McAfee Host Intrusion Prevention 8.0

IPS ポリシーの 設 定IPS ポリシーの 概 要のステータス、クライアント ルールの 作 成 設 定 を 編 集 したり、カスタム シグネチャをリストに 追 加 できます。コンテンツ 更 新 をインストールすると、シグネチャのリストが 必 要 に 応じて 随 時 更 新 されます。ネットワーク IPS シグネチャネットワーク IPS による 保 護 も、 個 々のシステムに 装 備 されます。 保 護 されたシステム 間 で通 信 されるすべてのデータおよびネットワークのその 他 の 部 分 について、 攻 撃 があるかどうか 調 査 されます。 攻 撃 が 確 認 されると、 不 正 データは 破 棄 されるかまたはシステムを 通 過 しないようにブロックされます。これらのシグネチャは 次 の 処 理 を 行 います。• ネットワーク セグメントの 下 流 に 位 置 するシステムを 保 護 します。• サーバおよびサーバに 接 続 するシステムを 保 護 します。• ネットワークのサービス 拒 否 攻 撃 、およびネットワーク トラフィックの 拒 否 や 低 下 を 引き 起 こす 帯 域 幅 に 向 けられた 攻 撃 から 保 護 します。Host Intrusion Prevention では、Windows プラットフォーム 用 のネットワーク IPS シグネチャのデフォルト リストを 用 意 しています。これらのシグネチャの 重 大 度 レベル、ログのステータス、クライアント ルールの 作 成 設 定 を 編 集 できますが、カスタム ネットワーク シグネチャに 追 加 することはできません。コンテンツ 更 新 をインストールすると、シグネチャのリストが 必 要 に 応 じて 随 時 更 新 されます。動 作 ルール動 作 ルールは、ゼロデイ 攻 撃 を 阻 止 し、オペレーティング システムとアプリケーションを 正常 に 動 作 させます。ヒューリスティックな 動 作 ルールは、 正 当 な 動 作 のプロファイルを 定 義します。ルールと 一 致 しないものは 怪 しい 動 作 と 見 なされ、 応 答 が 発 生 します。たとえば、HTML ファイルにアクセスできるのは Web サーバのみと 動 作 ルールで 規 定 しているとします。他 のプロセスから HTML ファイルにアクセスしようとすると、アクションが 発 生 します。この 保 護 の 種 類 はアプリケーションのシールドとエンベロープといいます。この 保 護 により、アプリケーションとデータに 対 する 侵 害 を 防 ぎ、 他 のアプリケーションに 対 する 攻 撃 への 転用 を 阻 止 します。また、 動 作 ルールはバッファ オーバーフローのエクスプロイトもブロックします。これにより、サーバとデスクトップに 対 する 攻 撃 の 中 で 最 も 多 いバッファ オーバーフロー 攻 撃 を 阻 止し、 不 正 なコードの 実 行 を 未 然 に 防 ぎます。処 理処 理 とは、 特 定 の 重 大 度 にあるシグネチャが 生 成 されたときに Host Intrusion Preventionクライアントが 行 う 動 作 です。クライアントが 行 う 処 理 には、 次 の 3 種 類 があります。• 無 視 - 処 理 を 行 いません。イベントはログに 記 録 されず、 操 作 は 防 止 されません。• ログに 記 録 - イベントはログに 記 録 されますが、 操 作 は 防 止 されません。• 阻 止 - イベントはログに 記 録 され、 操 作 は 防 止 されます。たとえば、あるクライアントにより 重 大 度 低 のシグネチャが 認 識 されると、そのシグネチャの 発 生 がログに 記 録 され、 操 作 が 許 可 されるようにセキュリティ ポリシーに 指 定 できます。また、 重 大 度 高 のシグネチャが 認 識 されると、 操 作 を 防 止 するようにも 指 定 できます。注 意 : ログ 記 録 は、 各 シグネチャで 直 接 有 効 にできます。IPS 保 護 ポリシーは、 重 大 度 レベルに 応 じてシグネチャの 処 理 方 法 を 自 動 的 に 設 定 します。34McAfee Host Intrusion Prevention 8.0 製 品 ガイド (ePolicy Orchestrator 4.0 用 )