップ ログ ファイルの 数 が 決 まります。entrylog_rotate_size_kb は、バックアップ ログ ファイルのサイズ (KB 単 位 ) です。0 に設 定 すると、ログの 再 利 用 は 無 効 になります。log_rotate_size_kb に 設 定 されたサイズを 超 えると、ファイルを 閉 じ、ファイル 名 の 最 後 に.1 というサフィックスが 付 きます。 同 じ 名 前 のファイルが 存 在 していると、サフィックスが1 つづ 増 えます。バックアップ ファイルの 最 大 数 になると、 最 も 古 いファイルが 削 除 されます。注 意 : McAfee サポートに 報 告 するインシデント データを 収 集 する 場 合 、debug_enabled レジストリを 作 成 して 値 を 1 に 設 定 することをお 勧 めします。このレジストリ 値 を 使 用 すると、シグネチャ プロパティのログ ステータスの 設 定 に 関 係 なく、Host IPS とネットワークIPS のすべてのイベントが HIPShield.log に 記 録 されます。サービスを 停 止 して、 古 いログファイルを 削 除 し、サービスを 再 起 動 してログを 再 生 成 します。これにより、ログ ファイルのサイズが 最 小 になります。HipShield.log の 内 容Host IPS コンポーネントを 実 行 すると、 実 行 されるビルドとセッションのタイムスタンプが分 かるバナー ステートメントが 表 示 されます。HipShield ログの 各 項 目 は、タイムスタンプの 後 にデータの 種 類 ( 情 報 、デバッグ、エラー) が 記 録 されます。HipShield のデータは 特別 で、Host IPSコンポーネントによって 異 なります。重 要 な 領 域 は 次 のとおりです。• 「In install modules new」で 始 まる 行 は、Host IPS コンポーネントの 開 始 時 にファイルがコピーされたことを 表 します。ファイルのコピーに 失 敗 すると、Host IPS コンポーネントは 開 始 しません。• 「Scrutinizer initialized successfully」で 始 まる 行 は、Scrutinizer の 初 期 化 で HostIPS コンポーネントの 読 み 込 みに 成 功 していることを 意 味 します。これは、 前 述 のファイルが 正 しくコピーされているかどうかによって 異 なります。• 「New Process: Pid=」で 始 まる 行 は、Host IPS コンポーネントでプロセス 作 成 の 監 視 が可 能 になったことを 意 味 します。• 「IIS - Start」で 始 まる 行 は、IIS による 監 視 が 開 始 したことを 意 味 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )153

付 録 B - トラブルシューティングHost IPS ログ• 「Scrutinizer started successfully ACTIVATED status」で 始 まる 行 は、Scrutinizerが 正 常 に 開 始 したことを 意 味 します。• 「Hooking xxx」で 始 まる 行 は、プロセス フックの 処 理 中 であることを 意 味 します。xxxは、フックされているプロセスの PID (プロセス ID) です。• 「Processing Buffer xxx.scn」で 始 まる 一 連 の 行 は、スキャン ファイル xxx.scn の 処理 結 果 を 報 告 しています。xxx は、EnterceptMgmtServer のような 名 前 です。スキャンファイルのスキャン エラーがここで 報 告 されます。• 「signature=111 level=2, log=True」という 形 式 の 行 は、 個 々のシグネチャが 読 み 込 まれたことを 意 味 しています。シグネチャ ID とレベルで、このシグネチャでロギングが 有効 かどうか 分 かります。注 意 : デバッグを 有 効 にした 場 合 にのみ Shield.db と except.db がログと 同 じディレクトリに 作 成 されます。これらのファイルには、AgentNT.dll がコンテンツを 処 理 した 後 のカーネルに 送 信 されるルールと 例 外 のダンプが 記 録 されます。ファイアウォール コンポーネントとログ ファイルファイアウォール コンポーネントの 基 本 的 なログ ファイルと 内 容 は 次 のとおりです。名 前説 明記 録 されるデータFireSvc.log メインのサービス ログ • デバッグ レベルのロギング• 出 力 に 一 致 する 場 所• TrustedSource 接 続 評 価 の 出 力• エラー/ 警 告HipMgtPlugin.log McAfee Agent プラグイン • デバッグ レベルのロギングログ• ポリシー 施 行 のタイミング 統 計• エラー/ 警 告FireTray.log/McTrayHip.log トレイ ログ• デバッグ レベルのロギング• エラー/ 警 告FireUI.log クライアント UI ログ • デバッグ レベルのロギング• エラー/ 警 告これらのログ ファイルには、デフォルトの 最 大 サイズの 100MB になるまでデータが 記 録 されます。ログ ファイルのサイズを 変 更 するには、 次 のレジストリ 値 を 追 加 します。HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSizeログ サイズを 設 定 するには、 次 の 手 順 に 従 います。1 HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP レジストリ キーを 選 択 して、 右 ペインの 空白 部 分 を 右 クリックし、[ 新 規 ]、[Dword 値 ] の 順 に 選 択 します。2 新 しい 値 に「MaxFwLogSize」という 名 前 を 設 定 します。3 MaxFwLogSize を 右 クリックして [ 変 更 ] を 選 択 します。4 ログ サイズに 必 要 な 値 に 変 更 します。 値 は KB 単 位 で 入 力 します。5 [OK] をクリックして、レジストリ エディタをクリックします。注 意 : MaxFwLogSize レジストリ キーによって、FireSvc.log、HipMgtPlugin.log、FireTray.logand FireUI.log のサイズを 制 御 できます。 前 述 のレジストリ キーに 値 を 作 成して 割 り 当 てると、これらのログ ファイルの 最 大 サイズが 設 定 されます。154McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティングClientcontrol.exe ユーティリティClientcontrol.exe ユーティリティこのコマンドライン ユーティリティを 使 用 すると、クライアント コンピュータへの HostIntrusion Prevention の 配 布 にサードパーティ ソフトウェアを 使 用 している 場 合 に、 自 動アップグレードやその 他 のメンテナンス タスクを 行 うことができます。このインストールとメンテナンス スクリプトを 実 行 すると、IPS 保 護 を 一 時 的 に 無 効 にしてロギング 機 能 を 有 効にできます。機 能 とセットアップこのユーティリティを 使 用 すると、 管 理 者 は、McAfee Host IPS クライアントに 次 の 操 作 を実 行 できます。• Host IPS サービスの 開 始• Host IPS サービスの 停 止 ( 管 理 者 または 期 限 付 きのパスワードが 必 要 )• ログ 設 定 の 変 更 ( 管 理 者 または 期 限 付 きのパスワードが 必 要 )• Host IPS エンジンの 開 始 と 停 止 ( 管 理 者 または 期 限 付 きのパスワードが 必 要 )• 書 式 設 定 されたテキスト ファイルへのアクティビティ ログのエクスポート• クライアント コンピュータのレジストリに 登 録 されている NaiLite ライセンス データの 表 示• 書 式 設 定 されたテキスト ファイルへの 設 定 情 報 のエクスポート• デフォルト ポリシー 設 定 での 設 定 情 報 の 置 換• レジストリからの IPS 起 動 時 保 護 ルールのエクスポートこのユーティリティは、 次 の 場 所 にある ClientControl.log にアクティビティを 記 録 します。C:\Documents and Settings\All Users\Application Data\McAfee\Host IntrusionPrevention。Windows Vista、Windows 2008、Windows 7 の 場 合 には、C:\ProgramData\McAfee\Host Intrusion Prevention。ロギングを 有 効 にするには、レジストリの HKLM\Software\McAfee\HIP を 変 更 し、DWORD タイプ FwLogLevel を 追 加 して、 値 を 0x7 に 設 定 します。Host IPS サービスの 停 止ユーザにサービスを 停 止 する 管 理 者 権 限 がある 場 合 、/stop パラメータを 指 定 すると、HostIPS サービスを 停 止 できます。ユーザにコンピュータでサービスを 停 止 する 権 限 がある 場 合 、次 の 処 理 が 実 行 されます。• Host IPS サービスが 無 効 になります。[IPS ポリシー] タブの [Host IPS] チェックボックスの 選 択 が 自 動 的 に 解 除 されます。• Host IPS サービスは 停 止 しません。ClientControl.log に 項 目 が 作 成 されます。• 次 のポリシー 施 行 間 隔 で McAfee Agent がポリシーを 施 行 します。• 保 護 を 無 効 にする 必 要 がある 作 業 を 行 っているときに (Windows パッチの 適 用 など) McAfeeAgent がポリシーを 施 行 すると、 施 行 されたポリシーによって 操 作 がブロックされる 可 能性 があります。Host IPS サービスの 停 止 に 成 功 しても、ポリシー 設 定 によっては、 次 のエージェント/サーバ 間 通 信 (ASCI) で McAfee Agent がサービスを 再 起 動 する 場 合 があります。この 処 理 を 回避 するには、 次 の 手 順 に 従 います。1 ePolicy Orchestrator で Host Intrusion Prevention の 全 般 ポリシーを 開 きます。2 [ 詳 細 設 定 ] タブを 選 択 します。3 [ 製 品 の 整 合 性 確 認 を 実 行 する] の 選 択 を 解 除 します。McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )155

付 録 B - トラブルシューティングClientcontrol.exe ユーティリティ4 エージェント ウェークアップ コールを 実 行 します。コマンドライン 構 文表 記 規 則 :• [ ] は 必 須 を 意 味 します。• [xxx, ...] は 1 つ 以 上 を 意 味 します。• < > はユーザが 入 力 するデータを 意 味 します。主 な 引 数 :次 の 引 数 は 呼 び 出 し 時 に 1 回 だけ 使 用 できます。• /help• /start• /stop• /log• /engine• /exportただし、ログ 設 定 を 変 更 する 場 合 には、 複 数 のログ オプションを 指 定 できます。/help コマンドを 使 用 してユーティリティを 実 行 すると、 最 新 のヘルプ 情 報 と 補 足 情 報 が 表示 されます。使 用 方 法 :clientcontrol [arg]引 数 の 定 義 :• /helpコマンドライン 構 文 と 説 明 を 表 示 します。• /startサービスを 開 始 します。• /stop サービスを 停 止 します。• /log [ログの 種 類 ] [ログ オプション]ログを 生 成 します。ログ オプションは 順 番 に 処 理 されます。ログの 種 類 は 次 のとおりです。• 0 = HIPS (HipShield.log を 作 成 )• 1 = Firewall (FireSvc.log を 作 成 )ログ オプションは 次 のとおりです。• 0 = オフ• 1 = エラー• 2 = 警 告• 3 = 情 報• 4 = デバッグ• 5 = セキュリティ 違 反 (IPS のみ)• /engine [エンジンの 種 類 ] [エンジン オプション]156McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

付 録 B - トラブルシューティングClientcontrol.exe ユーティリティエンジンをオフまたはオンにします。エンジンの 種 類 は 次 のとおりです。• 0 = すべて• 1 = バッファ オーバーフロー• 2 = SQL (サーバのみ)• 3 = レジストリ• 4 = サービス• 5 = ファイル• 6 = HTTP (サーバのみ)• 7 = Host IPS API• 8 = 不 正 利 用• 9 = プログラム• 10= フックエンジン オプションは 次 のとおりです。• 0 = オフ• 1 = オン• /export /s 書 式 設 定 されたテキスト ファイルにイベント ログをエクスポートします。ソース ファイルのパスはオプションです。ソース ファイルがない 場 合 には /s を 付 けないでください。• /readNaiLicNaiLite ライセンス データを 表 示 します。• /exportConfig < 設 定 タイプ>書 式 設 定 されたテキスト ファイルに 設 定 情 報 をエクスポートします。設 定 情 報 の 種 類 は 次 のとおりです。• 0 = すべて• 1 = アプリケーション 保 護• 2 = ブロックされたホスト• 3 = ファイアウォール• 4 = Host IPS カスタム シグネチャ• 5 = IPS 例 外• 6 = 設 定• 7 = 信 頼 できるアプリケーション• 8 = 信 頼 できるネットワーク• 9 = ネットワーク IPS シグネチャ• 10 = Host IPS シグネチャ• 11 = Host IPS エンジン• 12 = ログオン セッション• 13 = DNS ブロック ルールMcAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )157

付 録 B - トラブルシューティングClientcontrol.exe ユーティリティ• /defConfig クライアント デフォルト ポリシーでアプリケーション 保 護 、ファイアウォール、 信 頼 できるアプリケーションの 設 定 を 置 換 します。• /bootTimeRules 注 意 :書 式 設 定 されたテキスト ファイルに IPS 起 動 時 ルールをエクスポートします。• 引 数 、パスワード、その 他 の 必 須 パスワードの 間 には 1 つ 以 上 のスペースを 入 れてください。サンプル ワークフローMcAfee Host IPS で 保 護 されているコンピュータへのパッチの 適 用1 コマンド シェルを 開 きます。2 clientcontrol.exe /stop を 実 行 します。3 メンテナンス 作 業 を 実 行 します。4 clientcontrol.exe /start を 実 行 します (Host IPS サービスを 再 起 動 します)。テキスト ファイルへの Host IPS アクティビティ ログのエクスポート1 コマンド シェルを 開 きます。2 clientcontrol.exe /export を 実 行 します。3 エクスポートされたログ ファイルを 別 のコンピュータにコピーし、データの 収 集 と 分 析を 行 います。トラブルシューティングでのロギング 機 能 の 有 効 化1 コマンド シェルを 開 きます。2 clientcontrol.exe /log [ログの 種 類 ] [ログ オプション, ...] を 実 行 します。3 ログ 項 目 を 生 成 する 作 業 を 実 行 します。4 HipShield.log または FireSvc.log で 関 連 する 情 報 を 確 認 します。トラブルシューティングでの 特 定 の Host IPS エンジンの 無 効 化1 コマンド シェルを 開 きます。2 clientcontrol.exe / [エンジンの 種 類 ] [エンジン オプション] を 実 行 します。3 ログ 項 目 と 対 応 を 生 成 する 作 業 を 実 行 します。4 HipShield.log または FireSvc.log で 関 連 する 情 報 を 確 認 します。158McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

索 引記 号[ブロックされたホスト] タブ、 作 業 99CClientControl ユーティリティコマンドライン 構 文 155サービスの 停 止 155トラブルシューティング 155機 能 とセットアップ 155DDNS ブロック ルール作 成 と 編 集 75HHost IPS[ 侵 入 情 報 ] タブ 94アラートへの 対 応 94ポリシーおよびポリシーのカテゴリ 9ポリシーの 種 類 8基 本 的 な 保 護 と 詳 細 な 保 護 7機 能 7機 能 とカテゴリ 9権 限 セット 25動 作 とダッシュボード 13保 護 を 設 定 および 調 整 する 方 法 19Host IPS カタログエクスポート 76コンテンツ 62フィルタリング 76依 存 関 係 62使 用 76説 明 62追 加 76編 集 76Host IPS の 調 整イベントの 分 析 17デフォルト ポリシー 18ポリシーの 管 理 10使 用 方 法 プロファイル 10手 動 と 自 動 19信 頼 できるアプリケーション ポリシー 85適 応 モードと 学 習 モード 21Host IPS プロパティ 変 換 タスク 26IIP アドレスHost IPS の 通 知 およびパラメータ 27ステートフルなファイアウォール、IPv4 と IPv6 64ファイアウォール ルール 97ブロックされたホストの 監 視 99ルール グループ 59IP アドレス ( 続 き)場 所 別 グループ 59信 頼 できるネットワークの 設 定 84IPS イベント概 要 51管 理 52処 理 51信 頼 できるアプリケーション、 作 成 51説 明 35例 外 、 作 成 51IPS オプション ポリシー概 要 31事 前 設 定 ポリシー 37処 理 36設 定 37説 明 8適 応 モード 36IPS ルールのポリシーワイルドカード 45アプリケーション 保 護 ルール 35, 46, 48アプリケーション 保 護 ルール、 設 定 39イベント、 作 業 51イベントのログ 35シグネチャ、 処 理 42シグネチャ、 設 定 39概 要 31設 定 39, 48説 明 8定 義 39例 外 、 設 定 39例 外 の 管 理 50例 外 ルール 49IPS 保 護無 効 36有 効 36IPS 保 護 ポリシー概 要 31重 大 度 レベル、 設 定 37処 理 37処 理 、 設 定 38設 定 38説 明 8IPS、Host IPS権 限 25LLinux クライアント 105, 106, 108インストール ファイルの 確 認 108トラブルシューティング 106, 108ポリシーの 施 行 105概 要 105注 意 事 項 106停 止 と 再 起 動 108McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )159

索 引MMcAfee デフォルト ポリシーDNS ブロック 72Host IPS 9IPS オプション 36IPS ルール 39IPS 保 護 37クライアント UI 80ファイアウォール オプション 69ファイアウォール ルール 72信 頼 できるアプリケーション 85信 頼 できるネットワーク 84McAfee 推 奨 事 項HIPS エンジンを 無 効 にする 場 合 の McAfee サポートへの 問 い 合わせ 93Host IPS クライアントの 論 理 的 なグループ 分 け 20Host IPS のデフォルト ポリシーの 調 整 18Host IPS の 条 件 によるシステムのグループ 化 10イベントの 影 響 を 緩 和 する IPS 保 護 の 使 用 10段 階 的 な Host IPS の 配 備 20NNIPS (ネットワーク 侵 入 防 止 のシグネチャ) 99SSolaris クライアントインストール ファイル 104クライアントの 実 行 状 況 の 確 認 105トラブルシューティング 103バッファ オーバーフローの 防 止 102ポリシーの 施 行 102概 要 102停 止 と 再 起 動 105TTrustedSourceHost IPS ファイアウォール オプション ポリシー 71よくある 質 問 71機 能 71定 義 71WWindows クライアント[IPS ポリシー] タブ 96[アクティビティ ログ] タブ 101[アプリケーション 保 護 ] タブ 100[ファイアウォール ポリシー] タブ 97, 98[ブロックされたホスト] タブ 99, 100IPS ポリシー、 作 業 96IPS ポリシー、 編 集 96IPS ポリシーの 例 外 ルール 96アラート 93トラブルシューティング 92, 93ファイアウォール ルール リスト 97ファイアウォール ルール、 作 成 と 編 集 98概 要 88Windows クライアント コンソールインターフェースのロックの 解 除 90クライアント 別 のカスタマイズ 91システム トレイ アイコンのメニュー 88開 く 方 法 90概 要 88あアクションの 許 可 およびブロックステートフル ファイアウォール フィルタ 65ネットワーク 通 信 、ファイアウォール ポリシー 97アクティビティ ログ、Host IPS[アクティビティ ログ] タブの 操 作 101IPS ロギング オプション 92オプションのカスタマイズ 101ファイアウォール ロギング オプション 93項 目 の 削 除 101表 示 101アプリケーション 保 護 ルールIPS ルールのポリシー 35, 39, 49プロセス、 許 可 またはブロック 46概 要 46作 成 49処 理 46設 定 48説 明 35アラート、Host IPSWindows クライアント 93クライアントのオプションの 設 定 91スプーフィング 検 出 95ファイアウォール 94学 習 モードと 不 明 なネットワーク トラフィック 68侵 入 アラート 94対 応 94, 95いイベント、Host IPSIPS ルールのポリシー 39シグネチャの 違 反 35ファイアウォール、アクティビティ ログ 101ログおよび [IPS イベント] タブ 35解 析 と 調 整 10管 理 52処 理 51侵 入 アラート、 対 応 94通 知 27動 作 ルール 34例 外 35うウェークアップ コールHost IPS クライアントの 更 新 30えエンベロープとシールド 32かカスタム シグネチャLinux 136Linux で 有 効 なディレクティブ 144Linux と Solaris の 概 要 136Linux、UNIX_apache (HTTP) 140Linux、UNIX_file (Files) 137Linux、UNIX_misc 142Solaris 136Solaris で 有 効 なディレクティブ 144Solaris、UNIX_apache (HTTP) 140Solaris、UNIX_bo 142Solaris、UNIX_file (Files) 137Solaris、UNIX_GUID 143160McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

索 引カスタム シグネチャ ( 続 き)Solaris、UNIX_map 143Solaris、UNIX_misc 142Windows で 有 効 なディレクティブ 133Windows の 概 要 116Windows、Buffer Overflow 117Windows、Files 118Windows、Hook 121Windows、Illegal 122Windows、Illegal API Use 122Windows、Isapi 123Windows、Program 126Windows、Registry 127Windows、Services 130Windows、SQL 132Windows、プラットフォームごとのディレクティブ 133オプションのセクション 113セクションでの 値 の 変 数 114ルールの 構 造 110ワイルドカード 114共 通 セクション 111くクエリ、Host IPSカスタム、パラメータ 14レポート 10情 報 の 管 理 13定 義 済 みとカスタム 14動 作 の 追 跡 14クライアントHost IPS クライアントのデータの 解 析 21Host IPS の 調 整 21Host IPS の 命 名 規 則 20Linux (「Linux クライアント」を 参 照 ) 105Solaris (「Solaris クライアント」を 参 照 ) 102Windows (「Windows クライアント」を 参 照 ) 88グループのクエリ 14タスクまたはエージェント ウェークアップ コールによる 更 新30作 業 、Host IPS 20クライアント UI ポリシー[ 全 般 ] タブ、 設 定 81オプション 91トラブルシューティング 82トレイ アイコンの 制 御 、 設 定 81パスワード 81概 要 79設 定 80説 明 8定 義 80クライアント ルールファイアウォール 69, 77Host IPS クエリ 14IPS 39IPS ルールのポリシー、 概 要 54ファイアウォール 69, 77作 成 、 適 応 モードおよび 学 習 モード 10例 外 の 作 成 35グループ、Host IPSファイアウォールの 作 成 、 場 所 別 75ポリシーの 割 り 当 て 9ポリシーの 削 除 と 継 承 17ポリシーの 適 用 方 法 9継 承 9設 定 条 件 10グループ、Host IPS ( 続 き)通 知 27グローバル 管 理 者権 限 セットの 割 り 当 て 25こコマンドライン オプションClientControl.exe、 自 動 更 新 92Linux クライアントが 実 行 されているかどうかの 確 認 108Linux クライアントの 停 止 と 再 起 動 108Solaris クライアント、 再 起 動 105Solaris クライアントの 実 行 状 況 の 確 認 105Solaris クライアントの 停 止 105コンプライアンスHost IPS のダッシュボードを 表 示 するように 設 定 18さサーバ タスク、Host IPSイベント ログを 削 除 26クエリのエクスポート 26クエリを 実 行 26プロパティ 変 換 26ポリシーをエクスポート 26リポジトリのプル 26脅 威 イベント ログを 削 除 26更 新 のチェックイン 29配 備 の 管 理 25, 26しシールドとエンベロープIPS 動 作 ルール 34シグネチャHIPS、 説 明 33Host IPS とネットワーク IPS 27Host IPS ポリシーの 調 整 10Host IPS、 例 外 94IPS ルールのポリシー 39IPS ルールのポリシーの 設 定 43NIPS、 説 明 33アラートと NIPS シグネチャ 94ウィザードを 使 用 した 作 成 45エキスパート 向 けの 方 法 での 作 成 44カスタム 42カスタム Host IPS の 作 成 44デフォルトの Host IPS 42ネットワーク 42ホスト 42種 類 42重 大 度 レベル 37, 42処 理 42定 義 33標 準 方 法 での 作 成 44例 外 35例 外 ルール リスト 96シグネチャの 重 大 度 レベル種 類 42システム コールの 遮 断 32システム トレイ アイコンHost IPS 機 能 の 無 効 化 81クライアントのオプションの 設 定 91システム 管 理Host IPS イベントの 通 知 27Host IPS のサーバ タスク 25, 26Host IPS 保 護 の 更 新 28McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )161

索 引すステートフル ファイアウォールステートフル フィルタの 機 能 65パケット 検 査 、 機 能 66プロトコル 追 跡 67スプーフィング 検 出 アラート 95たダッシュボードHost IPS の 情 報 の 管 理 13クエリと Host Intrusion Prevention 10コンプライアンスと Host IPS の 問 題 の 表 示 18デフォルトの Host IPS モニタ 13とトラブルシューティング、Host IPSClientControl ユーティリティの 使 用 155hipts ツール 103, 106Host Intrusion Prevention がインストールされたアプリケーションの 障 害 146Host IPS エンジンの 無 効 化 93IP 以 外 のトラフィックのブロック 146Linux クライアント 105, 106Solaris クライアント 103Windows クライアント 92オプション 92クライアント UI 82サービスの 実 行 状 況 の 確 認 146ファイアウォール ロギング、オプションの 設 定 93ログの 使 用 152問 題 の 原 因 となるコンポーネントの 隔 離 146ねネットワーク アダプタ接 続 を 許 可 する 条 件 59ネットワーク 侵 入 防 止 のシグネチャ 33はパスワードhipts トラブルシューティング ツールの 使 用 103Windows クライアント コンソールのロックの 解 除 90クライアント UI ポリシー 81パッケージHost IPS のコンテンツ 更 新 28バッファ オーバーフローIPS 動 作 ルール 34Solaris クライアントの 保 護 102信 頼 できるアプリケーション ポリシーの 設 定 85ひヒント通 知 の 使 用 27ふファイアウォール DNS ブロック ポリシー概 要 56説 明 8定 義 72ファイアウォール オプション ポリシーTrustedSource 71概 要 56処 理 69ファイアウォール オプション ポリシー ( 続 き)設 定 70説 明 8ファイアウォール ポリシー、Host IPS機 能 の 概 要 56ファイアウォール ルール作 成 と 編 集 74ファイアウォール ルール ポリシーワイルドカード 78クライアント ルール、 管 理 77グループ、 作 成 74設 定 73ファイアウォール ルールのポリシー概 要 56説 明 8定 義 72ファイアウォール、Host IPSステートフル パケット 検 査 64, 66DNS ブロック ルール 75アクション、 許 可 およびブロック 65アラート 94オプションのカスタマイズ 98クエリ 14クライアント ルール 14, 69ステートフル パケット フィルタ 64ステートフル パケット 検 査 64, 66ステートフル フィルタ、 機 能 65ステートフルなプロトコル 追 跡 67ファイアウォール オプション、 設 定 70ファイアウォール ルール 74ファイアウォール ルール グループ、 作 成 74ファイアウォール ルール リスト、 順 序 付 け 57ファイアウォール ルール、 設 定 73ファイアウォール ルールの 機 能 57ファイアウォールのルール 10, 72ルール グループ 59ルール グループ、 場 所 別 59ルール、 許 可 およびブロック 57ルールのリスト 73, 97, 98ロギング オプション 93概 要 56学 習 モードと 適 応 モード 68権 限 25場 所 別 グループ 75状 態 テーブル 64説 明 8ファイアウォール 保 護無 効 69有 効 69フィルタHost IPS のイベントとクエリ 10ファイアウォール ステートフル フィルタの 機 能 65フィルターHost IPS の 動 作 のクエリ 14プロトコル追 跡 、ステートフル ファイアウォール 67ほポートFTP 接 続 とステートフル パケット 検 査 66ファイアウォールと 状 態 テーブルのエントリ 64ブロックされたトラフィックとファイアウォール ルール 68接 続 とファイアウォール アラート 94ホスト 侵 入 防 止 のシグネチャ 33162McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )

索 引ポリシー カタログHost IPS ポリシーの 管 理 17Host IPS ポリシーの 所 有 8カスタム ファイアウォール ポリシー、 作 成 69, 72クライアント UI 80信 頼 できるアプリケーション 85信 頼 できるネットワーク 84ポリシー、Host IPS移 行 23IPS オプションの 設 定 37アラートへの 対 応 95クライアント ルール、 例 外 の 作 成 10デフォルト、 基 本 的 な 保 護 7デフォルトの 調 整 18ファイアウォール (「ファイアウォール、ホスト IPS」を 参 照 )8ファイアウォール DNS ブロック 72ファイアウォール オプション 69, 70ファイアウォール ルール 72, 73ポリシー カタログ 17ポリシーのカテゴリ 9ポリシーの 適 用 方 法 9ポリシーの 表 示 17割 り 当 て 19割 り 当 てられた 所 有 者 9管 理 17機 能 の 概 要 8, 31継 承 10使 用 方 法 プロファイルと 調 整 10事 前 設 定 保 護 10場 所 17新 規 作 成 19定 義 9複 数 のインスタンス 40, 86無 効 、クライアント 例 外 10ポリシーの 割 り 当 てHost IPS 9ファイアウォール 保 護 の 有 効 化 69変 更 19ポリシーの 管 理[ポリシー] タブ、Host IPS 17Host IPS のイベントおよびクライアント ルールの 分 析 17Host IPS の 調 整 10, 19Host IPS ポリシーの 追 跡 10Host IPS ポリシーへのアクセス 17Linux クライアント 105ポリシーの 施 行Host IPS 9Host IPS クライアントと ePO 7Linux クライアント 105Solaris クライアント 102まマルチインスタンス ポリシーよくある 質 問 40配 備 での 使 用 40有 効 なポリシー 40割 り 当 て 40, 86ゆユーティリティClientControl.exe、 自 動 更 新 92よよくある 質 問適 応 モード 22マルチインスタンス ポリシー 40るルール グループ、Host IPSファイアウォール ルール グループ、 作 成 74ルール リストHost IPS のファイアウォール ルール 98Host IPS の 例 外 96ルールの 構 造カスタム シグネチャ 110ろログFireSvc.log 152HipShield.log 152IPS の 機 能 152トラブルシューティングでの 使 用 152ファイアウォールの 機 能 152有 効 化 152ログ ファイル、Host IPSIPS の 動 作 92Linux クライアント、インストール 履 歴 108Solaris クライアント、インストール 履 歴 104クライアント UI のトラブルシューティング 82トラブルシューティング 103, 106ファイアウォールの 動 作 93わワイルドカードIPS ルール 45ファイアウォール ルール 78カスタム シグネチャ 114McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )163

索 引164McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )