McAfee Host Intrusion Prevention 8.0製品ガイド (ePolicy Orchestrator 4.0 用)

著作権

Copyright © 2010 McAfee, Inc. All Rights Reserved.

このマニュアルのいかなる部分も、McAfee Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、送信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。

商標

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE),MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは米国法人McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としています。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。

ライセンス情報

ライセンス条項

お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお返しいたします。

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)2

目次

Host Intrusion Prevention の概要..........................................................7

Host IPS 保護.............................................................................7

Host IPS ポリシー.........................................................................8

Host IPS のポリシー管理...................................................................9

Host IPS ポリシーの管理と調整.............................................................10

保護の管理...................................................................................13

情報管理................................................................................13

Host IPS ダッシュボード...........................................................13

Host IPS クエリ...................................................................14

ポリシーの管理...........................................................................17

ポリシーの場所....................................................................17

ポリシーの設定....................................................................18

デフォルトの保護と調整............................................................19

Host IPS のポリシー移行...........................................................23

システム管理.............................................................................25

Host IPS 権限セット...............................................................25

Host IPS のサーバ タスク..........................................................26

Host IPS イベント通知.............................................................27

Host IPS 保護の更新 ..............................................................28

IPS ポリシーの設定.........................................................................31

IPS ポリシーの概要.......................................................................31

IPS 保護の実現方法 ...............................................................32

シグネチャ.......................................................................33

動作ルール.......................................................................34

処理.............................................................................34

例外.............................................................................35

アプリケーション保護ルール........................................................35

イベント.........................................................................35

IPS 保護の有効化.........................................................................36

IPS オプションのポリシーの設定.....................................................37

IPS シグネチャに対する対応の設定..........................................................37

3McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

IPS 保護ポリシーの設定............................................................38

IPS 保護の定義...........................................................................39

IPS ルール ポリシーの設定.........................................................39

ポリシーの複数のインスタンスの割り当て.............................................40

FAQ － マルチインスタンス ポリシー.................................................40

IPS シグネチャの機能..............................................................42

IPS アプリケーション保護ルールの機能...............................................46

IPS 例外の機能....................................................................49

IPS イベントの監視 ......................................................................51

IPS イベントの管理................................................................52

イベントからの例外の作成..........................................................53

イベントからの信頼できるアプリケーションの作成......................................53

IPS クライアント ルールの監視.............................................................54

IPS クライアント ルールの管理......................................................54

ファイアウォール ポリシーの設定..........................................................56

ファイアウォール ポリシーの概要...........................................................56

ファイアウォール ルールの機能......................................................57

ファイアウォール ルール グループの機能 ............................................59

Host IPS カタログの機能...........................................................62

ファイアウォールでのステートフルなパケット フィルタリングと検査......................64

学習モードと適応モードがファイアウォールに与える影響................................68

ファイアウォール クライアント ルール...............................................69

ファイアウォール保護の有効化..............................................................69

ファイアウォール オプションのポリシーの設定 .......................................70

FAQ － McAfee TrustedSource とファイアウォール......................................71

ファイアウォール保護の定義...............................................................72

ファイアウォール ルール ポリシーの設定.............................................73

ファイアウォール ルールの作成と編集 ...............................................74

ファイアウォール ルール グループの作成と編集.......................................74

接続隔離グループの作成............................................................75

DNS トラフィックのブロック........................................................75

Host IPS カタログの使用...........................................................76

ファイアウォール クライアント ルールの管理.........................................77

FAQ － ファイアウォール ルールでのワイルドカードの使い方............................78

全般ポリシーの設定 ........................................................................79

全般ポリシーの概要.......................................................................79

クライアント機能の定義...................................................................80

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)4

目次

クライアント UI ポリシーの設定.....................................................80

クライアント UI の全般オプションの設定.............................................81

クライアント UI の詳細オプションとパスワードの設定..................................81

クライアント UI のトラブルシューティング オプションの設定...........................82

信頼できるネットワークの定義..............................................................84

信頼できるネットワーク ポリシーの設定..............................................84

信頼できるアプリケーションの定義..........................................................85

信頼できるアプリケーション ポリシーの設定..........................................85

信頼できるアプリケーション ルールの作成と編集.......................................86

ポリシーの複数のインスタンスの割り当て.............................................86

Host Intrusion Prevention クライアントの作業 ..........................................88

Windows クライアントの概要...............................................................88

システム トレイ アイコンのメニュー.................................................88

Windows クライアントのクライアント コンソール.......................................90

Windows クライアント インターフェースのロックの解除.................................90

クライアント UI のオプションの設定.................................................91

Windows クライアントのトラブルシューティング.......................................92

Windows クライアント アラート......................................................93

[IPS ポリシー] タブについて.......................................................96

[ファイアウォール ポリシー] タブについて...........................................97

[ブロックされたホスト] タブについて................................................99

[ブロックされたホスト] リストの編集...............................................100

[アプリケーション保護リスト] タブについて.........................................100

[アクティビティ ログ] タブについて................................................101

Solaris クライアントの概要 ..............................................................102

Solaris クライアントでのポリシーの実施............................................102

Solaris クライアントのトラブルシューティング.......................................103

Linux クライアントの概要 ...............................................................105

Linux クライアントでのポリシーの実施..............................................105

Linux クライアントについての注意事項..............................................106

Linux クライアントのトラブルシューティング........................................106

付録 A － カスタム シグネチャと例外の作成.............................................110

ルールの構造............................................................................110

共通セクション...................................................................111

オプションの共通セクション.......................................................113

ワイルドカードと変数.............................................................114

Windows のカスタム シグネチャ............................................................116

5McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

目次

Windows クラス Buffer Overflow....................................................117

Windows クラス Files.............................................................118

Windows クラス Hook..............................................................121

Windows クラス Illegal Host IPS API Use...........................................122

Windows クラス Illegal Use.......................................................122

Windows クラス Isapi (HTTP).......................................................123

Windows クラス Program...........................................................126

Windows クラス Registry..........................................................127

Windows クラス Services..........................................................130

Windows クラス SQL...............................................................132

Windows プラットフォームごとのクラスとディレクティブ...............................133

Windows 以外のカスタム シグネチャ........................................................136

Solaris/Linux クラス UNIX_file....................................................137

Solaris/Linux クラス UNIX_apache (HTTP)...........................................140

Solaris/Linux クラス UNIX_Misc....................................................142

Solaris クラス UNIX_bo...........................................................142

Solaris クラス UNIX_map..........................................................143

Solaris クラス UNIX_GUID.........................................................143

UNIX プラットフォームごとのクラスとディレクティブ..................................144

付録 B － トラブルシューティング........................................................146

全般的な問題............................................................................146

Host IPS ログ...........................................................................152

Clientcontrol.exe ユーティリティ.........................................................155

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)6

目次

Host Intrusion Prevention の概要

McAfee®Host Intrusion Prevention は、侵入の検出と防止を行うホストベースのシステム

で、システム リソースおよびアプリケーションを外部および内部の攻撃から保護します。

ワークステーション、ノート PC および Web サーバやデータベース サーバなどの重要なサー

バ向けに、管理可能でスケーラブルな侵入防止ソリューションを提供します。また、特許取

得済みの技術を用いて、ゼロデイ攻撃や既知の攻撃をブロックします。

Host Intrusion Prevention (Host IPS または HIP) は、情報を格納および送受信するシス

テム、ネットワーク リソース、アプリケーションを保護します。エンドポイント ファイア

ウォール機能と侵入防止システム (IPS) 機能により、この保護対策を実現しています。IPS

機能は毎月コンテンツを更新するので、新しい脅威に対する緊急パッチの適用回数が少なく

なります。Host Intrusion Prevention ファイアウォール機能は別売りです。Host Intrusion

Prevention IPS 機能と一緒に利用することもできます。

Host Intrusion Prevention は、ePolicy Orchestrator に完全に統合され、このフレーム

ワークを利用してポリシーの配信と施行を行います。このアプローチは単一の管理ソリュー

ションを提供し、全社的な世界的規模での大量導入 (最大 100,000 システム) が多言語で可

能となります。

目次

Host IPS 保護

Host IPS ポリシー

Host IPS のポリシー管理

Host IPS ポリシーの管理と調整

Host IPS 保護Host Intrusion Prevention の必須コンポーネントをすべてインストールし、接続すると、

保護の適用、イベントの監視、ポリシーとコンテンツを更新することができます。

基本的な保護

Host Intrusion Prevention は、使用環境に基本的な保護を提供するデフォルトの設定で出

荷されます。これらの設定には以下のものを含みます。

• IPS 保護:

• 重大度高のシグネチャは阻止され、他のシグネチャは無視されます。

• McAfee のアプリケーションは、IPS 自己保護ルールを除くすべてルールに対して信頼

できるアプリケーションとして示されています。

• 定義済みのアプリケーションやプロセスは保護されています。

• ファイアウォール保護:

7McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

基本的なネットワーク接続が許可されます。•

注意: Host Intrusion Prevention 8.0 を初めてインストールしたときには、保護が無効に

なっています。IPS オプションまたはファイアウォール オプション ポリシーで保護を有効

にし、クライアントにポリシーを適用する必要があります。

詳細な保護

詳細な保護を行うためには、デフォルトの設定からより強固に事前設定された設定に移行す

るか、またはカスタム設定を作成します。

新しい設定を監視して調整するためには、サンプル配布から始めます。調整には、侵入防止

保護、必要な情報へのアクセス、およびグループの種類ごとのアプリケーション、これらの

バランスを取ることが必要です。

Host IPS ポリシーポリシーは、ePolicy Orchestrator コンソールを通して構成および適用する設定の集まりで

す。ポリシーを適用することにより、管理対象システムへのセキュリティ要求が確実に満た

されます。Host Intrusion Prevention には、IPS、ファイアウォール、全般の 3 つのポリ

シー機能があります。それぞれの機能にセキュリティ オプションが設定されています。IPS

とファイアウォール機能には、動作を定義するルールを含むルール ポリシーと、ルールの適

用を有効または無効にするオプション ポリシーがあります。

ポリシーの所有権は [ポリシー カタログ] 内で割り当てられます。ポリシーがいったん作成

された後は、編集や削除は、ポリシーの作成者、ポリシーの所有者として関連付けられたユー

ザ、またはグローバル管理者以外は行うことができません。ポリシーの削除は [ポリシー カ

タログ] 内でのみ可能です。

IPS ポリシー

IPS 機能には、Windows と Windows 以外のコンピュータの両方を保護する 3 つのポリシー

があります。例外、シグネチャ、アプリケーション保護ルール、イベントおよびクライアン

トが生成した例外を詳しく記述します。

• IPS オプション (すべてのプラットフォーム)。IPS 保護のオン/オフと、適応モードのオ

ン/オフを切り替えます。

• IPS 保護 (すべてのプラットフォーム)。シグネチャが生成するイベントに対する処理を

定義します。

• IPS ルール (すべてのプラットフォーム)。例外、シグネチャおよびアプリケーション保

護ルールを定義します。このポリリーはマルチインスタンス ポリシーです。単一のポリ

シーではなく、複数の IPS ルールのポリシーをシステムに割り当てることができます。

ポリリーのコンテンツが統合され、効果的なポリシーが生成されます。設定が矛盾した場

合、最も保護レベルの高い設定が適用されます。

ファイアウォール ポリシー

ファイアウォール機能には、Windows コンピュータのみを保護する 3 つのポリシーがありま

す。ネットワーク トラフィックをフィルタリングし、正規のトラフィックは通過を許可し、

残りはブロックします。

• ファイアウォール オプション (Windows のみ)。ファイアウォール保護のオン/オフと、

適応モードまたは学習モードの適用のオン/オフを切り替えます。

• ファイアウォール ルール (Windows のみ)ファイアウォールのルールを定義します。

Host Intrusion Prevention の概要Host IPS ポリシー

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)8

• ファイアウォール DNS ブロック (Windows のみ)。ブロックされるドメイン ネーム サー

バを定義します。

全般ポリシー

全般機能には、IPS とファイアウォールの両方の機能に適用できる 3 つのポリシーがありま

す。

• クライアント UI (Windows のみ)。Windows クライアント システムで Host Intrusion

Prevention ユーザ インターフェースへのアクセスを定義します。トラブルシューティン

グ オプションも定義します。Windows 以外のクライアント システムにはパスワード保護

機能を提供します。

• 信頼できるネットワーク (Windows のみ)。安全に通信できる IP アドレスとネットワー

クを表示します。IPS ファイアウォール機能で使用します。

• 信頼できるアプリケーション (すべてのプラットフォーム)。ほとんどの操作の実行につ

いて信頼できるアプリケーションを表示します。IPS 機能で使用します。このポリリーも

マルチインスタンス ポリシーです。単一のポリシーではなく、複数の信頼できるアプリ

ケーション ポリシーをシステムに割り当てることができます。ポリリーのコンテンツが

統合され、効果的なポリシーが生成されます。設定が矛盾した場合、最も保護レベルの高

い設定が適用されます。

Host IPS のポリシー管理ePolicy Orchestrator コンソールにより、Host Intrusion Prevention ポリシーを集中的に

設定できます。

ポリシーの実施方法

ePolicy Orchestrator コンソールで Host Intrusion Prevention ポリシーを変更すると、

管理対象のシステムには、次回のエージェント/サーバ間通信に変更が反映されます。この間

隔は、デフォルトでは 60 分ごとに発生するように設定されています。直ちにポリシーを実

施するには、ePolicy Orchestrator コンソールからエージェント ウェークアップ コールを

送信します。

ポリシーおよびポリシーのカテゴリ

Host Intrusion Prevention のポリシー管理は機能とカテゴリで分類できます。ポリシー カ

テゴリは、ポリシーの特定のサブセットです。

ポリシーは、特定の目的に対して設定された設定のグループです。ポリシーは必要な数だけ、

作成、変更、または削除できます。

各ポリシーには、設定済みのMcAfee デフォルト ポリシーが含まれており、これらは編集ま

たは削除できません。[IPS ルール] と [信頼できるアプリケーション] を除き、すべてのポ

リシーには、デフォルト ポリシーに基づいて編集可能な個人用のデフォルト ポリシーも含

まれます。一部のポリシー カテゴリには、読み取り専用の設定済みポリシーがいくつか含ま

れます。この設定済みポリシーが要件を満たしている場合、その設定済みポリシーのいずれ

かを適用できます。これらの読み取り専用ポリシーは、すべてのポリシー同様複製すること

ができ、必要に応じてその複製をカスタマイズできます。

Host Intrusion Prevention の概要Host IPS のポリシー管理

9McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

IPS ルールと信頼できるアプリケーション ポリシーはマルチインスタンス ポリシーです。1

つのポリシーに複数のポリシー インスタンスを割り当てることができます。ポリシー イン

スタンスは、1 つの有効なポリシーに自動的に統合されます。

ヒント: IPS ルールと信頼できるアプリケーションの McAfee デフォルト ポリシーは、コン

テンツ更新プロセスで自動的に更新されます。McAfee では、これらのポリシーをすべてのク

ライアントに常に割り当て、追加のポリシー インスタンスを作成して、この 2 つのポリシー

の動作をカスタマイズすることをお勧めします。

ポリシーの適用方法

ポリシーは、継承または割り当てによってすべてのシステム ツリーのグループまたはシステ

ムに適用されます。継承では、システムのポリシー設定がその親からのものであるかどうか

を判断します。デフォルトでは、継承はシステム ツリー全体を通じて有効です。直接ポリ

シーを割り当てることで、継承を無効にできます。ePolicy Orchestrator で Host Intrusion

Prevention を管理する場合、継承を考慮せずに、ポリシーを作成して適用できます。新しい

ポリシーを割り当ててこの継承を無効にすると、配下のグループおよびシステムはすべて新

しいポリシーを継承します。

ポリシーの所有

各ポリシーには、割り当てられた所有者が必要です。所有者を認めることにより、グローバ

ル管理者、ポリシーの作成者、またはポリシーの所有者として関連付けられたユーザ以外は、

ポリシーを変更できなくなります。あらゆる管理者はカタログ内のあらゆるポリシーを利用

できますが、作成者、所有者、またはグローバル管理者以外はポリシーを変更できません。

ヒント: 他の管理者が所有するポリシーを使用するのではなく、ポリシーを複製し、その複

製したポリシーを割り当てることをお勧めします。所有していないポリシーを自分が管理し

ているシステム ツリー グループに割り当て、そのポリシーの所有者がポリシーを変更する

と、このポリシーが割り当てられたすべてのシステムでその変更が受け入れられます。

Host IPS ポリシーの管理と調整Host Intrusion Prevention クライアントの配備と管理は ePolicy Orchestrator から行い

ます。ePO システム ツリーで、属性に基づいてシステムを階層にグループ化できます。たと

えば、最初のレベルを地理的な場所で分類し、次のレベルをオペレーティング システム プ

ラットフォームや IP アドレスで分類します。McAfee では、システムの種類 (サーバまたは

デスクトップ)、主要なアプリケーションの用途 (Web、データベース、またはメール サー

バ)、役割の点から見た場所 (DMZ またはイントラネット) など、Host Intrusion Prevention

の設定条件に基づいてシステムをグループ化することをお勧めします。共通の使用方法プロ

ファイルに適合するシステムは、システム ツリーの共通グループに配置できます。使用方法

プロファイルにあわせて、グループは、たとえば Web サーバと名前を付けます。

種類、機能、または地理的場所に従ってシステム ツリーでグループ化されたコンピュータで

は、管理機能を同じ方針で容易に分割できます。Host Intrusion Prevention でも、IPS や

ファイアウォールなどの製品機能に基づいて管理作業を分割できます。

コンピュータのほとんどは少数の使用方法プロファイルに合致するため、何千というコン

ピュータへの Host Intrusion Prevention の配備が容易に管理できます。少数のポリシー

ルールを保守するだけですむため、大規模な配備の管理でも容易に行うことができます。配

備規模が拡大するにつれ、新たに追加されるシステムは既存のプロファイルに合致するよう

になるため、システム ツリーの正しいグループのもとに配置できます。

Host Intrusion Prevention の概要Host IPS ポリシーの管理と調整

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)10

事前設定保護

Host Intrusion Prevention では、2 種類の保護方法があります。

• 基本的な保護は、MaAfee のデフォルトのポリシー設定で利用できます。この保護法方で

は、調整の必要はほとんどなく、イベントもほとんど生成されません。多くの環境では、

この基本的な保護で十分です。

• また、一部の事前設定 IPS ポリシーおよびファイアウォール ポリシーを使用するか、カ

スタム ポリシーを作成することで、より詳細な保護を利用することができます。たとえ

ば、サーバは、基本的な保護が提供するものより強力な保護を必要とします。

いずれの場合も、実際の作業環境に合わせて保護設定の調整が必要になります。

適応モード

保護設定を調整する手段として、Host Intrusion Prevention クライアントでは、正当な動

作をブロックしてしまうサーバで指示したポリシーに対して、クライアント側でルールを作

成できます。クライアント ルールは、クライアントが適応モードで配置されている場合に自

動的に作成できます。適応モードでは、クライアント ルールが自動的に作成されます。クラ

イアント ルールが作成されると、それらのルールを分析して、サーバで指示したポリシーに

変換するかどうかを決定します。

大規模な組織では、業務の中断を回避することがセキュリティへの配慮に優先する場合が多々

あります。たとえば、コンピュータの中には定期的に新しいアプリケーションをインストー

ルする必要のあるものがありますが、それらの調整を行う時間も人員も足りないかもしれま

せん。Host Intrusion Prevention では、IPS 保護のために特定のコンピュータを適応モー

ドに配置できます。それらのコンピュータは、新しくインストールされたアプリケーション

をプロファイルし、発生したクライアント ルールを ePolicy Orchestrator サーバに送信し

ます。管理者はこれらのクライアント ルールを既存のポリシーまたは新しいポリシーに追加

してからそのポリシーを他のコンピュータに適用し、新しいソフトウェアを処理することが

できます。

適応モードのシステムは実際には保護されていません。適応モードは環境を調整する場合に

のみ使用し、作業が終了したらモードを無効にしてシステムの保護を強化してください。

調整

Host Intrusion Prevention を配備する際には、少数の明確な使用方法プロファイルを識別

し、そのためのポリシーを作成する必要があります。最良の方法はテスト配備を設定し、誤

検知と生成されるイベントの数を減らしていくことです。このプロセスを調整と呼びます。

IPS ルールが厳しいと、より広い範囲の違反を対象とし、基本的環境に比べ多くのイベント

が生成されます。より詳細な保護を適用する場合、McAfee では、IPS による保護ポリシーを

利用して影響を緩和することをお勧めします。このため、各重大度レベル (高、中、低、情

報) を処理 (防止、ログに記録、無視) にマッピングする必要があります。最初は、高以外

の重大度に無視を設定し、重大度高のシグネチャのみが適用されます。他のレベルは、調整

を進める間に段階的に上げられます。

例外ルール、信頼できるアプリケーション、およびファイアウォール ルールを作成して誤検

知の数を減らすことができます。

• 例外ルールは、特定の状況で IPS シグネチャ ポリシーを無効にするメカニズムです。

• 信頼できるアプリケーションは、すべての IPS ルールまたはファイアウォール ルールを

無視するアプリケーション プロセスです。

• ファイアウォール ルールは、トラフィックを許可するか、パケットの受信をブロックす

るか、またパケット伝送を許可するかブロックするかを判断します。

Host Intrusion Prevention の概要Host IPS ポリシーの管理と調整

11McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ダッシュボードとクエリ

ダッシュボードを使用すると、同時に複数のクエリを表示して使用環境を追跡できます。こ

れらのクエリは、常に更新するか、指定した頻度で実行することができます。

クエリにより、特定の項目に関するデータを取得し、たとえば指定した期間の特定のクライ

アントによりレポートされた高レベルのイベントなど、取得したデータの特定のサブセット

にフィルタできます。レポートはスケジュールして、電子メールとして送信できます。

Host Intrusion Prevention の概要Host IPS ポリシーの管理と調整

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)12

保護の管理

Host Intrusion Prevention の配布を管理する際には、動作の監視、解析と処理、ポリシー

の変更と更新、システム タスクの実行を行います。

目次

情報管理

ポリシーの管理

システム管理

情報管理Host Intrusion Prevention のインストールが完了すると、使用環境で生じるセキュリティ

の問題を追跡し、レポートを作成することができます。ダッシュボードを使用すると、セキュ

リティ状況を日単位で表示したり、特定の問題に関する詳細情報のクエリを実行できます。

Host IPS ダッシュボードモニタの集まりであるダッシュボードは、使用環境を管理するために必須のツールです。モ

ニタには、グラフベースのクエリから、MyAvert 脅威サービスのような小規模な Web アプリ

ケーションまであらゆる形式が用意されています。権限がある場合、複数のダッシュボード

を作成および編集できます。指定した頻度で更新されるダッシュボードとして任意のグラフ

ベースのクエリを使用して、最も有用なクエリをアクティブなダッシュボードに配置できま

す。

Host Intrusion Prevention のデフォルトのダッシュボードには次のモニタがあります。

表 1: Host IPS ダッシュボードとモニタ

モニタダッシュボード

Host IPS • ファイアウォール ステータス

• Host IPS のステータス

• サービス ステータス

• IPS クライアント ルールの数

• コンテンツ バージョン

• 上位 10 位のソース IP 別の NIPS イベント

Host IPS でトリガされたシグネチャ • デスクトップでトリガされた重大度高のシグネチャ

• デスクトップでトリガされた危険度中のシグネチャ

• デスクトップでトリガされた重大度低のシグネチャ

• サーバでトリガされた重大度高のシグネチャ

• サーバでトリガされた重大度中のシグネチャ

• サーバでトリガされた重大度低のシグネチャ

13McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ダッシュボードの作成方法と使用方法については、ePolicy Orchestrator のマニュアルを参

照してください。

Host IPS クエリHost Intrusion Prevention では、ePolicy Orchestrator を介してクエリを実行できます。

ePO データベースに格納されているイベントとプロパティから有用なクエリを作成するか、

定義済みのクエリを使用することができます。

クライアント システムを選択してグループ化し、そのクエリを作成でき、また製品やシステ

ム条件によりレポート結果を制限することもできます。レポートは HTML や Microsoft Excel

などのさまざまなファイル形式でエクスポートできます。

クエリ オプション:

• フィルタを設定して、選択した情報のみを収集。レポートに含めるグループまたはタグを

選択します。

• 論理演算子を使用してデータ フィルタを設定し、レポートに反映されるデータの正確な

フィルタを定義。

• データベースの情報からビジュアルなレポートを生成。必要に応じてレポートをフィルタ

リングし、印刷できます。また、他のソフトウェアにエクスポートすることもできます。

• コンピュータ、イベント、インストールのクエリを実行。

保護解析に使用する定義済みクエリとカスタム クエリレポート機能には Host Intrusion Prevention の定義済みクエリが含まれており、カスタム

クエリを作成することもできます。

要件に合わせてカスタム クエリを編成し、維持します。たとえば、レポートの設定をカスタ

マイズする場合、これらの設定をテンプレートとしてエクスポートすることができます。カ

スタム テンプレートを作成したら、これらを論理的にグループ化し、必要な頻度 (毎日、毎

週、毎月) で実行できるようにします。

レポートが生成されると、フィルタの設定 (ある場合) に応じたサマリの情報が表示されま

す。このサマリの情報を使用して、同じレポートの 1 レベルまたは 2 レベル下の詳細情報

にドリルダウンできます。

グローバル管理者と他のユーザなど、ユーザに応じて、表示できるレポート情報を制御する

ことができます。一部のユーザは、権限を持つサイトのシステムに関するレポートのみ作成

できます。レポート情報もフィルタを適用して管理できます。

カスタム クエリ

クエリ ビルダでは、Host IPS 8.0 ファイアウォール クライアント ルール、Host IPS 8.0

ファイアウォール クライアント ルールの実行ファイル、Host IPS 8.0 IPS クライアント

ルール、Host IPS 8.0 IPS 例外の 4 つの Host IPSクエリを作成できます。

これらのクエリのパラメータは次のとおりです。

表 2: Host IPS クエリとパラメータ

パラメータクエリ

Host IPS 8.0 カタログ ファイアウォール ルー

ルとファイアウォール クライアント ルール

注意: このクエリは、IPS カタログ ファイア

ウォール ルール、IPS カタログ ファイアウォー

• アクション

• 方向

• 使用可能

• 最終変更日時ル グループ、ファイアウォール クライアント

ルールを戻します。可能な値は 許可、ブロック、 • 最終更新ユーザ

保護の管理情報管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)14

パラメータクエリ

ジャンプです。グループのアクションがジャンプ

の場合、許可/ブロック アクションはありませ

• LeafNode ID

• ローカル サービスん。IPS カタログ ルールとグループでは、

• ログのステータスleafNodeId フィルタ値が 0 に設定されます。

ファイアウォール クライアント ルールだけを表 • IP プロトコル示するには、leafNodeId フィルタの値を > 0に設定します。

• 侵入の一致

• メディアの種類

• 名前

• メモ

• リモート サービス

• ルール ID

• スケジュールの終了

• スケジュールの開始

• 期限が切れたときに切り替え

• トランスポート プロトコル

Host IPS 8.0 ファイアウォール クライアント

ルールの実行ファイル

• フィンガープリント

• 名前

• メモ

• パス

• ルール ID

• 署名者の名前

Host IPS 8.0 IPS クライアント ルール • 作成日

• 説明

• 実行ファイル名

• 実行ファイルのパス

• フィンガープリント

• 実行ファイルの完全名

• すべての実行ファイルを対象にする

• すべてのシグネチャを対象にする

• すべてのユーザを対象にする

• 最終更新日

• ローカル バージョン

• 対応

• シグネチャ ID

• 署名者の名前

• ステータス

• ユーザ名

Host IPS 8.0 IPS 例外 • IPS 例外ルール

• IPS ルール ポリシー

共通の Host IPS プロパティ

Host IPS カスタム クエリと他のカスタム クエリを使用すると、次の Host IPS プロパティ

を追加できます。

• IPS 適応モード ステータス• エージェントの種類

保護の管理情報管理

15McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• ブロックされた攻撃者 • 言語

• ローカルの例外ルール数• クライアント バージョン

• コンテンツ バージョン • ネットワーク IPS ステータス

• 再起動待ち• ファイアウォールの適応モード ステータ

ス • プラグインのバージョン

• ファイアウォール違反 (エラー) • 製品ステータス

• ファイアウォールの受信学習モードのス

テータス• サービスの実行

• HotFix/パッチのバージョン• ファイアウォールの送信学習モードのス

テータス • 製品バージョン

• サービス パック• ファイアウォールのルール数• Host IPS イベント情報 (非表示、既読)• ファイアウォール ステータス• シグネチャ名• Host IPS 違反 (エラー)

• Host IPS のステータス

• インストール ディレクトリ

定義済みクエリ

カスタム クエリ以外にも、定義済みクエリを編集して必要な情報を取得することもできま

す。次の Host IPS 定義済みクエリから選択します。

サマリHIP クエリ

プロセス別にファイアウォール クライアント ルールを表示します。プロセス別クライアント ルー

ル

プロセスおよびポート範囲別にファイアウォール クライアント ルールを表示しま

す。

プロセス/ポート範囲別クライ

アント ルール

プロセスおよびユーザ別にファイアウォール クライアント ルールを表示します。プロセス/ユーザ別クライアン

ト ルール

プロトコルおよびシステム名別にファイアウォール クライアント ルールを表示し

ます。

プロトコル/システム名別クラ

イアント ルール

プロトコルおよびポート範囲別にファイアウォール クライアント ルールを表示し

ます。

プロトコル/ポート範囲別クラ

イアント ルール

プロトコルおよプロセス別にファイアウォール クライアント ルールを表示します。プロトコル/プロセス別クライ

アント ルール

1 つのカテゴリについて、すべてのバージョンの中で上位 3 つのクライアント バー

ジョンを表示します。

クライアント バージョン

Host IPS が配備され、インストーラがシステムの再起動を必要としている管理対象

システムを表示します。

再起動待ちのクライアント

1 つのカテゴリについて、すべてのバージョンの中で上位 3 つのコンテンツ バー

ジョンを表示します。

コンテンツ バージョン

過去に作成されたファイアウォール クライアント ルールの数を表示します。ファイアウォール クライアン

ト ルールの数

過去に作成された IPS クライアント ルールの数を表示します。IPS クライアント ルールの数

重大度高 (重大) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

デスクトップでトリガされた

重大度高のシグネチャ

保護の管理情報管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)16

サマリHIP クエリ

重大度中 (警告) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

デスクトップでトリガされた

危険度中のシグネチャ

重大度低 (通知) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

デスクトップでトリガされた

重大度低のシグネチャ

Host IPS の信頼できるネットワーク内のシステムが生成したイベントを表示しま

す。

Host IPS で信頼できるネット

ワークで発生したイベント

ポリシーでファイアウォール機能が有効になっている管理対象システムの中で、機

能が正常に開始していないシステムを表示します。

ファイアウォール エラー

管理対象システムの中でファイアウォールが有効または無効になっている場所を表

示します。

ファイアウォール ステータス

ポリシーで IPS 機能が有効になっている管理対象システムの中で、機能が正常に開

始していないシステムを表示します。

Host IPS エラー

管理対象のシステム上で IPS 保護が有効または無効になっている場所を表示しま

す。

Host IPS のステータス

IPS 例外を使用する IPS ルール ポリシーを表示します。IPS 例外レポート

重大度高 (重大) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

サーバでトリガされた重大度

高のシグネチャ

重大度中 (警告) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

サーバでトリガされた重大度

中のシグネチャ

重大度低 (通知) の IPS シグネチャのうち、最も多く呼び出された上位 10 種類の

IPS シグネチャを表示します。

サーバでトリガされた重大度

低のシグネチャ

管理対象システムで Host IPS がインストールされ、実行されているかどうかを表

示します。

サービス ステータス

IPS イベントが発生した上位 10 個のシステムを表示します。各ターゲットで発生した上位

10 個の IPS イベント

過去 3 か月間でネットワーク侵入イベントの多い上位 10 個のシステムをソース

IP アドレス別に表示します。

各ソース IP で発生した上位

10 個の NIPS

アクションのきっかけになった上位 10 種類の IPS シグネチャを表示します。トリガされた上位 10 種類の

シグネチャ

ポリシーの管理ポリシーの管理では、ポリシーの設定および適用と、システム リソースおよびアプリケー

ションに対する保護の調整を行います。このプロセスの一部では、イベントおよびクライア

ント ルールの分析が必要です。

ポリシーの場所ePolicy Orchestrator では、システム ツリーで選択したグループの [ポリシー] タブ ([シ

ステム]、[システム ツリー]、[ポリシー] の順に移動) または [ポリシー カタログ] タブ

([システム]、[ポリシー カタログ] の順に移動) で Host Intrusion Prevention ポリシー

を表示し、管理できます。

選択したグループまたはシステムの [ポリシー] タブで、次の操作を行います。

• 製品の特定の機能のプロパティを表示します。

保護の管理ポリシーの管理

17McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• ポリシーの詳細を表示します。

• 継承情報を表示します。

• ポリシー割り当てを編集します。

• カスタム ポリシーを編集します。

[ポリシー カタログ] で次の操作を行います。

• ポリシーを作成します。

• ポリシー情報を表示して編集します。

• ポリシーの割り当て先を表示します。

• ポリシーの設定と所有者を表示します。

• ポリシーの施行が無効な割り当てを表示します。

手順...操作...

[新しいポリシー] をクリックし、名前を付け、設定を編集します。ポリシーの作成

[編集] をクリックします (個人用のデフォルト ポリシーまたはカスタム

ポリシーにのみ使用できます)。

ポリシーの編集

[表示] をクリックします (McAfee デフォルト ポリシーまたは設定済みポ

リシーにのみ使用できます)。

ポリシーの表示

[名前の変更] をクリックし、ポリシーの名前を変更します (デフォルト

ポリシーまたは設定済みポリシーには使用できません)。

ポリシー名の変更

[複製] をクリックし、ポリシーの名前を変更し、設定を編集します。ポリシーの複製

[削除] をクリックします (デフォルト ポリシーまたは設定済みポリシー

には使用できません)。

注意: ポリシーを削除した場合、そのポリシーが適用されていたすべての

グループは、このカテゴリのポリシーを親から継承します。ポリシーを削

ポリシーの削除

除する前に、ポリシーが割り当てられているすべてのシステムを調べ、親

からポリシーを継承させたくない場合は、異なるポリシーを割り当てます。

最上位レベルで適用されているポリシーを削除した場合は、このカテゴリ

のデフォルト ポリシーが適用されます。

ポリシーの所有者をクリックし、リストから別の所有者を選択します (デ

フォルト ポリシーまたは設定済みポリシーには使用できません)。

ポリシーの所有者の割り当て

[エクスポート] をクリックした後、ポリシーに名前を付けて適切な場所に

保存します (XML ファイル)。

ポリシーのエクスポート

[すべてのポリシーをエクスポート] をクリックした後、ポリシーの XML

ファイルに名前を付けて適切な場所に保存します。

すべてのポリシーのエクスポート

[ポリシー カタログ] ページ上部の [インポート] をクリックし、ポリシー

の XML ファイルを選択してから、[OK] をクリックします。

ポリシーのインポート

これらの機能の詳細については、ePolicy Orchestrator のマニュアルを参照してください。

ポリシーの設定McAfee では、Host Intrusion Prevention ソフトウェアをインストールした後、毎日の作業

と競合することなく最高のセキュリティが得られるようにポリシーを設定することをお勧め

しています。Host Intrusion Prevention のデフォルト ポリシーは、非常に広い範囲のカス

タマ環境に適合するため、ユーザのニーズに合う可能性があります。特定の設定に適合する

ようにポリシーを調整するために、次の事項を推奨します。

保護の管理ポリシーの管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)18

• Host Intrusion Prevention セキュリティ設定は慎重に定義してください。システムの特

定部分の設定に責任を持っている人を評価して、適切な権限を許可します。

• デフォルトの IPS 保護またはファイアウォール ルール ポリシーを変更することで、事

前に設定された保護のレベルを向上できます。

• 特定のシグネチャの重大度レベルを変更します。たとえば、ユーザの毎日の作業でシグネ

チャが発生する場合、重大度レベルを低く調整します。

• コンプライアンスおよび問題の概要に対してダッシュボードを設定します。

• 特定のイベントが発生したときに特定の個人にアラートを送信するように通知機能を設定

します。たとえば、特定サーバで、重大度高のイベントを発生させるアクションが実行さ

れたときに通知を送信するようにできます。

ポリシーの新規作成

新しいポリシーを作成するには、既存のポリシーをコピーして名前を変更します。この操作

は、ポリシー カタログまたは [ポリシー] ページから実行できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

• ポリシー カタログから以下のいずれかを実行します。

• [新規ポリシー] ボタンをクリックします。複製するポリシーを選択して、新しいポリ

シーの名前を入力し、[OK] をクリックします。

• ポリシーの [複製] リンクをクリックします。新しいポリシーの名前を入力し、[OK]

をクリックします。

• ポリシーの [表示] または [編集] リンクをクリックし、[ポリシー] ページで [複製]

ボタンをクリックします。新しいポリシーの名前を入力し、[OK] をクリックします。

複製されたポリシーが表示されます。ポリシーを編集して [保存] をクリックします。

ポリシー割り当ての変更

ePolicy Orchestrator システム ツリーのグループまたはシステムの Host Intrusion

Prevention ポリシー割り当てを変更するには、このタスクを実行します。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

• 次のいずれかの操作を実行します。

• グループの場合は、[システム] の [システム ツリー] を表示し、グループを選択し

て、[ポリシー] タブで [割り当ての編集] をクリックします。

• システムの場合は、[システム] の [システム ツリー] を表示し、システムを含むグ

ループを選択して、[システム] タブでシステムを選択し、[その他のアクション] の

[1 つのシステムのポリシーを変更] を選択します。

デフォルトの保護と調整Host Intrusion Prevention は、デフォルトのポリシーを使用して基本的な保護対策を行い

ます。手動または自動の微調整を用いて実現されるカスタム設定により、保護をより強力に

することが可能です。

保護の管理ポリシーの管理

19McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

デフォルトの保護

Host Intrusion Prevention は、使用環境に基本的な保護を提供するデフォルト ポリシーの

セットを搭載して出荷されます。デフォルトでは、IPS とファイアウォール保護はいずれも

無効になっています。デフォルト ルール ポリシーを施行するには、これらを有効にする必

要があります。

詳細な保護を行うためには、デフォルトの IPS ポリシーからより強固に事前設定されたポリ

シーに移行するか、またはカスタム ポリシーを作成します。

新しい設定を監視して調整するためには、サンプル配布から始めます。調整には、侵入防止

保護、必要な情報へのアクセス、およびグループの種類ごとのアプリケーション、これらの

バランスを取ることが必要です。

手動調整

手動調整では、任意の期間においてイベントを直接監視し、クライアント ルールを作成する

必要があります。

• IPS 保護のためには、誤検知がないかイベントを監視し、例外または信頼できるアプリ

ケーションを作成して、これらのイベントが再発するのを防止します。

• ファイアウォールの保護のためには、ネットワーク トラフィックを監視し、信頼される

ネットワークを追加して適切なネットワーク トラフィックが確保できるようにします。

• 新しい例外、信頼されるアプリケーションおよび信頼されるネットワークの効果を監視し

ます。

• これらのルールが誤検知を防止し、ネットワーク トラフィックを最小限に抑え、正当な

動作を許可することに成功している場合には、そのルールを新しいポリシーまたはデフォ

ルト ポリシーに追加します。

• 新しいポリシーを特定のコンピュータ セットに適用し、その結果を監視します。

• 各製品グループの種類に対して、この手順を繰り返します。

自動調整

自動調整では、すべてのイベントやすべてのユーザの活動を常に監視する必要性はありませ

ん。

• IPS ポリシーとファイアウォール ポリシーに適応モードを適用します。

• 適応モードでは、不正使用されたもの以外は IPS イベントは発生せず、動作はブロック

されません。クライアント ルールは自動的に作成され、正当な動作が許可されます。

• クライアント ルールのリストを確認します。

• 適切なクライアント ルールを管理ポリシー ルールに追加します。

• 数週間後に、適応モードを終了します。

• テスト グループを数日間監視し、ポリシーの設定が適切であり、必要な保護が行われて

いることを確認します。

• 各製品グループの種類に対して、この手順を繰り返します。

クライアントと配備の計画Host Intrusion Prevention クライアントは重要な保護コンポーネントです。クライアント

を配備するときに、段階的なアプローチを推奨します。

• クライアント展開の初期計画を決定。社内のすべてのホスト (サーバ、デスクトップおよ

び ノート PC) に Host Intrusion Prevention クライアントを配備しますが、McAfee で

は、初めは限定数の代表的なシステムにクライアントをインストールして、設定を調整す

保護の管理ポリシーの管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)20

ることをお勧めします。配備の微調整が終了したら、さらに多数のクライアントを配備し

て、初期に展開した中で作成したポリシー、例外、およびクライアント ルールを活用し

ます。

• クライアントに対する命名規則の確立。システム ツリー上でクライアントは名前で区別

されます。また、特定のレポートやクライアント上の動作で生成されるイベント データ

でも名前で区別されます。クライアントは、インストールするホスト名を引き継ぐこと

も、インストール中に特定のクライアント名を割り当てることもできます。McAfee では、

クライアントに対して、Host Intrusion Prevention の配備作業の関係者にわかりやすい

命名ルールを確立することをお勧めします。

• クライアントのインストール。クライアントは、IPS ポリシーとファイアウォール ポリ

シーのデフォルト セットでインストールできます。ルールを更新した新しいポリシーは、

後でサーバから適用できます。

• クライアントの論理的なグループ分け。クライアントは、システム ツリーの階層に適合

する任意の基準でグループ分けできます。たとえば、配備場所、企業内での機能、または

システムの特性に従ってクライアントをグループ分けできます。

クライアント データとそのデータの解析

クライアントをインストールしてグループ化すると、配備が完了します。クライアントの動

作により発生するイベントの表示が開始されます。クライアントを適応モードに配置した場

合、どのクライアントの例外ルールが作成されているかを示すクライアント ルールが表示さ

れます。このデータを解析して、配布の調整を開始します。

イベント データの解析については、[レポート] の下にある [Host IPS] タブの [イベント]

タブを参照してください。イベントを発生させたプロセス、イベントの発生時点、およびイ

ベントを発生させたクライアントなど、イベントの詳細を探ることができます。イベントを

解析し、適切に対処することで、Host Intrusion Prevention の配布に調整を加え、攻撃に

対する対応を強化できます。[イベント] タブには、すべての Host IPS イベント (NIPS、

ファイアウォール、侵入、TrustedSource ブロック イベント) が表示されます。

クライアント ルールを解析するには、[IPS クライアント ルール] タブと [ファイアウォー

ル クライアント ルール] タブを表示します。作成中のルールを表示し、ルールを集約して

最も優勢な共有ルールを見つけ、他のクライアントに適用するポリシーにそのルールを直接

移動できます。

また、ePolicy Orchestrator レポート モジュールでは、イベント、クライアント ルール、

および Host Intrusion Prevention の設定に基づいて、詳細なレポートを作成できます。こ

れらのクエリを使用して、チーム メンバや管理メンバに環境動作を連絡します。

適応モード

調整プロセスでは、IPS およびファイアウォールで Host Intrusion Prevention クライアン

トを適応モードにします。このモードによりコンピュータは、管理者ポリシーに対するクラ

イアントの例外ルールを作成できます。適応モードはこの処理を自動的に行います。ユーザ

の操作は必要ありません。

このモードでは、まずバッファ オーバフローなど最も悪意のある攻撃に対してイベントを解

析します。動作が、業務上通常のものであり必要とみなされると、クライアントの例外ルー

ルが作成されます。適応モードで代表的なクライアントを設定することで、設定の調整が行

えます。Host Intrusion Prevention では、クライアントのルールから、任意のものを選択、

すべて選択、または何も選択せずに、サーバで指示したポリシーに変換できます。調整が完

了すると、適応モードを終了して、システムの侵入防止保護を強化します。

保護の管理ポリシーの管理

21McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• 少なくとも 1 週間は適応モードでクライアントを実行してください。これにより、クラ

イアントは通常遭遇するすべての動作に遭遇する時間が得られます。バックアップまたは

スクリプト処理などスケジュールした動作の時間に実行するようにしてください。

• それぞれの動作が発生するごとに、IPS イベントが生成され、例外が作成されます。例外

は、正当な動作として区別される動作です。たとえば、ポリシーでは、特定のスクリプト

処理が不当な動作と判断されても、エンジニアリング グループのシステムで、こうした

タスクを実行することが必要な場合もあります。こうしたシステムに対して例外を作成し

て、システムは正常に機能しながら、この動作はポリシーにより他のシステムでは実行さ

れないようにします。次に、これらの例外をサーバが指示するポリシーの一部として、エ

ンジニアリング グループのみに適用します。

• ソフトウェア アプリケーションが、社内の一部の部署では通常業務に必要であり、他の

部署では使用しない場合があります。たとえば、テクニカル サポート部ではインスタン

ト メッセージを許可しますが、経理部では使用しない場合があります。テクニカル サ

ポートでは、このアプリケーションを信頼できるアプリケーションとしてシステムに確立

し、ユーザがフル アクセスできるようにできます。

• ファイアウォール機能は、コンピュータとネットワークまたはインターネットの間でフィ

ルタとして機能します。ファイアウォールは、パケット レベルで受信と送信のトラフィッ

クをすべてスキャンします。ファイアウォールは、送受信される各パケットを確認しなが

ら、関連動作の一連の基準である、ファイアウォール ルールのリストをチェックします。

パケットがルールのすべての基準と一致すると、ファイアウォールはルールで指定された

アクションを実行して、パケットを通過させるかまたはブロックします。

FAQ － 適応モード

適応モードでは、新しいポリシーのテストをしながら IPS およびファイアウォール機能に適

応できます。Host Intrusion Prevention クライアントは、脆弱性に対する最小限の保護レ

ベルを維持しながら、ルールを自動的に作成してアクティビティを許可します。以下では、

この機能に関するよくある質問を説明します。

適応モードを有効にする方法を教えてください。

適応モードを有効にするには、IPS オプションまたはファイアウォール オプション ポリシー

で有効にして Host Intrusion Prevention クライアントに適用します。

IPS とファイアウォールで適応モードの動作は異なりますか?

IPS の適応モードでは、クライアント側で既存の IPS シグネチャに対する例外ルールが作成

されます。ファイアウォールの適応モードでは、既存のファイアウォール ルールで対応でき

ないネットワーク パケットを許可するルールがクライアント側で作成されます。

IPS クライアントの例外は、パスに基づきユーザ、プロセス、シグネチャごとに作成されま

す。ファイアウォール クライアント ルールはプロセスごとに作成されます。ファイアウォー

ル クライアント ルールに関連するプロセスは、パス、ファイルの説明、デジタル署名、MD5

ハッシュで記述されます。

適応モードでルールが自動的に作成されないことがありますか?

IPS の場合:

• 有効な IPS ルール ポリシーのシグネチャでクライアント ルールの作成が許可されてい

ない場合。(この設定は、大半の危険度高の IPS シグネチャで標準の設定です。これらの

シグネチャは、システムに対する最も重大な脅威を検知し、防止するように調整されてい

ます。通常のビジネス活動で例外の自動化が必要になることはありません。)

• このシグネチャに対する対応が「無視」に設定されている場合。

保護の管理ポリシーの管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)22

• 関連するアクションでネットワーク IPS シグネチャが生成される場合。

• シグネチャ 1000 のサービスの自己保護のクライアント ルールの設定に関係なく、ユー

ザが McAfee Host IPS サービスを試みた場合。

• すでに例外が発生ている場合。問題の操作は、適用されている IPS ルール ポリシーで除

外されています。

• 信頼できるアプリケーション ポリシーで、アクションに関連するプロセスが IPS で信頼

され、シグネチャが信頼できるアプリケーションから除外されている場合、

ファイアウォールの場合:

• クライアント アクティビティ ログでパケットに関連するアプリケーションがない場合。

最も一般的な例は次のとおりです。

• 実行されていないサービスの受信要求。FTP または Telnet など。

• 受信 ICMP。echo 要求など。

• Microsoft Windows Vista での 受信または送信 ICMP

• ポート 139 (NetBIOS SSN) または 445 (MSDS) に対する TCP パケット。これは Windows

ファイル共有に必要になる場合があります。

• VPN クライアント ソリューションに関連する IPsec パケット

• パケットをブロックまたは許可するファイアウォール ルール ポリシーがすでに適用され

ている場合。

• 適用済みのファイアウォール ルール ポリシーに、接続隔離が有効な場所別のグループが

存在し、アクティブなネットワーク インターフェース カード (NIC) がグループに一致

し、さらに、グループに一致しない NIC からパケットが送信または受信される場合。

• パケットが TCP、UDP、ICMP でない場合。

• 複数のユーザがシステムにログオンしている場合。またはシステムにユーザが 1 人もロ

グオンしていない場合。

他の制限がありますか?

• IPS がクライアント ルールに関連するユーザを検出できない場合があります (ePolicy

Orchestrator のクライアント ルールで「不明なドメイン」、「不明なユーザ」として表

示されます)。これらのルールで例外が作成される場合がありますが、ルールはすべての

ユーザに適用されています。

• リモート デスクトップまたは HTTPS の受信 TCP 接続で、ファイアウォール ルールの作

成に数回かかる場合があります。

Host IPS のポリシー移行バージョン 6.1 または 7.0 ポリシーを 8.0 形式に変換しないと、McAfee Host Intrusion

Prevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで実行できませ

ん。Host Intrusion Prevention 8.0 では、ePolicy Orchestrator の [自動処理] の下にあ

る Host IPS ポリシー移行ツール 機能を使用すると、ポリシーを簡単に管理できます。移行

中にポリシーが変換され、移動されます。ポリシーを移行すると、ポリシー カタログで該当

する Host IPS 8.0 製品機能とカテゴリの下に表示され、ポリシー名の後に [6.1] または

[7.0] という文字列が続きます。

次の場合を除き、すべてのポリシーが変換され、対応するバージョン 8.0 ポリシーに移行さ

れます。

• アプリケーション ブロック オプション ポリシーは移行されません。バージョン 8.0で

は、これらのポリシーは削除されました。

保護の管理ポリシーの管理

23McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• アプリケーション ブロック ルール ポリシーは IPS ルール ポリシーに移行され、「ア

プリケーション フックと呼び出し保護 名前 [6.1 または 7.0]」という名前に変わりま

す。バージョン 8.0 では、これらのポリシーは削除されています。これらのポリシーが

IPS ルール ポリシーに移行されると、アプリケーション保護ルール リストは空になりま

す。例外リストには、「アプリケーション フックで信頼できる」と設定されたデフォル

トの信頼アプリケーションの例外が残ります。移行後のポリシーを使用するには、マルチ

インスタンス ポリシー設定で個人用のデフォルト IPS ルールを割り当てる必要がありま

す。このポリシーは、コンテンツの更新により最新のアプリケーション保護リストを使用

します。

注意: アプリケーション ブロック ルール ポリシーでフックがブロックされるアプリ

ケーションは移行されません。このアプリケーションは、移行後に IPS ルール ポリシー

のアプリケーション保護ルールに手動で追加する必要があります。アプリケーションの

フックで信頼できると設定された信頼できるアプリケーション ポリシーをバージョン 8.0

に移行する場合には、Host IPS ルール ポリシーのシグネチャ 6010 (汎用アプリケーショ

ン フック保護) でアプリケーションの例外を作成し、アプリケーション フック保護を維

持する必要があります。

• ファイアウォール隔離オプション ポリシーは移行されません。バージョン 8.0では、こ

れらのポリシーは削除されました。

• ファイアウォール隔離ルール ポリシーは移行されません。バージョン 8.0では、これら

のポリシーは削除されました。

• IPS クライアント ルールとファイアウォール クライアント ルールは移行されません。

注意: ポリシーの割り当ては移行時に実行されます。システム ツリーの特定の場所で継承が無効になっていると、割り当ては上書きされません。移行済みの割り当てを統合するときに、システム ツリーの他の場所で継承が無効になる可能性があります。ポリシーを移行した後は必ずポリシー割り当てを確認してください。

ポリシーの直接的な移行

Host Intrusion Prevention 8.0 拡張ファイルをインストールした後で、既存のすべてのポ

リシーを移行する最も簡単な方法は直接移行する方法です。

1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。

2 ePO ポリシー カタログの Host IPS 6.1 または 7.0 ポリシーの下にある [アクション]

で [移行] をクリックします。

3 ポリシーの移行が完了したら、[閉じる] をクリックします。

バージョン6.1 または 7.0 の IPS、ファイアウォール、全般機能ポリシーがバージョン 8.0

に変換され、名前の後に [6.1] または [7.0] が付きます。

注意: ポリシー移行を再度実行すると、同じ名前で移行されたポリシーは上書きされます。

このプロセスは必須です。既存の 6.1 または 7.0 ポリシーはすべて移行されます。移行す

るポリシーを選択する場合には、XML ファイルを使用して移行してください。

XML ファイルによるポリシーの移行

Host Intrusion Prevention 6.1/7.0 拡張ファイルがインストールされていないときに、単

一のポリシーを XML ファイルにエクスポートしている場合、あるいはバージョン 6.1/7.0

のポリシーを選択して移行する場合には、XML ファイルを使用して移行作業を行います。こ

のプロセスでは、最初に Host Intrusion Prevention 6.1 または 7.0 ポリシーを XML 形式

にエクスポートします。次に、XML ファイルの内容を変更し、Host Intrusion Prevention

8.0 ポリシーに変換します。この XML ファイルは ePO ポリシー タログにインポートされま

す。

保護の管理ポリシーの管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)24

1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。

2 XML ファイルの Host IPS 6.1 または 7.0 ポリシーのアクションで、[移行] をクリッ

クします。

3 エクスポート済みの Host IPS 6.1 または 7.0 の XML ファイルを選択して [OK] をク

リックします。XML ファイルがバージョン 8.0 形式のポリシーに変換されます。

4 変換済みの MigratedPolicies.xml ファイルへのリンクを右クリックして保存し、イン

ポートに使用します。

5 XML を ePO ポリシー カタログにインポートします。

システム管理Host Intrusion Prevention の配備を管理する際には、不定期のシステム タスクを実行する

必要があります。これらのタスクには、ユーザ アクセス許可の設定、サーバ タスク、通知、

およびコンテンツの更新が含まれます。

Host IPS 権限セット権限セットとは、特定の製品または製品の機能のためのユーザ アカウントに許可された権限

のグループのことです。1 つ以上の権限セットを割り当てることができます。グローバル管

理者には、すべての製品と機能のすべての権限が自動的に割り当てられます。権限セットで

は権限を許可するだけであり、権限を削除することはできません。

グローバル管理者は、ユーザ アカウントの作成または編集時および権限セットの作成または

編集時に、既存の権限セットを割り当てることができます。

Host Intrusion Prevention 拡張ファイルは、権限を適用せずに Host Intrusion Prevention

セクションを権限セットに追加します。グローバル管理者は、Host IPS 権限を既存の権限

セットに付与するか、新しい権限セットを作成して追加する必要があります。

Host Intrusion Prevention では、製品の機能ごとに権限を許可し、読み取りまたは読み取

り/書き込みの権限をユーザに許可することができます。これは、Host Intrusion Prevention

ポリシーのページと [レポート] の Host Intrusion Prevention イベントおよびクライアン

ト ページに適用されます。

利用可能な権限...Host IPS の機能...

なし、設定の表示のみ、または設定の表示および変更IPS

なし、設定の表示のみ、または設定の表示および変更ファイアウォール

なし、設定の表示のみ、または設定の表示および変更全般

また、グローバル管理者は、クエリとダッシュボードを含む、Host Intrusion Prevention

で使用するその他の項目を処理する ePolicy Orchestrator 権限を許可する必要があります。

たとえば、[レポート] の Host IPS ページで見つかったファイアウォール クライアント

ルールを解析して管理するには、ユーザにイベント ログ、システム、システム ツリーに対

する表示権限が必要です。また、Host Intrusion Prevention ファイアウォール機能の表示

および変更権限が必要です。

表 3: 機能の実行に必要な権限

必要な権限セットHost IPS の機能

ダッシュボード、クエリHost IPS ダッシュボード

クエリHost IPS クエリ

保護の管理システム管理

25McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

必要な権限セットHost IPS の機能

システム、システム ツリー、イベント ログHost IPS クライアント イベントとクライアント ルール

サーバ タスクHost IPS のサーバ タスク

ソフトウェアリポジトリ内の Host IPS パッケージ

通知Host IPS 通知

権限セットの詳細については、ePolicy Orchestrator のマニュアルを参照してください。

権限セットの割り当て

ePO サーバで Host Intrusion Prevention 機能に対する権限を割り当てるには、このタスク

を実行します。

操作を始める前に

アクセス権と権限セットを付与する Host Intrusion Prevention 機能を決めます。これによ

り、この Host Intrusion Prevention 機能に対するすべてのアクセス権が付与されます。た

とえば、ファイアウォール クライアント ルールを表示するには、Host Intrusion Prevention

権限セットでファイアウォール機能に対する権限を付与するだけでなく、イベント ログ、シ

ステム、システム ツリーに対するアクセス権が必要です。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [設定]、[権限セット] の順に移動します。

2 [Host Intrusion Prevention] の横の [編集] をクリックします。

3 各機能に必要な権限を選択します。

• なし

• 設定の表示のみ

• 設定を表示して変更

4 [保存] をクリックします。

5 必要な他の権限を割り当てます。

割り当てる権限セットHost IPS の機能

Host Intrusion Prevention － IPS、イベント ログ、

システム ツリーへのアクセス権

Host IPS イベント

Host Intrusion Prevention － IPS、イベント ログ、

システム ツリーへのアクセス権

Host IPS クライアント IPS ルール

Host Intrusion Prevention － ファイアウォール、

イベント ログ、システム ツリーへのアクセス権

Host IPS クライアント ファイアウォール ルール

ダッシュボード、クエリHost IPS ダッシュボード

クエリHost IPS クエリ

Host IPS のサーバ タスクHost Intrusion Prevention には、いくつかのサーバ タスクが事前に設定されています。こ

れらのタスクは、特定のスケジュールで実行したり、Host Intrusion Prevention 保護メン

保護の管理システム管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)26

テナンスですぐに実行することもできます。サーバ タスク ビルダの [アクション] タブで

[新規タスク] をクリックして、Host IPS プロパティを選択すると、Host Intrusion

Prevention のカスタム サーバ タスクを作成できます。サーバ タスクの作成と実行の詳細

については、ePolicy Orchestrator のマニュアルを参照してください。

既存のサーバ タスクを実行するには、[自動処理]、[サーバ タスク] の順に移動し、[アク

ション] で該当するコマンドを実行します。カスタム サーバ タスクを作成するには、[新規

タスク] をクリックして、サーバ タスク ビルダ ウィザードの指示に従います。

表 4: 事前設定のサーバ タスクとカスタム サーバ タスク

説明サーバ タスク

このサーバ タスクは、ePolicy Orchestrator データベー

スに保存されている Host Intrusion Prevention クライ

Host IPS プロパティ変換 (事前設定)

アント ルールを変換し、Host Intrusion Prevention で

データのソート、グループ化、フィルタリングを行いま

す。このタスクは、15 分ごとに自動的に実行される設定

になっています。ユーザとの対話は必要ありません。ク

ライアント アクションのアクションをすぐに確認する必

要がある場合には、手動で実行することもできます。

このサーバ タスクでは、ソース サイトからパッケージ

を取得し、マスター リポジトリに保存するカスタム タ

リポジトリのプル (カスタム)

スクを作成できます。パッケージの種類で Host IPS コ

ンテンツを選択して、コンテンツの更新を自動的に取得

します。

このサーバ タスクでは、指定した時間とスケジュールで

Host Intrusion Prevention の事前設定クエリを実行す

るカスタム タスクを作成できます。

クエリの実行 (カスタム)

このサーバ タスクでは、Host Intrusion Prevention ク

エリに従ってイベント ログを削除するカスタム タスク

イベント ログを削除 (カスタム)

を作成できます。ログから削除する Host IPS イベント

クエリを選択します。

Host IPS イベント通知通知では、Host Intrusion Prevention クライアント システムに発生したイベントをユーザ

に通知できます。ePolicy Orchestrator サーバが、特定のイベントを受信して処理した場合

に、電子メールまたは SNMP トラップの送信、または外部コマンド実行のルールを設定でき

ます。通知メッセージを生成するイベントのカテゴリや通知の送信頻度を指定できます。詳

細については、ePolicy Orchestrator 4.0 のマニュアルを参照してください。

通知の使用に関するヒントHost Intrusion Prevention 環境では、イベントが発生すると、ePolicy Orchestrator サー

バに配信されます。通知ルールは、影響を受けたシステムを含むグループまたはサイトに関

連しており、このイベントに対して適用されます。ルールの条件が一致すると、ルールの規

定に従い、通知メッセージの送信または外部コマンドの実行が行われます。

システム ツリーのレベルごとに個別にルールを設定することができます。集約とスロットル

に基づいたしきい値を設定して、通知メッセージを送信するタイミングを設定することもで

きます。

通知ルール

ePolicy Orchestrator には、有効にしてすぐに使用できるデフォルトのルールが用意されて

います。デフォルトのルールを有効にする前に、次の項目を行います。

保護の管理システム管理

27McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• 通知メッセージを送信する電子メール サーバを指定します。

• 受信者の電子メールアドレスが正しく設定されていることを確認します。

すべてのルールは、次のような同じ基本的方法で作成されます。

1 ルールの内容を説明。

2 ルールにフィルタを設定。

3 ルールにしきい値を設定。

4 送信メッセージとデリバリの種類を作成。

通知カテゴリ

Host Intrusion Prevention は、次の製品固有の通知カテゴリをサポートします。

• 検出して処理されたホストへの侵入

• 検出して処理されたネットワークへの侵入

• 不明

通知パラメータ

通知は、Host IPS (またはネットワーク IPS) シグネチャのすべてに対して設定するか、い

ずれに対しても設定しないかのどちらかになります。Host Intrusion Prevention では、単

独の IPS シグネチャ ID の指定を、通知ルール設定の脅威の名前またはルール名としてサ

ポートします。イベントのシグネチャ ID 属性を脅威の名前に内部でマッピングすることで、

IPS シグネチャを一意に識別するルールが作成されます。

メッセージの件名や本文で許可される Host Intrusion Prevention パラメータの特定マッピ

ングには、次の項目が含まれます。

Host IPS とネットワーク IPS イベントの値パラメータ

シグネチャ ID実際の脅威またはルールの名前

リモート IP アドレス送信元のシステム

プロセス名影響を受けるオブジェクト

発生時間通知を送信した時間

イベント ID の ePO マッピングイベント ID

ローカライズされたシグネチャ名 (クライアント コンピュータから)詳細情報

Host IPS 保護の更新Host Intrusion Prevention は、複数バージョンのクライアント コンテンツやコードをサ

ポートし、利用できる最新のコンテンツが ePO コンソールに表示されます。新しいコンテン

ツは、後でリリースされたバージョンで常にサポートされるため、コンテンツの更新に含ま

れるのはほとんどが新しい情報、または既存の情報を多少変更したものです。

更新は、コンテンツ更新パッケージで処理されます。このパッケージには、コンテンツのバー

ジョン情報および更新スクリプトが含まれています。チェックインすると、パッケージのバー

ジョンが、データベースの最新コンテンツ情報のバージョンと比較されます。パッケージの

方が新しい場合、パッケージのスクリプトが解凍され、実行されます。この新しいコンテン

ツ情報は、次回のエージェント/サーバ間の通信時にクライアントに伝達されます。

更新には IPS ルール ポリシーに関連するデータ (IPS シグネチャとアプリケーション保護

ルール) と信頼できるアプリケーション ポリシー (信頼できるアプリケーション) が含まれ

ます。これらの更新は McAfee デフォルト ポリシーで実行されるので、保護更新機能を利用

保護の管理システム管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)28

するには、これらのポリシーを IPS ルールと信頼できるアプリケーションの両方に割り当て

る必要があります。

基本的なプロセスとしては、更新パッケージを ePO マスター リポジトリにチェックインし

てから、更新情報をクライアントに送信します。クライアントは、ePO サーバとの通信によっ

てのみ更新を取得し、直接 FTP または HTTP プロトコルにより取得しないようにします。

ヒント: コンテンツ更新を利用するには、McAfee デフォルト IPS ルール ポリシーと McAfeeデフォルト信頼アプリケーション ポリシーを割り当てます。これらのデフォルトのポリシーを変更すると、これらのポリシーの変更後の設定がデフォルトの設定よりも優先するため、更新で上書きされなくなります。

更新パッケージのチェックイン

コンテンツ更新パッケージをマスター リポジトリに自動的にチェックインする ePO プルタ

スクを作成できます。このタスクは、コンテンツ更新パッケージを直接 McAfee から指定し

た頻度でダウンロードして、マスター リポジトリに追加し、新しい Host Intrusion

Prevention コンテンツでデータベースを更新します。

タスク

1 [ソフトウェア] の [マスター リポジトリ] を表示し、[スケジュールのプル] をクリッ

クします。

2 タスクに名前 (たとえば、HIP コンテンツの更新) を付けて、[次へ] をクリックしま

す。

3 タスクの種類に [リポジトリ プル] を選択し、パッケージのソース (McAfeeHttp また

は McAfeeFtp) を設定します。パッケージを受信するブランチ (最新バージョン、旧バー

ジョン、評価バージョン) と選択したパッケージ (Host Intrusion Prevention Content)

を指定して [次へ] をクリックします。

4 必要に応じてタスクをスケジュール設定し、[次へ] をクリックします。

5 情報を確認し、[保存] をクリックします。

パッケージの手動チェックイン

このタスクは、コンテンツ更新パッケージを直接 McAfee から指定した頻度でダウンロード

して、マスター リポジトリに追加し、新しい Host Intrusion Prevention コンテンツでデー

タベースを更新します。

自動プル タスクを使用しない場合には、更新パッケージをダウンロードして手動でチェック

インすることができます。

タスク

1 McAfeeHttp または McAfeeFtp からファイルをダウンロードします。

2 [ソフトウェア] の [マスター リポジトリ] を表示し、[パッケージのチェックイン] を

クリックします。

3 パッケージの種類およびパッケージの場所を選択し、[次へ] をクリックします。[パッ

ケージ オプション] ページが表示されます。

4 パッケージをインストールするブランチを選択して [保存] をクリックします。パッケー

ジが [マスター リポジトリ] タブに表示されます。

保護の管理システム管理

29McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

コンテンツによるクライアントの更新

更新パッケージをマスター リポジトリにチェックインした後、更新タスクをスケジュールす

るか、直ちに更新するためにエージェント ウェークアップ コールを送信して、クライアン

トに更新を送信できます。

タスク

1 [システム] の [システム ツリー] にある [クライアント タスク] を表示し、コンテン

ツの更新を送信するグループを選択して [新しいタスク] をクリックします。

2 タスクに名前を付け、タスクの種類として [更新 (McAfee Agent)] を選択して、[次へ]

をクリックします。

3 [選択されたパッケージ] を選択し、[Host Intrusion Prevention コンテンツ] を選択

して [OK] をクリックします。

4 必要に応じてタスクをスケジュール設定し、[次へ] をクリックします。

5 詳細を確認し、[保存] をクリックします。

クライアントからのコンテンツの更新

また、クライアントは、McAfee Agent アイコンがクライアント コンピュータのシステム ト

レイに表示されている場合、オンデマンドで更新を要求することもできます。

タスク

• システム トレイの McAfee Agent アイコンを右クリックして、[今すぐ更新] を選択しま

す。[McAfee AutoUpdate の進捗状況] ダイアログ ボックスが開き、コンテンツの更新が

プルされてクライアントに適用されます。

保護の管理システム管理

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)30

IPS ポリシーの設定

IPS ポリシーは、ホスト侵入防止保護のオン/オフを切り替え、イベントに対する処理レベル

を設定し、例外、シグネチャおよびアプリケーション保護ルールによって保護を行います。

IPS 保護は、毎月のコンテンツ更新で最新の状態が維持されます。この更新で、新しいまた

は改訂されたシグネチャとアプリケーション保護ルールが提供されます。

目次

IPS ポリシーの概要

IPS 保護の有効化

IPS シグネチャに対する対応の設定

IPS 保護の定義

IPS イベントの監視

IPS クライアント ルールの監視

IPS ポリシーの概要IPS (侵入防止システム) 機能により、システム コール (カーネル レベル) および API コー

ル (ユーザ レベル) をすべて監視し、不正な動作を行う可能性のあるコールをブロックしま

す。

Host Intrusion Prevention では、コールを行っているプロセス、そのプロセスが実行され

ているセキュリティ コンテキスト、アクセス先のリソースを判別します。ユーザ モードの

システム コール テーブルにあるエントリをリダイレクトして受信するカーネルレベル ドラ

イバは、一連のシステム コールを監視します。コールが行われると、コール要求に対してシ

グネチャの組み合わせおよび動作ルールのデータベースとの比較がドライバにより行われ、

これによりアクションを許可するか、ブロックするか、ログへ記録するかが判断されます。

このハイブリッドな方法では、ほとんどの既知の攻撃だけでなく、これまでに知られていな

い攻撃やゼロデイ攻撃も検出できます。

例外による保護も行います。例外を設定すると、正規の活動をブロックするシグネチャを無

効にし、アプリケーション保護ルールに保護対象のプロセスを記述します。

使用可能なポリシー

次の 3つの IPS ポリシーがあります。

IPS オプション － Host IPS とネットワーク IPS 保護の有効/無効を切り替え、Windows シ

ステム固有のオプションを適用して、IPS 保護を有効にします。

IPS 保護 － 特定の重大度 (高、中、低) が生成されたときのシステムの処理方法 (ブロッ

ク、無視、ログの記録) を指定します。

IPS ルール － シグネチャと動作分析を適用し、既知の攻撃とゼロデイ攻撃を阻止する IPS

保護を定義します。例外を設定すると、正規の活動をブロックするシグネチャを無効にでき

ます。アプリケーション保護ルールには、保護するプロセスを記述します。これらの設定に

31McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

より、シグネチャを補完しています。信頼できるアプリケーション ポリシーと同様、このポ

リシー カテゴリにも複数のポリシー インスタンスを含めることができます。コンテンツ更

新では、新規または更新されたシグネチャとアプリケーション保護ルールが提供され、最新

の保護状態が維持されます。

IPS 保護の実現方法IPS 保護を実現するには、シールドとエンベロープ、システム コールの遮断、特定のエンジ

ンとドライバのインストールなどの方法があります。

エンベロープとシールド

Host Intrusion Prevention は、シグネチャのエンベロープとシールドを行い、攻撃から保

護します。エンベロープは、アプリケーション固有のエンベロープの外側からのアプリケー

ションによるファイル、データ、レジストリ設定、サービスへのアクセスを防ぎます。シー

ルドは、アプリケーション固有のエンベロープの外側からのエクスプロイトによるアプリケー

ション ファイル、データ、レジストリ設定、サービスへのアクセスを防ぎます。

システム コールの遮断

Host Intrusion Prevention は、システムのすべての API コールを監視し、不正な活動を阻

止します。コールを使用するプロセス、そのプロセスが実行されているセキュリティ コンテ

キスト、アクセス先のリソースを判別します。Host Intrusion Prevention カーネルレベル

ドライバは、ユーザ レベルのシステム コール テーブルにあるエントリをリダイレクトして

受信し、一連のシステム コールを監視します。コールが行われると、コール要求に対してシ

グネチャの組み合わせおよび動作ルールのデータベースとの比較がドライバにより行われ、

これによりアクションを許可するか、ブロックするか、ログへ記録するかが判断されます。

ユーザ レベルのプログラムは、カーネルから提供された機能を使用して、ディスク ドライ

ブ、ネットワーク接続、共有メモリにアクセスします。プロセッサは、カーネル レベルの機

能への直接アクセスを阻止するため、ユーザ レベルのプログラムはシステム コールを使用

して、ユーザ モードとカーネル モード間で通信を行います。システム コールは、ユーザ

レベルのプログラムが必要とし、システム コール テーブルでオペレーティング システム内

部に実装されているすべてのカーネル機能を公開します。Host Intrusion Prevention は、

カーネル レベルのドライバをインストールし、システム コール テーブルのエントリをリダ

イレクトして、自身をシステム コール チェーンに挿入します。アプリケーションがファイ

ルを要求すると、Host Intrusion Prevention ドライバにリダイレクトされ、シグネチャと

動作ルールによって要求に対する処理 (許可またはブロック) が判断されます。

Web サーバの HTTP エンジン

Host Intrusion Prevention は、HTTP 保護エンジンを使用して、Web アプリケーションとシ

ステムを狙う攻撃を阻止します。アプリケーションに送信された HTTP ストリームを解析し、

HTTP 受信要求のパターンと比較します。HTTP 保護エンジンは、要求をテキスト形式に変換

する Web サーバの SSL 解読デコード エレメントと Web サーバ エンジンの間にインストー

ルされます。これにより、Host Intrusion Prevention エンジンはテキスト形式で要求を確

認し、処理する前に不正な要求をブロックします。HTTP シグネチャは、ディレクトリ とラ

バーサルと Unicode 攻撃、Web 改ざん、情報漏えい、サーバのハッキングを防ぎます。

SQL サーバの SQL エンジン

Host Intrusion Prevention は、SQL 検査エンジンによりデータベース サーバに対する攻撃

を阻止します。このエンジンは、データベース ネットワーク ライブラリとデータベース エ

ンジンの間にインストールされます。すべての SQL 要求を調査し、イベントを生成される可

IPS ポリシーの設定IPS ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)32

能性がある要求をブロックします。SQL 保護ルールは、ユーザ、クエリの送信元、クエリの

整合性、他のパラメータを検証します。

SQL データベース シグネチャは標準のシグネチャが提供するコア保護を強化し、特定のデー

タベース遮断ルールと保護ルールを追加します。Host IPS SQL エンジンは、データベース

エンジンが処理する前にデータベース受信クエリを処理します。クエリが既知の攻撃シグネ

チャと一致していないかどうか確認します。また、形式が正しいかどうか、SQLインジェク

ションの兆候がないかどうかも検査します。

SQL データベース シグネチャは、データベース シールドを実装し、データベースのデータ

ファイル、サービス、リソースを保護します。また、データベースが定義済みの動作プロファ

イル内で動作するように、データベース エンベロープを実装します。

シグネチャシグネチャは、トラフィック ストリームと照合される侵入防止ルールの集合です。たとえ

ば、HTTP 要求ではシグネチャにより特定の文字列が検索されます。既知の攻撃にある文字列

と一致した場合には、アクションが発生します。シグネチャ ルールでは既知の攻撃に対する

保護を行います。

シグネチャは、たとえば、Apache や IIS などの Web サーバといった、特定のアプリケー

ションまたは特定のオペレーティング システム用に設計されています。大部分のシグネチャ

はオペレーティング システム全体を保護しますが、特定のアプリケーションのみを保護する

シグネチャもあります。

Host IPS シグネチャ

Host Intrusion Prevention 保護は、サーバ、ワークステーション、ノート PC など、個々

のシステムに装備されます。Host Intrusion Prevention クライアントは、システムとやり

とりされるトラフィックを検査し、攻撃されていないかどうかアプリケーションおよびオペ

レーティング システムの動作を調査します。攻撃が検出された場合、クライアントは、ネッ

トワーク セグメントの接続において攻撃をブロックするか、または攻撃によって開始される

動作を停止するコマンドを発行できます。たとえば、バッファ オーバフローは、攻撃によっ

て不正使用されたアドレス空間に挿入された悪意のあるプログラムをブロックすることによっ

て防止されます。Internet Explorer のようなアプリケーションによるバック ドア プログ

ラムのインストールは、アプリケーションの "ファイル書き込み" コマンドを妨害し拒否す

ることによってブロックされます。

これらのシグネチャは次の処理を行います。

• 攻撃からの保護だけでなく、プログラムのファイル書き込みの防止など、攻撃の結果から

も保護します。

• 保護されたネットワーク外部にあるノート PC を保護します。

• CD または USB デバイスによって持ち込まれるローカルな攻撃から保護します。これらの

攻撃は、ネットワークの他のシステムに侵入するために、ユーザの特権をルートまたは管

理者のレベルに上げることを目的としている場合があります。

• 他のセキュリティ ツールをくぐり抜けた攻撃からの最後の防衛手段となります。

• 内部の攻撃または同じネットワーク セグメントに位置するデバイスの不正を防止します。

• 暗号化データと動作の調査によって保護されているシステムで、暗号化データのストリー

ムが終了した後の攻撃から保護されます。

• Token Ring や FDDI など、古いまたはあまり使用されないネットワーク アーキテクチャ

上のシステムを保護します。

Host Intrusion Prevention には、すべてのプラットフォームで使用可能な Host IPS シグ

ネチャのデフォルト リストが用意されています。これらのシグネチャの重大度レベル、ログ

IPS ポリシーの設定IPS ポリシーの概要

33McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

のステータス、クライアント ルールの作成設定を編集したり、カスタム シグネチャをリス

トに追加できます。コンテンツ更新をインストールすると、シグネチャのリストが必要に応

じて随時更新されます。

ネットワーク IPS シグネチャ

ネットワーク IPS による保護も、個々のシステムに装備されます。保護されたシステム間で

通信されるすべてのデータおよびネットワークのその他の部分について、攻撃があるかどう

か調査されます。攻撃が確認されると、不正データは破棄されるかまたはシステムを通過し

ないようにブロックされます。

これらのシグネチャは次の処理を行います。

• ネットワーク セグメントの下流に位置するシステムを保護します。

• サーバおよびサーバに接続するシステムを保護します。

• ネットワークのサービス拒否攻撃、およびネットワーク トラフィックの拒否や低下を引

き起こす帯域幅に向けられた攻撃から保護します。

Host Intrusion Prevention では、Windows プラットフォーム用のネットワーク IPS シグネ

チャのデフォルト リストを用意しています。これらのシグネチャの重大度レベル、ログのス

テータス、クライアント ルールの作成設定を編集できますが、カスタム ネットワーク シグ

ネチャに追加することはできません。コンテンツ更新をインストールすると、シグネチャの

リストが必要に応じて随時更新されます。

動作ルール動作ルールは、ゼロデイ攻撃を阻止し、オペレーティング システムとアプリケーションを正

常に動作させます。ヒューリスティックな動作ルールは、正当な動作のプロファイルを定義

します。ルールと一致しないものは怪しい動作と見なされ、応答が発生します。たとえば、

HTML ファイルにアクセスできるのは Web サーバのみと動作ルールで規定しているとします。

他のプロセスから HTML ファイルにアクセスしようとすると、アクションが発生します。こ

の保護の種類はアプリケーションのシールドとエンベロープといいます。この保護により、

アプリケーションとデータに対する侵害を防ぎ、他のアプリケーションに対する攻撃への転

用を阻止します。

また、動作ルールはバッファ オーバーフローのエクスプロイトもブロックします。これによ

り、サーバとデスクトップに対する攻撃の中で最も多いバッファ オーバーフロー攻撃を阻止

し、不正なコードの実行を未然に防ぎます。

処理処理とは、特定の重大度にあるシグネチャが生成されたときに Host Intrusion Prevention

クライアントが行う動作です。

クライアントが行う処理には、次の 3 種類があります。

• 無視 － 処理を行いません。イベントはログに記録されず、操作は防止されません。

• ログに記録 － イベントはログに記録されますが、操作は防止されません。

• 阻止 － イベントはログに記録され、操作は防止されます。

たとえば、あるクライアントにより重大度低のシグネチャが認識されると、そのシグネチャ

の発生がログに記録され、操作が許可されるようにセキュリティ ポリシーに指定できます。

また、重大度高のシグネチャが認識されると、操作を防止するようにも指定できます。

注意: ログ記録は、各シグネチャで直接有効にできます。IPS 保護ポリシーは、重大度レベルに応じてシグネチャの処理方法を自動的に設定します。

IPS ポリシーの設定IPS ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)34

例外例外は、シグネチャの対応でブロックされた動作を許可します。

シグネチャが攻撃と定義する動作が、ユーザの通常業務の一部であったり、保護されたアプ

リケーションの正当な動作である場合があります。シグネチャを無効にするために、正当な

動作を許可する例外を作成できます。たとえば、特定のクライアントについては操作を無視

するように例外で指定できます。

これらの例外は、手動で作成することも、クライアントを適応モードに置いて、クライアン

ト例外ルールを作成するようにすることもできます。特定のシグネチャを無効にできないよ

うにするには、シグネチャを編集して、[クライアント ルールの許可] オプションを無効に

します。ePolicy Orchestrator コンソールで、クライアント例外通常形式、フィルタリング

および集計形式で表示し、追跡することができます。これらのクライアント ルールを使用し

て新しいポリシーを作成するか、または他のクライアントに適用できる既存ポリシーに追加

します。

Host Intrusion Prevention クライアントには、クライアント コンピュータの動作が害のな

いものか不正なものかを判断する IPS シグネチャ ルールのデータベースがあります。不正

な動作を検出すると、イベントと呼ばれるアラートが ePO サーバに送信され、[レポート]

の [Host IPS] タブに表示されます。

IPS保護ポリシーのシグネチャに設定された保護レベルにより、イベントが発生した場合にク

ライアントが実行する動作が決まります。処理方法には、動作の無視、ロギングまたは防止

などがあります。

正当な動作から発生する誤検知によるイベントは、シグネチャ ルールに対する例外を作成す

るか、またはアプリケーションを信頼できるアプリケーションとして登録することで、無効

にできます。適応モードにあるクライアントは、クライアント ルールと呼ばれる例外を自動

的に作成します。管理者はいつでも手動で例外を作成できます。

イベントとクライアント例外を監視することで、最も効果的に IPS 保護の配備する方法を判

断できます。

アプリケーション保護ルールアプリケーション保護ルールは、バッファ オーバーフローに対して定義または生成されたプ

ロセス リストを使用して、ユーザ レベルの API フックを許可または禁止してシステムを保

護します。

バッファ オーバーフロー対策は Host Intrusion Prevention で汎用的な対策で、フックさ

れたプロセスに適用されます。IPS ポリシーには、Windows プラットフォーム用のアプリケー

ション保護ルールのデフォルトが記述されています。コンテンツ更新をインストールすると、

このリストは必要に応じて随時更新されます。IPS オプション ポリシーで [ネットワークに

接続するサービスベースのアプリケーションを自動的に追加] を有効にすると、ネットワー

クに接続するサービス ベースのアプリケーションをこのリストに自動的に追加することがで

きます。

イベントシグネチャがトリガーされ、クライアントが対応すると、IPS イベントが生成されます。

イベントは、[レポート] の [Host IPS] タブの [イベント] タブに表示されます。管理者

は、これらのイベントを表示および監視して、システム ルール違反を解析し、イベントの処

IPS ポリシーの設定IPS ポリシーの概要

35McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

理を調整するか、あるいは例外または信頼できるアプリケーション ルールを作成して、イベ

ント数を減らし、保護設定を調整できます。

注意: Host Intrusion Prevention クライアントは、イベントの集約を行い、ePO サーバに送信されるイベントの数を制御します。これにより、20 分以内に発生した大量のイベントがサーバに繰り返し送信されなくなります。20 秒後にイベントが再度発生すると、追加のイベントが報告されます。管理者は、ePO コンソールの [レポート] の下にある [Host IPS] タブまたはクライアント システムですべてのイベントを表示できます。

IPS 保護の有効化IPS オプション ポリシーによって、IPS 保護の適用方法が決まります。Windows プラット

フォームと Windows 以外のプラットフォームのオプションがあります。

すべてのプラットフォーム

次のオプションはすべてのプラットフォームのクライアントで使用できます。

• Host IPS が有効 － Host IPS ルールの施行により IPS 保護を有効にします。

注意: この制御は、クライアント上で直接を行うこともできます。

• 適応モードが有効 (ルールが自動的に学習されます) － 適応モードを有効にします。ク

ライアントは、ブロックされた動作を許可する例外ルールを自動的に作成します。配備を

調整する場合に一時的に使用してください。

注意: この制御は、クライアント上で直接を行うこともできます。

• このポリシーを施行するときに既存のクライアント ルールを保持する － このポリシー

を施行したときに、クライアントで作成された例外ルールを保持します。適応モードで自

動的に作成されたルールも、Windows クライアントで手動で作成したルールも保持されま

す。

Windows プラットフォームのみ

次のオプションは、Windows プラットフォームのクライアントでのみ使用できます。

• ネットワーク IPS が有効 － ネットワーク IPS ルールを実施する場合に選択します。こ

のオプションは、Host IPS ルールのアプリケーションとは別に使用できます。

• ネットワーク侵入者を自動的にブロック － 指定された時間内にクライアントのブロック

済みリストから手動で削除するまで、ホストの受信および送信トラフィックをブロックし

ます。ネットワーク IPS が有効になっている場合のみ使用できます。

注意: この制御は、クライアント上で直接を行うこともできます。

• ブロックされたホストの保持 － [ネットワーク侵入者を自動的にブロック] でパラメー

タが設定されるまでクライアントによるホスト (IP アドレス) のブロックを許可する場

合に選択します。選択しない場合、ホストは次回ポリシーが施行されるまでしかブロック

されません。

• ネットワークに接続するサービスベース アプリケーションを自動的にアプリケーション

保護リストに追加 － IPS ルール ポリシーの保護されたアプリケーションのリストに危

険度高のアプリケーションを自動的に追加します。

• 起動時に IPS 保護を有効 － クライアントで Host IPS サービスが開始するまで、ファ

イルとレジストリの保護に事前に設定された保護ルールを適用します。

IPS ポリシーの設定IPS 保護の有効化

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)36

ポリシーの選択

このポリシー カテゴリには、設定済みポリシーと、McAfee デフォルト ポリシーに従って編

集可能な個人用のデフォルト ポリシーが含まれています。設定済みポリシーは表示し、複製

できます。カスタム ポリシーは、作成、編集、名前変更、複製、削除、およびエクスポート

することができます。

設定済みのポリシーには次の項目が設定されています。

McAfee デフォルト

Host IPS とネットワーク IPS 保護は無効です。次のオプションは、IPS 保護を有効にした

ときに適用されます。

• ネットワークの侵入者の自動ブロック － 10 分間 (Windows のみ)

• ブロックされたホストの保持 (Windows のみ)

• クライアント ルールを保持する

ヒント: クライアント システム で IPS 保護を有効にするには、Host Intrusion Prevention

管理者がまずポリシーで Host IPS と Network IPS オプションを有効にし、そのポリシーを

クライアント システムに適用する必要があります。前のバージョンとは異なり、クライアン

ト システムの IPS 保護は自動的に実行されません。

IPS オプションのポリシーの設定このポリシーでは、IPS 保護の有効/無効を設定できます。また、適応モードを適用できま

す。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS オプション] を選択します。

ポリシーのリストが表示されます。

2 [IPS オプション] ポリシー リストで、[アクション] の下の [編集] をクリックして、

カスタム ポリシーの設定を変更します。

注意: 編集可能なポリシーでは、名前の変更、複製、削除、エクスポートが実行できま

す。編集不能なポリシーでは、表示または複製が実行できます。

3 表示された [IPS オプション] ページで、必要な変更 (ステータス、起動、ネットワー

ク IPS の設定) を行い、[保存] をクリックします。

IPS シグネチャに対する対応の設定IPS 保護ポリシーでは、シグネチャの重大度レベルに対して保護の処理を設定します。これ

らの設定では、攻撃や怪しい動作が検出されたときに、どのような動作を行うかをクライア

ントに指示します。

各シグネチャには、次の 4 つの重大度レベルの 1 つが設定されます。

• 高 － 明確に識別できるセキュリティ上の脅威や悪意のあるアクションのシグネチャ。こ

れらのシグネチャは、よく知られた不正特有のものであり、実際は、ほとんど動作に関連

しません。すべてのシステムで、これらのシグネチャを防止してください。

IPS ポリシーの設定IPS シグネチャに対する対応の設定

37McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• 中 － アプリケーションがエンベロープ外部で動作する場合の動作のシグネチャ。重要な

システム、Web サーバ、および SQL サーバでは、これらのシグネチャを防止してくださ

い。

• 低 － アプリケーションおよびシステム リソースがロックされ、変更できない場合の動

作のシグネチャ。これらのシグネチャを防止すると基本システムのセキュリティが向上し

ますが、追加の調整が必要になります。

• 情報 － アプリケーションおよびシステム リソースが変更され、害のないセキュリティ

リスクを示すかまたは重要なシステム情報にアクセスしようとする可能性がある場合の動

作のシグネチャ。このレベルのイベントは、正常なシステム動作中に発生し、通常は攻撃

を示すものではありません。

これらの重大度レベルは、システムに対する潜在的な危険度を示すものであり、これにより、

異なるレベルの潜在的な有害性に対して特定の処理を定義できます。すべてのシグネチャに

対して、重大度のレベルと処理を変更できます。たとえば、怪しい動作が損傷の原因となる

可能性がほとんどない場合、[無視] を処理として選択できます。動作の危険度が高い場合

は、[防止] を処理として設定できます。

ポリシーの選択

このポリシー カテゴリには、6 つの設定済みポリシーと、McAfee デフォルト ポリシーに

従って 1 つの編集可能な個人用のデフォルトポリシーが含まれています。設定済みポリシー

は表示し、複製できます。カスタム ポリシーは、作成、編集、名前変更、複製、削除、およ

びエクスポートすることができます。

設定済みポリシーには、以下のものがあります。

表 5: IPS 保護ポリシー

機能名前

重大度レベルが高のシグネチャを防止し、それ以外は無

視します。

基本的な保護 (McAfee デフォルト)

重大度レベルが高および中のシグネチャを防止し、それ

以外は無視します。

拡張保護

重大度レベルが高、中、および低のシグネチャを防止し、

それ以外はログに記録します。

最大保護

重大度レベルが高のシグネチャを防止し、中のシグネチャ

のログを記録し、それ以外は無視します。

拡張保護の準備

重大度レベルが高および中のシグネチャを防止し、低の

シグネチャのログを記録し、それ以外は無視します。

最大保護の準備

重大度レベルが高のシグネチャを記録し、それ以外は無

視します。

警告

IPS 保護ポリシーの設定このポリシーでは、特定の重大度のシグネチャに対する処理方法を設定します。これらの設

定では、攻撃や怪しい動作が検出されたときに、どのような動作を行うかをクライアントに

指示します。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS による保護] を選択します。

IPS ポリシーの設定IPS シグネチャに対する対応の設定

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)38

2 表示された [IPS 保護] ポリシー リストで、[アクション] の下の [編集] をクリック

して、カスタム ポリシーの設定を変更します。

注意: 編集可能なポリシーでは、名前の変更、複製、削除、エクスポートが実行できま

す。編集不能なポリシーでは、表示または複製が実行できます。

3 表示された [IPS 保護] ページで、必要な変更を行い、[保存] をクリックします。

IPS 保護の定義IPS ルールのポリシーは、侵入防止手段を適用します。このポリシーは、複数のインスタン

スの割り当てが可能なマルチインスタンス ポリシーです。

各 IPS ルール ポリシーには、設定可能な詳細情報が記述されています。

• シグネチャ

• アプリケーション保護ルール

• 例外ルール

また、次の作業を行うには、[レポート] の [ホスト IPS] ページも表示する必要がありま

す。

• IPS イベント

• IPS クライアント ルール

ポリシーの選択

このポリシー カテゴリには、基本的な IPS 保護を提供する事前定義のデフォルト ポリシー

があります。定義済みのポリシーは表示と複製ができます。ユーザが作成したカスタム ポリ

シーは、編集、名前の変更、複製、削除およびエクスポートが可能です。ポリシーの複数の

インスタンスをポリシー ルールの組み合わせに割り当てることもできます。

IPS ルール ポリシーの設定このポリシーでは、シグネチャ、アプリケーション保護ルール、例外を定義できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS ルール] を選択します。ポリ

シーのリストが表示されます。

2 [IPS ルール] ポリシー リストで、[アクション] の下の [編集] をクリックして、カス

タム ポリシーの設定を変更します。

注意: 編集可能なポリシーでは、名前の変更、複製、削除、エクスポートが実行できま

す。編集不能なポリシーでは、表示または複製が実行できます。

3 表示された [IPS ルール] ページで、必要な変更を行い、[保存] をクリックします。詳

細については、「IPS シグネチャの設定」、「IPS アプリケーション保護ルールの設定」、「IPS 例外の設定」を参照してください。

IPS ポリシーの設定IPS 保護の定義

39McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ポリシーの複数のインスタンスの割り当てePolicy Orchestrator のシステム ツリーでポリシーの 1 つ以上のインスタンスをグループ

システムに割り当てると、1 つのポリシーを複数の目的で使用することができます。

IPS ルール ポリシーと信頼できるアプリケーション ポリシーは、複数のインスタンスに割

り当てられるマルチインスタンス ポリシーです。マルチインスタンス ポリシーは便利なポ

リシーです。たとえば、IIS サーバには、通常のデフォルトのポリシー、サーバのポリシー

および IIS のポリシーを適用できます。IIS サーバのポリシーと IIS のポリシーは、IIS

サーバとして稼動しているシステムを対象として設定するポリシーです。複数をインスタン

スを割り当てると、ポリシーの各インスタンスのすべての要素を割り当てることになります。

注意: IPS ルールと信頼できるアプリケーションの McAfee デフォルト ポリシーは、コンテ

ンツの更新時に更新されます。McAfee では、保護を最新の状態にしておくために、この 2

つのポリシーを常に適用することをお勧めします。

複数のインスタンスがあるポリシーの場合、[有効なポリシー] リンクが表示され、ポリシー

インスタンスの組み合わせの詳細が確認できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム]、[システム ツリー] の順に移動し、システム ツリーでグループを選択しま

す。

注意: 単一システムの場合は、システム ツリーでシステムのあるグループを選択し、[シ

ステム] タブでシステムを選択し、[その他のアクション]、[1 つのシステムのポリシー

を変更] の順に選択します。

2 [ポリシー] で、[製品] リストから [Host Intrusion Prevention 8.0: IPS/全般] を選

択して、[IPS ルール/信頼できるアプリケーション] で [割り当てを編集] をクリック

します。

3 [ポリシーの割り当て] ページで、[新しいポリシー インスタンス] をクリックし、別の

ポリシー インスタンスの [割り当て済みのポリシー] リストからポリシーを選択しま

す。マルチインスタンス ルール セットで有効なポリシーを表示するには [有効なポリ

シーを表示] をクリックします。

4 [保存] をクリックして、すべての変更を保存します。

FAQ － マルチインスタンス ポリシーHost Intrusion Prevention には、IPS ルールと信頼できるアプリケーションの 2 つのマル

チインスタンス ポリシーがあります。これらのポリシーを使用すると、1 つのクライアント

に同時に複数のポリシーを許可することができます。他のポリシーはシングルインスタンス

ポリシーです。

これらのポリシーの McAfee デフォルト バージョンは、Host Intrusion Prevention セキュ

リティ コンテンツの更新時に自動的に更新されます。このため、セキュリティ コンテンツ

の更新が適用されるように、これらのポリシーをクライアントに常時割り当てる必要があり

ます。複数のインスタンスが適用されると、その結果はすべてのインスタンスの統合になり

ます。このポリシーを有効なポリシーといいます。

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)40

配備を簡素化するためには、マルチスロット ポリシーの割り当てをどのように使用すればよ

いですか?

最初に、配備用のユーザ グループを定義します。保護が必要なリソースと正常に機能させる

ために例外が必要なリソースをプロパティに記述します。このプロパティは次のようになり

ます。

• 部門 － 各部門で固有のリソースを保護し、固有のビジネス活動を例外にする必要があり

ます。

• 場所 － 各場所には固有のセキュリティ基準が設定されている場合があります。また、保

護が必要なリソースやビジネス活動で必要な例外が異なる場合もあります。

• コンピュータの種類 － 各コンピュータ (ノート PC、ワークステーション、サーバ) に

よって保護するアプリケーションが異なりますが、重要なビジネス機能の実行は許可する

必要があります。

次に、リソースを保護し、グループごとに例外と信頼できるアプリケーションを作成します。

適応モードを使用して、特定のグループで保護または信頼するリソースを特定できます。各

ユーザ グループに IPS ルールと信頼できるアプリケーション ポリシーのインスタンスを作

成します。特定の部門。場所、コンピュータの種類ごとに 1 つの IPS ルール ポリシーを作

成します。該当するインスタンスを適用します。マルチインスタンスの IPS ルール ポリシー

を使用しない場合、3 つの部門、3 つの場所、3 つのコンピュータの種類で 27 のポリシー

を作成する必要がありますが、マルチインスタンスの場合、9 つのポリシーで済みます。

ルールを異なるポリシーに割り当てると矛盾します。有効なポリシーはどのように作成され

ますか?

1 つのインスタンスのルールの設定が、他のポリシー インスタンスの同じルールでは矛盾す

る場合があります。Host IPS では、全体的に有効なポリシーを設定するために、これらの矛

盾を次のルールで処理しています。

IPS ルールの場合:

• シグネチャの有効な重大度は、カスタマイズされた重大度の中で最も高いレベルに設定さ

れます。優先順位は、高、中、低、情報、無効です。重大度がカスタマイズされていない

場合には、デフォルトの値が適用されます。

• シグネチャの有効なログのステータスは、カスタマイズされたログのステータスになりま

す。2 つ以上の適用済みの IPS ルール ポリシーでカスタマイズされている場合には、無

効よりも有効なログのステータスが優先されます。ログのステータスがカスタマイズされ

ていない場合には、デフォルトの値が適用されます。

• シグネチャの有効なクライアント ルール設定はカスタマイズされた設定です。2 つ以上

の割り当て済みの IPS ルール ポリシーでカスタマイズされている場合には、無効よりも

有効なクライアント ルールが優先されます。クライアント ルール設定がカスタマイズさ

れていない場合には、デフォルトの値が適用されます。

• 有効な例外セットは、適用済みのすべての例外の組み合わせです。

信頼できるアプリケーションの場合:

• 有効な信頼できるアプリケーションのセットは、すべての信頼できるアプリケーションの

組み合わせです。

• 同じアプリケーションが別の信頼されたアプリケーション ポリシーの機能で「信頼」と

設定されていない場合でも、IPS またはファイアウォールでの信頼設定が優先されます。

IPS ポリシーの設定IPS 保護の定義

41McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

IPS シグネチャの機能シグネチャは、セキュリティ上の脅威、攻撃手法、およびネットワーク侵入を記述します。

各シグネチャには、デフォルトの重大度レベルがあり、このレベルによって攻撃の潜在的な

危険性が示されます。

• 高 － 明確に識別できるセキュリティ上の脅威や悪意のあるアクションから保護するシグ

ネチャ。これらのシグネチャの大部分は、よく知られた不正特有のものであり、実際は、

ほとんど動作に関連しません。すべてのホストで、これらのシグネチャを防止してくださ

い。

• 中 － 高レベルよりも実際に動作に関連し、アプリケーションがアプリケーション環境の

外部で動作するのを防止するためのシグネチャ (Web サーバおよび Microsoft SQL Server

2000 を保護するクライアントに関連します)。重要なサーバでは、微調整した後、これら

のシグネチャを防止しなければならない場合があります。

• 低 － 実際に動作に関連するシグネチャであり、アプリケーションを遮断します。遮断と

は、アプリケーションおよびシステム リソースを変更できないように、それらを制限す

ることです。これらのシグネチャを防止すると基本システムのセキュリティが向上します

が、追加の微調整が必要になります。

• 情報 － 害のないセキュリティ リスクが発生するかまたは重要なシステム情報がアクセ

スされる可能性のある、システム設定の変更を示します。このレベルのイベントは、正常

なシステム動作中に発生し、通常は攻撃を示すものではありません。

シグネチャの種類

IPS ルールのポリシーには、次の 3 種類のシグネチャがあります。

• Host IPS シグネチャ － Host Intrusion Prevention のデフォルトのシグネチャ

• カスタム IPS シグネチャ － ユーザが作成するカスタム ホスト侵入防止シグネチャ

• ネットワーク IPS シグネチャ - Network Intrusion Prevention のデフォルトのシグネ

チャ

Host IPS シグネチャ

ホストベースの侵入防止シグネチャは、システム操作を行う動作への攻撃を検出および防止

するもので、ファイル、レジストリ、サービス、HTTP などに関するルールを含みます。これ

らのシグネチャは、Host Intrusion Prevention のセキュリティ エキスパートによって開発

され、製品に含まれており、コンテンツの更新も提供されます。

各シグネチャには、説明とデフォルトの重大度レベルがあります。適切な特権レベルを持っ

ていれば、管理者はシグネチャの重大度レベルを変更できます。

ホストベースのシグネチャは、呼び出されると IPS イベントを生成し、それらのイベントは

[レポート] の [ホスト IPS] タブの [イベント] タブに表示されます。

カスタム IPS シグネチャ

カスタム シグネチャは、デフォルトの保護を超える保護のために作成できる、ホストベース

のシグネチャです。たとえば、重要なファイルを使用して新しいフォルダを作成する場合に、

カスタム シグネチャを作成してそのフォルダを保護できます。

注意: ネットワークベースのカスタム シグネチャは作成できません。

ネットワーク IPS シグネチャ

ネットワークベースの侵入防止シグネチャは、ホスト システム上に到達する既知のネット

ワークベースの攻撃を検出および防止します。ネットワークベースのシグネチャは、ホスト

ベースのシグネチャと同じシグネチャ リストに表示されます。

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)42

各シグネチャには、説明とデフォルトの重大度レベルがあります。適切な特権レベルを持っ

ていれば、管理者はシグネチャの重大度レベルを変更できます。

ネットワークベースのシグネチャに対して例外を作成することはできますが、オペレーティ

ング システム ユーザ、プロセス名などの追加パラメータ属性を指定することはできません。

詳細には IP アドレスなどのネットワーク特有のパラメータが含まれており、それらのパラ

メータを指定できます。

ネットワークベースのシグネチャによって生成されたイベントは、[イベント] タブにホスト

ベースのイベントとともに表示され、ホストベースのイベントと同じ動作が示されます。

シグネチャを使用するには、[IPS ルール] ポリシーの [シグネチャ] タブをクリックしま

す。

IPS シグネチャの設定

IPS ルール ポリシーの [シグネチャ] タブでは、デフォルトのシグネチャを編集したり、カ

スタム シグネチャを追加できます。また、シグネチャを別のポリシーに移動することもでき

ます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS ルール] を選択します。ポリ

シーのリストが表示されます。

2 [アクション] の下で [編集] をクリックして、[IPS ルール] ページで変更を行い、[シ

グネチャ] タブをクリックします。

3 次のいずれかを行います。

手順...操作...

シグネチャ リストの上部にあるフィルタを使用しま

す。シグネチャの重大度、種類、プラットフォーム、

リストでのシグネチャの検索

ログ ステータス、クライアント ルールを許可するか

どうか、またはシグネチャ名、メモ、あるいはコンテ

ンツ バージョンを含む特定のテキストでフィルタを

設定できます。フィルタ設定を削除するには、[クリ

ア] をクリックします。

[アクション] で、[編集] をクリックします。シグネチャの編集

• デフォルトのシグネチャである場合、[重大度レベ

ル]、[クライアント ルール]、または [ログのス

テータス] の設定を変更し、変更内容を記述する

メモを [メモ] ボックスに入力します。[OK] をク

リックして変更を保存します。編集したデフォル

トのシグネチャは、[アクション] の [取り消し]

をクリックすると元の設定に戻すことができます。

注意: シグネチャを編集して変更を保存すると、

リスト内でシグネチャが再度ソートされます。編

集後のシグネチャを探すには、リストの検索が必

要になる場合があります。

• シグネチャがカスタム シグネチャである場合、

[重大度レベル]、[クライアント ルール]、[ログ

のステータス]、または [説明] の設定を変更し、

変更内容を記述するメモを [メモ] ボックスに入

IPS ポリシーの設定IPS 保護の定義

43McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

手順...操作...

力します。[OK] をクリックして変更を保存しま

す。

注意: 複数のシグネチャを同時に変更することもでき

ます。シグネチャの選択して [複数を選択] をクリッ

クします。表示されたページで、編集可能な項目の設

定を選択して [OK] をクリックします。

[新規] または [新規 (ウィザード)] をクリックしま

す。

シグネチャの追加

[アクション] で [削除] をクリックします。

注意: 削除できるのは、カスタム シグネチャだけで

す。

カスタム シグネチャの削除

シグネチャを選択し、[コピー先] をクリックして別

のポリシーにコピーします。シグネチャのコピー先の

ポリシーを指定し、[OK] をクリックします。

注意: 複数のシグネチャを選択してから [コピー先]

をクリックすると、選択したすべてのシグネチャをま

とめてコピーできます。

別のポリシーへのシグネチャのコピー

4 [保存] をクリックして変更を保存します。

カスタム シグネチャの作成

IPS ルール ポリシーの [シグネチャ] タブで、カスタム Host IPS を作成し、デフォルトの

シグネチャで対応できない特定の操作を保護することができます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 IPS ルール ポリシーの [シグネチャ] タブで、[新規] をクリックします。空白の [シ

グネチャ] ページが表示されます。

2 シグネチャの [IPS シグネチャ] タブで、名前 (必須) を入力し、プラットフォーム、

重大度レベル、ログのステータス、およびクライアント ルールの作成を許可するかどう

かを選択します。重大度レベル、クライアント ルール、ログのステータスのチェック

ボックスを選択して、デフォルトの値を変更します。

3 [説明] タブで、シグネチャの保護対象の説明を入力します。この説明は、シグネチャが

呼び出されたときに、[IPS イベント] に表示されます。

4 [サブルール] タブで、[新しい標準サブルール] または [新しいエキスパート サブルー

ル] を選択してルールを作成します。

エキスパート向けの方法標準方法

エキスパート向けの方法は、詳しい知識のあるユーザ

のみが使用することをお勧めします。この方法では、

標準方法では、シグネチャのルールに設定できる種類

の数が制限されます。

シグネチャのルールに設定できる種類の数は制限され

ず、ルールの構文を設定できます。ルールを作成する

前に、ルールの構文をよく理解してください。

1 シグネチャのルール構文を入力します。ここ

に、ルールの名前を入れることができます。

ANSI 形式の TCL 構文を使用します。

1 シグネチャの名前 (必須) を入力し、ルール

クラスの種類を選択します。オプションは、

ファイル、フック、HTTP、プログラム、レジス

トリ、サービス、SQL です。

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)44

エキスパート向けの方法標準方法

2 [OK] をクリックすると、ルールが [サブルー

ル] タブの上部のリストに追加されます。ルー

2 ブロック され、シグネチャが生成されるクラ

ス操作を指定します。

ルがコンパイルされ、構文が検証されます。3 特定のパラメータ、そのパラメータの種類、お

よびその値を含めるか除外するかを指定しま

す。

ルールの検証が正常終了しなかった場合は、エ

ラー内容を示すダイアログ ボックスが表示さ

れます。エラーを修正して、ルールを再度検証

します。4 パラメータとして、ファイルの説明、ファイル

名、MD5 ハッシュ フィンガープリント、署名

者のいずれかと一緒に実行ファイルを指定しま

す。

5 [OK] をクリックすると、ルールが [サブルー

ル] タブの上部のリストに追加されます。ルー

ルがコンパイルされ、構文が検証されます。

ルールの検証が正常終了しなかった場合は、エ

ラー内容を示すダイアログ ボックスが表示さ

れます。エラーを修正して、ルールを再度検証

します。

クラスの種類、演算子、パラメータの詳細については、「カスタム シグネチャと例外の作成」で該当するクラス セクションを参照してください。

5 [OK] をクリックします。

注意: 1 つのシグネチャに対して複数のルールを作成できます。

ウィザードによるカスタム シグネチャの作成

カスタム シグネチャ ウィザードを使用すると、新しいシグネチャを簡単に作成できます。

注意: ウィザードを使用してシグネチャを作成した場合、シグネチャの保護対象操作を変更、

追加、または削除できないため、柔軟性は期待できません。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 IPS ルールの [シグネチャ] タブで、[新規 (ウィザード)] をクリックします。

2 [基本情報] タブで、名前を入力し、プラットフォーム、重大度レベル、ログのステータ

ス、およびクライアント ルールの作成を許可するかどうかを選択します。[次へ] をク

リックして、続行します。

3 [説明] タブで、シグネチャの保護対象の説明を入力します。この説明は、シグネチャが

呼び出されたときに、[IPS イベント] に表示されます。

4 [ルールの定義] タブで、変更に対して保護する項目を選択し、詳細を入力します。

5 [OK] をクリックします。

FAQ － IPS ルールでのワイルドカードの使い方

Host IPS ルールでは、特定のフィールド値にワイルドカードを使用できます。

パスとアドレスで使用できるワイルドカードを教えてください。

ファイル、レジストリ キー、実行ファイル、URL のパスには次のワイルドカードが使用でき

ます。

IPS ポリシーの設定IPS 保護の定義

45McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

定義文字

1 つの文字。? (疑問符)

/ と \ を除く複数の文字。サブフォルダではなく、フォ

ルダのルート レベルの内容と一致させるために使用しま

す。

* (1 つのアスタリスク)

/ と \ を含む複数の文字。** (2 つのアスタリスク)

ワイルドカードのエスケープ。

注意: ** の場合、エスケープは |*|* になります。

| (パイプ)

他の値で使用できるワイルドカードを教えてください。

パス情報を含まないスラッシュ付きの値では、次のワイルドカードを使用できます。

定義文字

1 つの文字。? (疑問符)

/ と \ を含む複数の文字。* (1 つのアスタリスク)

ワイルドカードのエスケープ。| (パイプ)

シグネチャのエキスパート サブルール値で使用できるワイルドカードを教えてください。

エクスパート方法でサブルールを作成する場合には、次の文字が使用できます。

定義文字

1 つの文字。? (疑問符)

/ と \ を含む複数の文字。例:files { Include

“C:\*.txt” ” }

* (1 つのアスタリスク)

/ と \ を除く複数の文字。サブフォルダではなく、フォ

ルダのルート レベルの内容と一致させるために使用しま

す。例：files { Include “C:\test\\&.txt” }

& (アンパサンド)

ワイルドカードのエスケープ。例:files { Include

“C:\test\\yahoo!.txt” }

! ! (感嘆符)

IPS アプリケーション保護ルールの機能アプリケーション保護ルールは、プロセスが Host Intrusion Prevention から汎用的なバッ

ファ オーバーフロー対策を受信する方法を制御します。このルールでは、定義され生成され

たプロセス リストに対するユーザレベルの API フックを許可またはブロックします。カー

ネルレベルのファイルおよびレジストリ フックには影響しません。リスト内で監視ステータ

スが「監視対象」のプロセスだけがバッファ オーバーフロー対策の対象になります。

Host Intrusion Prevention では、許可またはブロックされたプロセスの静的リストを提供

しています。このリストは、McAfee デフォルト IPS ルール ポリシーで適用されるコンテン

ツ更新で更新されます。さらに、プロセス解析が有効な場合、フックを許可されたプロセス

が動的にリストに追加されます。この解析は次の条件で実行されます。

• クライアントが起動して実行中のプロセスが列挙される場合。

• プロセスが開始される場合。

• ePolicy Orchestrator サーバによりアプリケーション保護リストが更新される場合。

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)46

• ネットワーク ポートを待ち受けるプロセスのリストが更新される場合。

注意: リストを動的に更新するには、IPS オプション ポリシーで [ネットワークに接続するサービスベース アプリケーションを自動的にアプリケーション保護リストに追加] を選択する必要があります。このオプションでは、ネットワーク ポートで待機するすべての Windowsサービスとアプリケーションが対象になります。

この解析では、プロセスがアプリケーション保護リストから除外されているかどうかを最初

に確認します。除外されていない場合、プロセスがアプリケーション保護リストに追加され

ているかどうかを確認します。追加されていない場合、プロセスがネットワーク ポートで待

機しているのか、サービスとして実行されているかを確認します。該当しない場合、フック

がブロックされ、プロセスは保護されません。ポート上で待機しているかサービスとして実

行されている場合には、フックが許可され、プロセスが保護されます。

図 1: アプリケーション保護ルールの解析

IPS コンポーネントは、実行中のプロセスに情報キャッシュを保持しており、フック情報を

追跡します。ファイアウォール コンポーネントは、プロセスがネットワーク ポートを待ち

IPS ポリシーの設定IPS 保護の定義

47McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

受けているかどうか判断し、IPS コンポーネントにエクスポートされた API を呼び出し、監

視リストに追加される情報を API に渡します。API が呼び出されると、IPS コンポーネント

は対応するエントリを実行中のプロセス リストで見つけます。まだフックされておらず静的

ブロック リストの一部にもなっていないプロセスは、これでフックされます。ファイアウォー

ルから PID (プロセス ID) が出力され、これがプロセスのキャッシュ検索のためのキーにな

ります。

IPS コンポーネントにエクスポートされた API によっても、現在フックされているプロセス

をクライアント ユーザ インターフェースで取得でき、これはプロセスがフックまたはフッ

クを解除されるたびに更新されます。すでにフックされているプロセスは、今後フックでき

なくなることを指定した更新済みのプロセス リストがサーバから送信されると、フックが解

除されます。プロセス フック リストが更新されると、実行中のプロセスの情報キャッシュ

にリストされたすべてのプロセスが、更新されたリストと比較されます。リストにより、あ

るプロセスがフックされる必要があるのにフックされていないことがわかると、そのプロセ

スはフックされます。リストにより、あるプロセスがフックされてはいけないのにフックさ

れていることがわかると、そのプロセスはフック解除されます。

プロセス フック リストは、[アプリケーション保護ルール] タブで表示、編集できます。IPS

ルールのポリシーとは異なり、クライアント ユーザ インターフェースには、フックされた

すべてのアプリケーション プロセスの静的リストが表示されます。

注意: hook:set_windows_hook による実行ファイルへの DLL の挿入を阻止するには、アプリケーション保護リストに実行ファイルを追加します。

IPS アプリケーション保護ルールの設定

IPS ルール ポリシーの [IPS ルール アプリケーション保護ルール] タブでは、ルールの編

集、追加、削除、別のポリシーへの移動を実行できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS ルール] を選択します。ポリ

シーのリストが表示されます。

2 [アクション] の下で [編集] をクリックして、[IPS ルール] ページで変更を行い、[ア

プリケーション保護ルール] タブをクリックします。

3 以下の操作を実行します。

手順...操作...

アプリケーション リストの上部にあるフィルタを使

用します。ルールのステータス、監視、またはプロセ

リストでのアプリケーション ルールの検索

ス名、プロセス パス、あるいはコンピュータ名を含

む特定のテキストでフィルタを設定できます。フィル

タ設定を削除するには、[クリア] をクリックします。

[アクション] で、[編集] をクリックします。アプリケーション ルールの編集

[新規] をクリックします。アプリケーション ルールの追加

[アクション] で [削除] をクリックします。アプリケーション ルールの削除

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)48

手順...操作...

ルールを選択し、[コピー先] をクリックして別のポ

リシーにコピーします。ルールのコピー先のポリシー

を指定し、[OK] をクリックします。

注意: 複数のルールを選択してから [コピー先] をク

リックすると、選択したすべてのルールをまとめてコ

ピーできます。

アプリケーション ルールの別のポリシーへのコピー

4 [保存] をクリックして変更を保存します。

アプリケーション保護ルールの作成

IPS ルール ポリシーに環境で必要なアプリケーション保護ルールがない場合には、ルールを

作成できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 IPS ルール ポリシーの [アプリケーション保護ルール] タブで、次のいずれかを行いま

す。

• [新規] をクリックします。空白の [アプリケーション] ページが表示されます。

• ルールを選択し、[複製] をクリックします。新しいルールに名前を付けて保存し、

[編集] をクリックします。

2 名前、ステータス、アプリケーション ルールを保護リストに入れるかどうか、および

ルールに適用する実行ファイルを入力します。

注意: [カタログから追加] をクリックすると、Host IPS カタログから既存の実行ファ

イルを追加できます。カタログの詳細については、「ファイアウォール ルールの設定」

の「Host IPS カタログの機能」を参照してください。

3 [保存] をクリックします。

IPS 例外の機能攻撃だと解釈される動作が、ユーザの作業手順の正常な一部である場合があります。これを

誤検知といいます。誤検知を防ぐには、その動作に対して例外を作成します。

例外を使用すると、誤検知を削減し、コンソールに送られる不要なデータを最小限に抑え、

アラートを本当のセキュリティ上の脅威として捉えることができます。

たとえば、検査のプロセス中、クライアントが「Outlook エンベロープ - 怪しい実行可能モ

ジュール」のシグネチャを認識したとします。このシグネチャは、Outlook 電子メールのア

プリケーションが Outlook の通常のリソースであるエンベロープ外部のアプリケーションを

変更しようとしていることを示しています。Outlook が通常電子メールに関連付けられてい

ないアプリケーション (Notepad.exe) などを変更する可能性があるため、このシグネチャで

トリガーされたイベントはアラームの原因となります。この例では、トロイの木馬に感染し

た可能性があります。しかし、イベントを開始したプロセス (たとえば Outlook.exe による

ファイルの保存) が通常どおり電子メールの送信を行っているのであれば、この動作を許可

する例外を作成する必要があります。

ヒント: 特定のフォルダでファイルの変更 (編集、名前の変更、削除) を許可しないカスタム シグネチャを作成するときに、1 つのアプリケーションに変更を許可する場合には、その

IPS ポリシーの設定IPS 保護の定義

49McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

アプリケーションがファイルを変更できるように例外を作成します。あるいは、カスタム シグネチャのサブルールでアプリケーションを除外するパラメータを追加します。

IPS 例外の設定

IPS ルール ポリシーの [IPS ルール例外] タブでは、例外の編集、追加、削除、別のポリ

シーへの移動を実行できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: IPS] を選択し、[カテゴリ] リストで [IPS ルール] を選択します。ポリ

シーのリストが表示されます。

2 [アクション] の下で [編集] をクリックして、[IPS ルール] ページで変更を行い、[例

外ルール] タブをクリックします。

3 以下の操作を実行します。

手順...操作...

例外リストの上部にあるフィルタを使用します。ルー

ルのステータス、変更された日付、またはルール テ

リストでの例外ルールの検索

キストか注テキストを含む特定のテキストでフィルタ

を設定できます。フィルタ設定を削除するには、[ク

リア] をクリックします。

[アクション] で、[編集] をクリックします。例外ルールの編集

[新規] をクリックします。例外ルールの追加

[アクション] で [削除] をクリックします。例外ルールの削除

ルールを選択し、[コピー先] をクリックして別のポ

リシーにコピーします。ルールのコピー先のポリシー

を指定し、[OK] をクリックします。

注意: 複数のルールを選択してから [コピー先] をク

リックすると、選択したすべてのルールをまとめてコ

ピーできます。

例外ルールの別のポリシーへのコピー

4 [保存] をクリックして変更を保存します。

例外ルールの作成

シグネチャでブロックされた動作を許可するには、そのシグネチャに例外を作成します。こ

れにより、例外のパラメータと値を定義します。詳細については、「カスタム シグネチャと例外の作成」を参照してください。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 IPS ルール ポリシーの [例外ルール] タブで、[新規] をクリックします。

2 例外の名前を入力します。例外を適用するシグネチャも追加します。

3 シグネチャの動作例外として機能する実行ファイル、パラメータ、ドメイン グループを

設定します。

4 [保存] をクリックします。

IPS ポリシーの設定IPS 保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)50

IPS イベントの監視IPS イベントは、シグネチャで定義されているセキュリティ違反が検出されたときに発生し、

ePO サーバに報告されます。

IPS イベントは、[レポート] の下にある [Host IPS] の [イベント] タブに重大度レベル

(高、中、低、情報) と一緒に表示されます。または、[イベント ログ] タブに、ePolicy

Orchestrator が管理する他の製品のイベントと一緒に表示されます。

注意: 同じ操作によって 2 つのイベントが発生する場合、より高いレベルのシグネチャの処

理が実行されます。

生成されたイベントのリストから、許可できるイベントと怪しいイベントを判断することが

できます。イベントを許可するには、システムを次のように設定します。

• 例外 － シグネチャ ルールに優先するルール。

• 信頼できるアプリケーション － シグネチャによってブロックされる動作をするアプリ

ケーションのうち、信頼できるとラベル付けされたアプリケーション。

このような調整を行うと、表示されるイベントを最小限に抑えることができるため、発生し

た重大なイベントの分析に、より多くの時間をかけることができます。

イベントに対する処理

特定の状況では、攻撃だと解釈される動作が、実際にはユーザの作業手順の正常な一部であ

る場合があります。このようなことが発生した場合、この動作に対して、例外ルールまたは

信頼できるアプリケーションのルールを作成できます。

例外または信頼できるアプリケーションを作成すると、誤検知が除去され、通知があった場

合には確実に重要な情報として捉えることができます。

たとえば、クライアントの検査中、クライアントが電子メール アクセスについてのシグネ

チャを認識する可能性があります。通常、このシグネチャによって発生したイベントがアラー

ムの原因になります。ハッカーによって、通常は電子メール アプリケーション用である

TCP/IP ポート 25 を使用するトロイの木馬アプリケーションがインストールされた可能性が

あり、この動作は、TCP/IP ポート 25 の動作 (SMTP) シグネチャによって検出されます。そ

の一方で、正常な電子メール トラフィックも、このシグネチャに一致します。このシグネ

チャを確認した場合は、イベントを開始したプロセスを調査してください。Notepad.exe な

ど、プロセスが電子メールに正常に関連しているものでない場合、トロイの木馬が仕掛けら

れたと疑う正当な理由がある可能性があります。イベントを開始したプロセスが通常どおり

電子メール送信を担当しているのであれば (Outlook など)、そのイベントに対して例外を作

成してください。

また、たとえば、多数のクライアントが起動プログラムについてのシグネチャを呼び出して

おり、それらのシグネチャが次のようなレジストリ キーの値の変更または作成を示す可能性

もあります。

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

これらのキーに保存されている値は、コンピュータの起動時に開始されるプログラムを示す

ため、このシグネチャの認識は、誰かがシステムを改ざんしようとしていることを示してい

る可能性があります。一方、従業員が WinZip をコンピュータにインストールしているなど、

害のない動作を示している可能性もあります。WinZip をインストールすると、Run レジスト

リ キーに値が追加されます。

承認されたソフトウェアをユーザがインストールするたびにイベントが発生するのを回避す

るには、これらのイベントに対して例外を作成します。

IPS ポリシーの設定IPS イベントの監視

51McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

イベントのフィルタと集約

フィルタを適用すると、フィルタ条件で定義されたすべての変数を満たすイベントのリスト

が生成されます。生成されるリストは、すべての条件を含むイベントのリストです。イベン

トを集約すると、[集約する列を選択する] タブで選択した各変数に関連する値ごとにグルー

プ化された、イベントのリストが生成されます。生成されるリストは、選択した変数に関連

する値ごとにグループ化され、並べ替えられたイベントのリストです。

IPS イベントの管理クライアントから送信された IPS イベントを確認して例外または信頼できるアプリケーショ

ンを作成すると、セキュリティを強化できます。

注意: IPS イベントは、全システムのその他のすべてのイベントとともに [レポート] の [イ

ベント ログ] タブにも表示されます。[レポート] の [イベント] タブにアクセスするには、

[イベント ログ]、[システム]、および [システム ツリー アクセス] の表示権限を含む、追

加の権限セットが必要です。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [レポート]、[Host IPS 8.0] の順に移動し、[イベント] をクリックします。

2 システム ツリーで、IPS イベントを表示するグループを選択します。選択したグループ

に関連付けられているすべてのイベントが表示されます。デフォルトでは、すべてのイ

ベントは表示されません。過去 30 日間に発生したイベントのみが表示されます。

3 イベントのリストの表示方法を決定します。

手順...操作...

[オプション]、[列の選択] の順に選択します。[列の

選択] ページで、表示する列の追加、削除、または順

序の変更を行います。

表示する列を選択する

列ヘッダーをクリックします。列によって並べ替える

[フィルタ] メニューから、[このグループのみ] また

は [このグループとすべてのサブグループ] を選択し

ます。

グループにフィルタを設定する

イベントの種類、ステータス (未読、既読、非表示、

非表示を表示)、重大度または作成日を選択します。

イベントの条件にフィルタを設定する

フィルタ設定を削除するには、[クリア] をクリック

します。

[集約] をクリックし、イベントを集約する条件を選

択して [OK] をクリックします。集約設定を削除する

には、[クリア] をクリックします。

例外の集約

イベントをクリックします。[イベント ログの詳細]

ページが表示されます。

イベントの詳細表示

4 フィルタリングと管理を簡単に行えるように、イベントにマークを付けます。1 つ以上

のイベントのチェックボックスを選択して、必要なコマンドをクリックします。

注意: コマンドが [その他のアクション] メニューに表示される場合もあります。

操作...クリックする項目

イベントを開封済みに設定します。開封済みに設定

IPS ポリシーの設定IPS イベントの監視

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)52

操作...クリックする項目

開封済みイベントを未開封に設定します。未開封に設定

イベントを非表示にします。非表示に設定

非表示のイベントを表示します。注:非表示イベント

を選択できるようにするには、先にフィルタリングし

ておく必要があります。

非表示を表示に設定

5 例外または信頼できるアプリケーション ルールを作成します。イベントを選択し、[新

しい例外] をクリックして例外を作成するか、[新しい信頼できるアプリケーション] を

クリックしてアプリケーション ルールを作成します。詳細については、「イベントからの例外の作成」または「イベントからの信頼できるアプリケーションの作成」を参照し

てください。

イベントからの例外の作成[Host IPS 8.0 イベント] タブまたは [イベント ログ] ページの [レポート] に表示された

イベントでは、例外を作成するオプションを使用できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 例外を作成するイベントのチェックボックスを選択します。

2 [新しい例外] をクリックします。

注意: コマンドが [アクション] メニューに表示される場合もあります。

3 表示されたダイアログ ボックスで、追加先の IPS ルール ポリシーを選択し、[OK] を

クリックします。例外が自動的に作成され、追加先の IPS ルール ポリシーの例外リス

トの最後に追加されます。

イベントからの信頼できるアプリケーションの作成[Host IPS 8.0 イベント] タブまたは [イベント ログ] ページの [レポート] に表示された

イベントでは、信頼できるアプリケーションを作成するオプションを使用できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 信頼できるアプリケーションを作成するイベントのチェックボックスを選択します。

2 [新しい信頼できるアプリケーション] をクリックします。

注意: コマンドが [その他のアクション] メニューに表示される場合もあります。

3 表示されたダイアログ ボックスで、追加先の信頼できるアプリケーション ポリシーを

選択し、[OK] をクリックします。例外が自動的に作成され、追加先の信頼できるアプリ

ケーション ポリシーの例外リストの最後に追加されます。ここから、新しいアプリケー

ションの詳細を表示し、編集することができます。

IPS ポリシーの設定IPS イベントの監視

53McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

IPS クライアント ルールの監視クライアントが適応モードにあるときに自動的に作成された IPS クライアント ルールや、

クライアント ルールの手動作成を許可するクライアント UI ポリシーが有効な場合にクライ

アントで手動で作成された IPS クライアント ルールは、定期的に解析する必要があります。

IPS クライアント ルールはクライアントで作成された例外で、シグネチャでブロックされた

機能を許可します。重大度高のシグネチャに対する例外は十分に注意してください。誤検知

の場合も、重大な問題の場合もあります。誤検知の場合には、例外を IPS ルール ポリシー

に移動するか、シグネチャの重大度を調整します。

注意: [レポート] の [ホスト IPS] タブに表示される IPS クライアントのルールにアクセスするには、Host Intrusion Prevention の IPS に対する権限以外に、[イベント ログ]、[システム]、および [システム ツリー アクセス] の表示権限を含む、追加の権限が必要です。

例外は、ソート、フィルタリング、集約ができます。また、例外の詳細も表示できます。次

に、一部またはすべてのクライアント例外を特定の IPS ルール ポリシーに追加して、特定

のシステム環境の誤検知を削減できます。

集約機能を使用すると、同じ属性を持つ複数の例外をまとめることにより、1 つの集約され

た例外だけを表示できるとともに、例外が発生した回数を管理できます。こうして、クライ

アントでの IPS 保護のトラブル スポットを容易に検出することができます。

IPS クライアント ルールの管理適用モードで自動的に作成された IPS クライアント ルールやクライアントで手動で作成し

たルールを表示し、IPS ルールや信頼できるアプリケーション ポリシーに移動すると、IPS

保護の調整を効率的に行うことができます。

注意: [レポート] の [ホスト IPS] タブに表示される IPS クライアントのルールにアクセ

スするには、Host Intrusion Prevention の IPS に対する権限以外に、[イベント ログ]、

[システム]、および [システム ツリー アクセス] の表示権限を含む、追加の権限が必要で

す。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [レポート]、[Host IPS 8.0] の順に移動し、[IPS クライアント ルール] をクリックし

ます。

2 システム ツリーで、クライアント ルールを表示するグループを選択します。

3 クラアイント例外リストの表示方法を決定します。

手順...操作...

列ヘッダーをクリックします。列によって並べ替える

[フィルタ] メニューから、[このグループのみ] また

は [このグループとすべてのサブグループ] を選択し

ます。

グループにフィルタを設定する

時間の条件を選択します。プロセス パス、プロセス

名、ユーザ名、コンピュータ名、またはシグネチャ

例外条件にフィルタを設定する

ID を検索テキスト ボックスに入力し、[戻る] を押

します。フィルタ設定を削除するには、[クリア] を

クリックします。

IPS ポリシーの設定IPS クライアント ルールの監視

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)54

手順...操作...

[集約] をクリックし、例外を集約する条件を選択し

て [OK] をクリックします。集約設定を削除するに

は、[クリア] をクリックします。

例外の集約

4 例外をポリシーに移動するには、リスト内の 1 つ以上の例外を選択し、[例外の作成]

をクリックして、例外の移動先のポリシーを指定します。

IPS ポリシーの設定IPS クライアント ルールの監視

55McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ファイアウォール ポリシーの設定

Host Intrusion Prevention ファイアウォール ポリシーは保護機能を有効または無効にしま

す。また、ポリシーのルールにより、データ、アプリケーション、オペレーティング システ

ムを侵害する可能性があるネットワーク侵入を阻止します。

目次

ファイアウォール ポリシーの概要

ファイアウォール保護の有効化

ファイアウォール保護の定義

ファイアウォール ポリシーの概要The Host Intrusion Prevention ファイアウォール機能は、Windows が稼動するネットワー

ク上のシステムで送受信されるトラフィックをフィルタリングし、システムを保護します。

ステートフル パケット フィルタ機能とパケット検査機能は、さまざまな種類の接続のパケッ

トを識別し、転送の最初から最後まで、ネットワーク接続の属性をメモリに保持できます。

Host IPS カタログを使用すると、ルールを簡単に作成できます。カタログから既存のファイ

アウォール ルールやグループに既存のルール、グループ、ネットワーク オプション、アプ

リケーション、実行ファイル、場所を追加できます。また、これらの項目を一つずつまた一

括でカタログに追加できます。

使用可能なポリシー

次の 3つのファイアウォール ポリシーがあります。

ファイアウォール オプション － ファイアウォール保護を有効にします。ファイアウォール

保護を有効または無効にします。ステートフル ファイアウォールの設定を定義し、ファイア

ウォール サービスが開始するまで送信トラフィックだけを許可するなど、特別なファイウォー

ル ルールを有効にできます。また、IP を偽装する不正なトラフィックをブロックします。

ファイアウォール ルール － ファイアウォール保護を定義します。許可またはブロックする

トラフィックを定義した一連のルールから構成されます。ルールは、広範囲に定義すること

も (すべての IP トラフィックなど)、狭い範囲で定義することもできます (特定のアプリ

ケーションまたはサービスの特定など)。また、ネットワーク、トランスポート、アプリケー

ション、スケジュールの各オプションを設定できます。ルールを機能、サービスまたはアプ

リケーションに従って分類すると、管理作業が簡単になります。ルールと同様に、ルール グ

ループもネットワーク、トランスポート、アプリケーション、スケジュール、場所の各オプ

ションが定義できます。

ファイアウォール DNS ブロック － ブロックするドメイン名のパターンを定義します。ワイ

ルドカードも使用できます。適用すると、このポリシーはファイアウォール ルール リスト

の先頭に近い位置にルールを動的に追加し、特定のドメインの IP アドレスの解決を阻止し

ます。

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)56

ファイアウォール ルールの機能ファイアウォール ルールでは、ネットワーク トラフィックの処理方法を決定します。各ルー

ルには、トラフィックが満たす必要がある一連の条件とアクション (トラフィックの許可ま

たはブロック) が定義されています。Host Intrusion Prevention は、ルールの条件と一致

するトラフィックを見つけると、関連付けられたアクションを実行します。

Host Intrusion Prevention は、優先順位によってルールを適用し、ファイアウォール ルー

ル リストの最上位にあるルールを最初に適用します。トラフィックがルールの条件と一致す

ると、Host Intrusion Prevention はトラフィックを許可またはブロックします。リストに

あるその他のルールは適用しません。トラフィックが最初のルールの条件と一致しない場合、

Host Intrusion Prevention はリストにある次のルールを調べます。このようにして、トラ

フィックに一致するルールが見つかるまでファイアウォール ルール リストを照合していき

ます。一致するルールがない場合、ファイアウォールは自動的にトラフィックをブロックし

ます。学習モードが有効な場合には、実行するアクションをユーザに確認します。適応モー

ドが有効な場合には、トラフィックの許可ルールが作成されます。阻止したトラフィックが、

リストにある 1 つ以上のルールに適合する場合があります。この場合、優先順位により、

Host Intrusion Prevention はリストで最初に一致したルールのみを適用します。

ベスト プラクティス

ファイアウォール ルールのポリシーを作成またはカスタマイズする場合、より具体的なルー

ルをリストの上位に置き、一般的なルールを下位に置きます。こうすることにより、Host

Intrusion Prevention は、トラフィックを適切にフィルタリングします。

たとえば、IP アドレス 10.10.10.1 を除くすべての HTTP 要求を許可するには、次の 2 つ

のルールを作成する必要があります。

• ブロック ルール － IP アドレス 10.10.10.1 からの HTTP トラフィックをブロックしま

す。これは、具体性の高いルールです。

• 許可ルール － HTTP サービスを使用するすべてのトラフィックを許可します。これは、

一般性の高いルールです。

具体的なブロック ルールは、一般的な許可ルールよりもファイアウォール ルール リストの

上位に配置する必要があります。これにより、ファイアウォールがアドレス 10.10.10.1 か

らの HTTP 要求を阻止したときに、一致するルールで最初に見つけるのが、このトラフィッ

クのファイアウォールの通過をブロックするルールになります。

一般的な許可ルールを具体的なブロック ルールより上位に置くと、Host Intrusion Prevention

では、ブロック ルールを見つける前に、10.10.10.1 からの HTTP 要求が許可ルールに一致

してしまいます。この場合、このアドレスからの HTTP 要求をブロックしたくても、トラ

フィックは許可されます。

ファイアウォール プロトコル

ファイアウォール保護は、ネットワーク アーキテクチャの複数の層で動作することによって

コンピュータを保護します。各層では、異なる条件を使用してネットワーク トラフィックを

制限します。このネットワーク アーキテクチャは TCP/IP 上に構築されています。

リンク層

リンク層プロトコルは MAC メソッドと最低限のエラー検出機能を定義しています。

Ethernet LAN (802.3)、無線 Wi-Fi (802.11x)、仮想 LAN (VPN) がこの層になります。ファ

イアウォール ルールとグループは無線、有線、仮想リンクを識別します。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

57McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ネットワーク層

ネットワーク層プロトコルは、ネットワーク全体のアドレス指定方法、ルーティング、ネッ

トワーク制御の方法を定義しています。

IP 以外の任意のプロトコルもサポートしますが、ネットワーク層またはトランスポート層の

パラメータは検出できません。管理者は、これらのネットワーク層プロトコルをブロックま

たは許可できます。IP 以外のプロトコルに対応する番号は、Internet Assigned Numbers

Authority (IANA) が定義している Ethernet 番号に従って設定されます。この番号は

http://www.iana.org/assignments/ethernet-numbers で公開されています。

Host IPS ファイアウォールは、Windows XP、Windows Vista、Windows Server 2008 および

Windows 7 で IPv4 と IPv6 を完全にサポートしています。

トランスポート層

トランスポート プロトコルでもネットワーク プロトコルと同じように IP を使用できます。

よく使用されているのは TCP、UDP、ICMPv4、ICMPv6 の 4 つです。

TCP

TCP は、コネクション指向の信頼性の高いトランスポート プロトコルです。ネットワーク

パケットに含まれているデータは確実に配信されます。また、データの転送率も制御します。

これにより、オーバーヘッドが発生し、ネットワーク条件が最適でなくなると、TCP 操作の

タイミングが予測不能になります。

トランスポート層で最も使用されているアプリケーション プロトコルが TCP です。HTTP、

FTP、SMTP、RDP、SSH、POP および IMAP は TCP を使用しています。

TCP では、「ポート」という概念を使用してアプリケーション層プロトコルを多重化してい

ます。TCP パケットには送信元と送信先のポート番号が記述されています (番号は 0 から

65535)。通常、TCP 接続のサーバ側が固定ポートで接続を待機します。

ポート 0 から 1023 までは「既知のポート」として予約されています。この範囲の番号は、

通常 IANA (www.iana.org/assignments/protocol-numbers) の定義に従ってプロトコルに割

り当てられています。大半のオペレーティング システムは、これらのポートで待機する特別

な権限を持つプロセスを必要とします。

ファイアウォール ルールは、ネットワーク上で発生するアクティビティを制限するため、特

定のポートをブロックし、他のポートを許可するように構成されています。

UDP

UDP は、コネクションレスのトランスポート プロトコルです。信頼性やパケットの順序は保

証されません。フロー制御機能もありません。特定のクラスのトラフィックには最適なプロ

トコルです。

UDP は、パフォーマンス重視のアプリケーションやリアルタイムのマルチメディア アプリ

ケーションでよく利用されています。前者のアプリケーションでは、信頼性とパケット順の

機能をアプリケーション層の TCP で実装している場合があります。後者のアプリケーション

では、パケットがドロップしてもデータ ストリームで瞬間的に問題が起きるだけで、スト

リームを停止して再転送を待つほどの問題ではありません。UDP は、IP 電話やビデオ会議シ

ステム、マルチプレーヤのビデオ ゲームなどでよく利用されています。

UDP は、TCP と同じ方法で多重化を行います。各データグラムには送信元と送信先のポート

番号が記述されています (番号は 0 から 65535 まで)。

ICMP

ICMP は、IP ホスト間の帯域外通信チャネルとして使用されています。これは、トラブル

シューティングに有効です。エラー報告など、IP ネットワークが正常に機能している必要が

あります。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)58

IPv4 と IPv6 用の ICMP プロトコルがありますが、関係はありません。ICMPv4 は単に ICMP

と言われます。

ICMPv6 は、IPv6 ネットワークでは重要です。近隣探索などの重要なタスクで使用されてい

ます (IPv4 ネットワークでは ARP が処理しています)。ネットワークで IPv6 がサポートさ

れている場合、ICMPv6 トラフィックをブロックすると、ユーザの操作に大きな支障をきたす

ことになります。

ICMP の両方のバージョンでは、ポート番号ではなくメッセージ タイプを定義しています。

Echo Request と Echo Reply は ping で使用されています。Destination Unreachable メッ

セージはルーティング障害を表します。UDP と TCP も同じ目的で使用できますが、ICMP は

Traceroute 機能を実装しています。

他のトランスポート プロトコル

IP は、他の多くのトランスポート プロトコルをサポートしていますが、これらのプロトコ

ルの大半はほとんど使用されていません。IANA のプロトコル リストでは十分に網羅されて

いません。ルールは、どの IP トラフィック プロトコル経由でも送受信されるトラフィック

を許可またはブロックできます。ファイアウォールでは、これらのプロトコルが採用してい

る多重化に対応していません。

一部のプロトコルは、IP ネットワークの上にネットワークを構築しています (ネットワーク

トンネル)。GRE、AH、ESP などは、IP 暗号化と VPN に使用されています。

IP プロトコルの番号については、www.iana.org/assignments/protocol-numbers を参照して

ください。

サポートされていない一般的なプロトコル

Host IPS ファイアウォールは、いくつかのネットワーク プロトコルをサポートしていませ

ん。このようなプロトコルのトラフィック (通常は解析不能な EtherType) は、ファイア

ウォール オプション ポリシーの [サポートされていないトラフィックのプロトコルを許可

する] オプションが選択されているかどうかによって、常にブロックまたは許可されます。

ファイアウォール ルール グループの機能ファイアウォール ルールをグループ化すると、管理が容易になります。ルール グループは、

グループ内のルールを Host Intrusion Prevention が処理する方法には影響せず、上位から

下位に向けて処理されます。

グループは、ルールに関連する項目の多く (ネットワーク オプション、トランスポート オ

プション、アプリケーション、スケジュールなど) に対応しています。さらに、グループに

は場所の設定があります。これにより、場所別にグループを設定し、接続の隔離を行うこと

ができます。グループの設定は、グループ内のルールの設定よりも前に処理されます。これ

らの設定に矛盾がある場合、グループの設定が優先します。

注意: [場所] タブで接続の隔離が有効になっていると、グループにトランスポート オプ

ションとアプリケーションを関連付けられません。

場所別グループの作成

Host Intrusion Prevention では、場所別のルールを含むグループを作成できます。グルー

プの [場所] タブと [ネットワーク オプション] タブを使用すると、ネットワーク アダプ

タ別のグループを作成し、複数のネットワーク インターフェースを搭載したコンピュータで

アダプタ固有のルールを適用できます。場所のステータスを有効にし、場所の名前を指定す

ると、各ネットワーク アダプタで以下の許可された接続パラメータを使用できます。

[場所] タブ:

• 接続別の DNS サフィックス

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

59McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• ゲートウェイ IP

• DHCP IP

• URL 解決を照会する DNS サーバ

• 使用する WINS サーバ

• レジストリ キー

[ネットワーク オプション] タブ:

• ローカル IP アドレス

• メディアの種類

2 つの場所別グループが 1 つの接続に適用される場合、Host Intrusion Prevention では通

常の優先順位を使用し、ルール リストで適用可能な最初のグループを処理します。最初のグ

ループに一致するルールがない場合、ルール処理を続行し、次のグループのルールと照合し

ます。

Host Intrusion Prevention は、アクティブな接続に対して場所別グループのパラメータを

照合し、グループ内のルールを適用します。ルールを小さなルール セットのように処理し

て、通常の優先順位を当てはめます。阻止したトラフィックと一致しないルールがある場合、

ファイアウォールは無視します。

次の事項に注意します。

• [場所のステータス] を選択した場合には、場所の名前が必要になります。

• [ローカル ネットワーク] を選択した場合には、アダプタの IP アドレスがリスト項目の

いずれかと一致している必要があります。

• [DNS サフィックス] を選択した場合、アダプタの DNS サフィックスがリスト項目のいず

れかと一致している必要があります。

• [デフォルト ゲートウェイ] を選択した場合には、デフォルト アダプタのゲートウェイ

IP がリスト項目の少なくとも 1 つと一致している必要があります。

• [DHCP サーバ] を選択した場合、アダプタの DHCP サーバ IP がリスト項目の少なくとも

1 つと一致している必要があります。

• [DNS サーバのリスト] を選択している場合、アダプタの DNS サーバの IP アドレスがリ

スト項目のいずれかと一致している必要があります。

• [プライマリ WINS サーバ] を選択している場合、アダプタのプライマリ WINS サーバの

IP アドレスがリスト項目の少なくとも 1 つと一致している必要があります。

• [セカンダリ WINS サーバ] を選択している場合、アダプタのセカンダリ WINS サーバの

IP アドレスがリスト項目の少なくとも 1 つと一致している必要があります。

ファイアウォール ルール グループの接続隔離接続の隔離オプションを使用すると、グループが特定のネットワークにアクセスしたときに

不要なトラフィックの受信を防ぐことができます。これは、コンピュータでアクティブなも

う一つのネットワーク インターフェースを介して実行します。たとえば、WiFi ホットスポッ

トに接続する無線アダプタや、LAN 接続の有線アダプタを使用します。

グループの場所設定に対して [この接続を隔離する] オプションが選択され、グループの条

件に一致する NIC がアクティブになっている場合、処理される種類またはトラフィックは、

ファイアウォール ルール リストでグループより上のルールに一致するトラフィックとグルー

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)60

プの条件に一致するトラフィックのみです。それ以外のすべてのトラフィックは、ブロック

されます。

注意: 接続の隔離が有効になっているグループに、トランスポート オプションまたはアプリケーションは関連付けられません。

図 2: ネットワーク接続の隔離

接続隔離オプションの例として、企業環境とホテルの 2 つの設定を考えてみましょう。アク

ティブなファイアウォール ルール リストには、ルールおよびグループが次の順序で含まれ

ています。

1 基本接続用ルール

2 VPN 接続ルール

3 企業 LAN 接続ルールが設定されたグループ

4 VPN 接続ルールが設定されたグループ

企業ネットワークでの接続の隔離

接続ルールは、企業 LAN 接続ルールが設定されたグループが検出されるまで処理されます。

このグループには次の設定が含まれています。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

61McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• メディアの種類 = 有線

• 接続別 DNS サフィックス = mycompany.com

• デフォルト ゲートウェイ アドレス

• この接続を隔離する = はい

コンピュータには LAN と無線 LAN ネットワークの両方のアダプタがあり、有線接続を使用

して企業ネットワークに接続します。無線 LAN インターフェースはオフィスの外にあるホッ

トスポットに接続します。基本アクセス用のルールがファイアウォール ルール リストの最

上位にあるため、コンピュータは両方のネットワークに接続します。有線 LAN 接続がアク

ティブであり、企業 LAN のグループの条件を満たしています。ファイアウォールは LAN を

通じてトラフィックを処理しますが、接続の隔離が有効であるため、LAN を通過しないその

他すべてのトラフィックはブロックされます。

ホテルでの接続の隔離

接続ルールは、VPN 接続ルールが設定されたグループが検出されるまで処理されます。この

グループには次の設定が含まれています。

• 接続の種類 = 仮想

• DNS サフィックス = vpn.mycompany.com

• IP アドレス = VPN コンセントレータに固有な範囲のアドレス

• この接続を隔離する = はい

一般的な接続ルールでは、ホテルで有効期限のあるアカウントを設定して、インターネット

アクセスが可能になります。VPN 接続ルールでは、接続および VPN トンネルの使用が許可さ

れます。トンネルが確立された後、VPN クライアントは VPN グループの条件に一致する仮想

アダプタを作成します。ファイアウォールが許可したトラフィックだけが、VPN トンネル内

部に入り、基本トラフィックは実際のアダプタ上を通過します。ネットワーク上でホテルの

他の客がコンピュータにアクセスしようとすると、有線無線に関係なくブロックされます。

Host IPS カタログの機能Host IPS カタログを使用すると、既存のルール、グループ、ネットワーク アドレス、実行

ファイル、グループの場所データを参照しながら、ファイアウォール ルールとグループを簡

単に作成できます。また、IPS 保護に関連するアプリケーションの実行ファイルも参照でき

ます。

カタログ項目を参照するときに、項目とファイアウォール ルールまたはグループ間に依存関

係を作成します。カタログ内の項目を変更すると、使用される場所も変更されます。カタロ

グ項目とルールまたはグループのリンクを解除して、依存関係を削除することもできます。

Host IPS カタログは、ePolicy Orchestrator の [システム] の下に表示されます。このカ

タログは 6 ページから構成され、すでに配置されているファイアウォール ルールとファイ

アウォール グループの項目が表示されます。項目はカタログ内に個別に作成できます。新し

いファイアウォールとルール グループに作成された項目と関連付けることも、ファイアウォー

ル ルール ポリシーからエクスポートした XML ファイルをインポートすることもできます。

カタログ ページには次の情報が表示されます。

• グループ － ファイアウォール グループとプロパティが表示されます。

• ルール － ファイアウォール ルールとプロパティが表示されます。

• アプリケーション － ファイアウォール グループまたはルールで参照可能なアプリケー

ションが表示されます。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)62

• 実行ファイル － ファイアウォール グループまたはルールで参照可能なアプリケーショ

ンの実行ファイルが表示されます。IPS 関連アプリケーションの実行ファイルも表示され

ます。

• ネットワーク － ファイアウォール グループまたはルールで参照可能な IP アドレスが

表示されます。

• 場所 － ファイアウォール グループの場所固有の情報が表示されます。

表 6: Host IPS カタログからの項目の作成

依存関係カタログ項目ポリシー項目ポリシー機能

ありルールファイアウォール ルールファイアウォール

ルール

ファイア

ウォール

ありグループファイアウォール グループファイアウォール

ルール

ファイア

ウォール

あり場所ファイアウォール グループの

場所

ファイアウォール

ルール

ファイア

ウォール

ありネットワークファイアウォール ルール/グ

ループ

ファイアウォール

ルール

ファイア

ウォール

ありアプリケーションファイアウォール ルール/グ

ループ

ファイアウォール

ルール

ファイア

ウォール

あり実行ファイルファイアウォール ルール/グ

ループ アプリケーション

ファイアウォール

ルール

ファイア

ウォール

なし実行ファイルアプリケーション保護ルールIPS ルールIPS

なし実行ファイル信頼できるアプリケーション信頼できるアプリ

ケーション

全般

カタログ フィルタ

各カタログ ページには、ページに表示されたリスト内の項目を検索するフィルタがありま

す。フィルタを表示または隠すには、[フィルタ オプションを表示] または [フィルタ オプ

ションを隠す] をクリックします。条件を有効にしてフィルタリングを行うには、[フィルタ

の設定] をクリックします。フィルタをリセットするには、[クリア] をクリックします。

カタログからのコピー

ファイアウォール ルール ビルダまたはファイアウォール グループ ビルダを使用するとき

に、[カタログから追加] ボタンをクリックすると、カタログから必要な項目を追加できま

す。この操作を行うと、項目間で依存関係が生成されます。この関係は必要に応じて解除で

きます。

カタログに追加

カタログに追加するには、以下のいずれかの操作を行います。

• カタログ ページで [新規] をクリックして情報を入力し、項目を保存します。

• ファイアウォール ルール ビルダまたはファイアウォール グループ ビルダでルールまた

はグループを作成あるいは編集している場合には、項目の横にある [カタログに追加] を

クリックします。

• エクスポートされた XML 形式の Host iPS カタログ データを使用するには、[インポー

ト] をクリックします。

注意: XML 形式でエクスポートされたポリシー カタログは、XML 形式の Host IPS カタ

ログと互換性はありません。ファイアウォール ルール ポリシーをカタログ ポリシーか

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

63McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

らエクスポートし、そのデータを Host IPS カタログにはインポートできません。ファイ

アウォール ポリシー データを Host IPS カタログで使用するには、[カタログに追加]

リンクを使用します。

ファイアウォールでのステートフルなパケット フィルタリングと検査Host Intrusion Prevention のファイアウォールは、ステートフル パケット フィルタとス

テートフル パケット検査の両方を備えています。

ステートフル パケット フィルタは、OSI ネットワーク スタックのトランスポート層 (第 4

層) 以下の層で TCP/UDP/ICMP プロトコル情報をステートフルに追跡します。各パケットが

確認され、検査されたパケットが既存のファイアウォール許可ルールと一致した場合、その

パケットは許可され、状態テーブルにエントリが作成されます。状態テーブルは、以前に静

的なルール セットと一致した接続を動的に追跡し、TCP/UDP/ICMP プロトコルの現在の接続

状態を反映します。検査されたパケットが状態テーブルの既存のエントリと一致した場合、

そのパケットはそれ以上の検査を行うことなく許可されます。接続が閉じるかタイムアウト

になると、状態テーブルからそのエントリが削除されます。

ステートフル パケット検査とは、ネットワーク スタックのアプリケーション層 (第 7 層)

でコマンドにステートフル パケット フィルタを適用して追跡する処理です。この組み合わ

せにより、コンピュータの接続状態を強力に定義します。アプリケーション レベルのコマン

ドにアクセスすることにより、エラーのない検査を行い、FTP プロトコルを保護できます。

ファイアウォール状態テーブルステートフルなファイアウォール機能には、許可ルールによって作成されたアクティブな接

続に関する情報を動的に保存する状態テーブルがあります。

このテーブル内の各エントリでは、次の情報に基づいて接続を定義します。

• プロトコル － サービスが別のサービスと通信するための定義済みの方式で、TCP、UDP、

ICMP プロトコルなどがあります。

• ローカルおよびリモート コンピュータの IP アドレス － 各コンピュータには一意の IP

アドレスが割り当てられています。IPv4 の現在の IP アドレスの標準では 32 ビット長

までのアドレスを使用できるのに対し、IPv6 の新しい標準では 128 ビット長までのアド

レスを使用できます。IPv6 は、Windows Vista や Linux のディストリビューションな

ど、一部のオペレーティング システムですでにサポートされています。Host Intrusion

Prevention は両方の標準に対応しています。

• ローカルおよびリモート コンピュータのポート番号 － コンピュータは指定された番号

のポートを使用してサービスの送受信を行います。たとえば、通常 HTTP サービスはポー

ト 80、FTP サービスはポート 21 を使用します。ポート番号の範囲は 0 ～ 65535 です。

• プロセス ID (PID) － 接続のトラフィックに関連付けられたプロセスの一意の識別子。

• タイムスタンプ － 接続に関連付けられたパケットを最後に送受信した時刻。

• タイムアウト － ファイアウォール オプション ポリシーで設定された制限時間 (秒)。

この時間を過ぎても接続と一致するパケットを受信しなかった場合、そのエントリはテー

ブルから削除されます。TCP 接続のタイムアウトは、接続が確立されていない場合のみ適

用されます。

• 方向 － エントリを呼び出したトラフィックの方向 (受信または送信)。接続の確立後、

エントリが状態テーブル内の接続パラメータと一致すると、単方向のルールであっても双

方向トラフィックが許可されます。

状態テーブルについては、次の点に注意してください。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)64

• ファイアウォール ルール セットが変更されると、新しいルール セットによってすべて

のアクティブな接続がチェックされます。一致するルールがない場合、接続エントリが状

態テーブルから破棄されます。

• アダプタが新しい IP アドレスを取得すると、ファイアウォールは新しい IP 設定を認識

し、状態テーブル内の無効なローカル IP アドレスのエントリをすべて破棄します。

• プロセスが終了すると、そのプロセスに関連付けられた状態テーブル内のすべてのエント

リが削除されます。

ステートフル フィルタの機能ステートフル フィルタでは、設定可能なファイアウォール ルール セットと動的なファイア

ウォール ルール セットまたは状態テーブルの、2 つのルール セットを使用してパケットを

処理します。

設定可能なルールには次の 2 つのアクションが関連付けられます。

• 許可 - パケットが許可され、状態テーブルにエントリが作成されます。

• ブロック - パケットがブロックされ、状態テーブルにエントリが作成されません。

状態テーブル エントリはネットワーク処理に応じて作成され、ネットワーク スタックの状

態が反映されます。状態テーブル内の各ルールには 1 つのアクション (許可) しかないの

で、状態テーブル内のルールと一致するパケットはすべて自動的に許可されます。

フィルタ プロセスには以下の手順が含まれます。

1 ファイアウォールが、状態テーブル内のエントリと受信パケットを比較します。パケッ

トがテーブル内のエントリのいずれかと一致した場合、パケットはただちに許可されま

す。一致しない場合、設定可能なファイアウォール ルール リストが確認されます。

注意: プロトコル、ローカル アドレス、ローカル ポート、リモート アドレスおよびリ

モート ポートが一致する場合、パケットが状態テーブル エントリと一致すると見なさ

れます。

2 パケットが許可ルールと一致する場合、そのパケットは許可され、状態テーブルにエン

トリが作成されます。

3 パケットがブロック ルールと一致する場合、そのパケットはブロックされます。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

65McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

4 パケットが設定可能なルールのいずれとも一致しない場合、そのパケットはブロックさ

れます。

図 3: ステートフル フィルタ プロセス

ステートフル パケット検査の機能ステートフル パケット検査では、ステートフル フィルタをアプリケーション レベルのコマ

ンドへのアクセスと組み合わせ、FTP などのプロトコルを保護します。

FTP では、コマンド用の制御と情報用のデータの 2 つの接続を使用します。クライアントが

FTP サーバに接続すると制御チャネルが確立され、FTP の送信先ポート 21 に到達すると、

状態テーブルにエントリが作成されます。[ファイアウォール オプション] ポリシーで FTP

検査のオプションが設定されている場合、ファイアウォールがポート 21 で開いている接続

を検出すると、FTP 制御チャネルを介して受信したパケットでステートフル パケット検査が

実行されます。

制御チャネルが開いている場合、クライアントは FTP サーバと通信しています。ファイア

ウォールはパケットの PORT コマンドを解析し、状態テーブル内に 2 番目のエントリを作成

してデータ接続を許可します。

FTP サーバがアクティブ モードの場合はサーバがデータ接続を開き、パッシブ モードの場

合はクライアントが接続を開始します。FTP サーバが最初のデータ転送コマンド (LIST) を

受信すると、クライアントに対するデータ接続を開いてデータを転送します。転送が完了す

ると、データ チャネルが閉じます。

制御接続と 1 つ以上のデータ接続の組み合わせをセッションと呼びます。FTP の動的なルー

ルをセッション ルールと呼ぶ場合もあります。制御チャネル エントリが状態テーブルから

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)66

削除されるまで、セッションは確立されたままです。セッションの制御チャネルが削除され

た場合、テーブルの定期的なクリーンアップ時にデータ接続もすべて削除されます。

ステートフルなプロトコル追跡

ここでは、ステートフル ファイアウォールが監視するプロトコル接続の種類と処理方法につ

いて説明します。

処理方法プロトコル

静的なルールと一致することが検出され、ルールのアクションが許可の場合、UDP 接続が状態テー

ブルに追加されます。ファイアウォールでは認識されないアプリケーション レベルのプロトコル

UDP

を転送する汎用 UDP 接続は、接続のアイドル時間が指定されたタイムアウト時間を超えない限り

状態テーブルに残ります。

メッセージの種類が ICMP Echo Request と ICMP Echo Reply の場合のみ追跡されます。

注意: 信頼性が高く接続指向の TCP プロトコルとは対照的に、UDP と ICMPv4/v6 は信頼性の低

い非接続指向のプロトコルです。これらのプロトコルを保護するため、ファイアウォールでは汎

ICMPv4/v6

用 UDP および ICMP 接続を仮想接続と見なし、接続のアイドル時間がその接続で指定されたタイ

ムアウト時間を超えない限り保持します。仮想接続のタイムアウトは、[ファイアウォール オプ

ション] ポリシーで設定されます。

IPv6 を使用する場合、ステートフル ファイアウォールは Windows Vista 以降のプラットフォー

ムでのみサポートされます。

TCP プロトコルは 3 方向ハンドシェイクで動作します。クライアント コンピュータが新しい接

続を開始すると、新しい接続であることを示す SYN ビットが設定されたパケットを送信先に送信

TCP

します。送信先は、SYN-ACK ビットが設定されたパケットをクライアントに送信することによっ

て応答します。次に、クライアントが ACK ビットが設定されたパケットを送信することによって

応答し、ステートフル接続が確立されます。送信パケットはすべて許可されますが、受信パケッ

トは確立された接続に含まれるもののみ許可されます。ただし、ファイアウォールが最初に TCP

プロトコルを照会し、静的なルールと一致する既存のすべての接続を追加する場合は例外です。

静的なルールと一致しない既存の接続はブロックされます。[ファイアウォール オプション] ポ

リシーで設定された TCP 接続のタイムアウトは、接続が確立されていない場合のみ適用されま

す。TCP 接続の 2 番目のタイムアウトまたは強制タイムアウトは、確立された TCP 接続にのみ

適用されます。このタイムアウトはレジストリ設定で制御され、デフォルト値は 1 時間です。4

分ごとにファイアウォールが TCP スタックを照会し、TCP によって報告されない接続は破棄され

ます。

照会元のローカル ポートに対してのみ DNS 応答を許可し、UDP 仮想接続タイムアウト時間内に

照会されたリモート IP アドレスからのみ DNS 応答を送信するように、照会と応答を照合しま

す。以下の場合に受信 DNS 応答が許可されます。

DNS

• 状態テーブルの接続が期限切れでない場合

• 応答が同じリモート IP アドレスおよび要求送信元のポートから送信された場合

正当な照会についてのみパケットが返されるように、照会と応答を照合します。これにより、次

の場合に 受信 DHCP 応答が許可されます。

DHCP

• 状態テーブルの接続が期限切れでない場合

• 応答トランザクション ID が要求のいずれかと一致する場合

FTP • ファイアウォールは、ポート 21 で開かれた TCP 接続でステートフル パケット検査を実行

します。検査は、このポートで開かれた制御チャネルの最初の接続でのみ行われます。

• FTP 検査は、新しい情報を転送するパケットでのみ実行されます。再転送されたパケットは

無視されます。

• 方向 (クライアント/サーバ) とモード (アクティブ/パッシブ) に応じて動的なルールが作

成されます。

• クライアント FTP アクティブ モード:受信ポート コマンドの解析後、ポート コマンド

が RFC 959 に準拠している場合、ファイアウォールは動的な受信ルールを作成します。

サーバがデータ接続を開始するか、ルールが期限切れになると、このルールは削除されま

す。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

67McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

処理方法プロトコル

• サーバ FTP アクティブ モード:受信ポート コマンドの解析後、ファイアウォールは動的

な送信ルールを作成します。

• クライアント FTP パッシブ モード:FTP クライアントからの PASV コマンドを以前に確

認しており、その PASV コマンドが RFC 959 に準拠している場合、FTP サーバによって

送信された PASV コマンド応答を読み込むと、ファイアウォールは動的な送信ルールを作

成します。クライアントがデータ接続を開始するか、ルールが期限切れになると、この

ルールは削除されます。

• サーバ FTP パッシブ モード:ファイアウォールは動的な受信ルールを作成します。

学習モードと適応モードがファイアウォールに与える影響ファイアウォールを有効にすると、Host Intrusion Prevention は継続的にコンピュータが

送受信するネットワーク トラフィックを監視します。ファイアウォール ルールのポリシー

に基づいて、トラフィックを許可またはブロックします。トラフィックが既存のルールと一

致しない場合、ファイアウォールが学習モードまたは適応モードで動作していなければ、自

動的にブロックされます。

学習モードでは、Host Intrusion Prevention が不明なネットワーク トラフィックを傍受す

ると、学習モード アラートが表示されます。アラートは、既存のルールと一致しないトラ

フィックを許可またはブロックするように促すメッセージを表示し、一致しないトラフィッ

クには、自動的に該当する動的ルールを作成します。学習モードは、受信のみ、送信のみ、

または両方に対して有効にできます。

適応モードでは、Host Intrusion Prevention は自動的に許可ルールを作成して、既存のブ

ロック ルールに一致しないすべてのトラフィックを許可し、一致しないトラフィックに対し

て自動的に動的許可ルールを作成します。ファイアウォールで適用モードを使用する方法に

ついては、「保護の管理」の「FAQ － 適応モード」を参照してください。

セキュリティ上の理由で、学習モードまたは適応モードが適用されている場合、受信する

ICMP トラフィックに対して明示的に許可ルールを作成している場合を除き、受信する ping

はブロックされます。また、ホスト上で開いていないポートへの受信トラフィックは、トラ

フィックに対して明示的に許可ルールを作成している場合を除き、ブロックされます。たと

えば、ホストが telnet サービスを開始する前は、ポート 23 (telnet) への受信 TCP トラ

フィックは、このトラフィックをブロックする明示的なルールが存在しなくてもブロックさ

れます。明示的な許可ルールは、希望する任意のトラフィックに作成できます。

Host Intrusion Prevention は、学習モードまたは適応モードにより、クライアントで作成

したすべてのルールを表示し、これらのルールを保存して、管理ルールに移行できるように

します。

ステートフル フィルタ機能

ステートフル ファイアウォールで適応モードまたは学習モードが適用されている場合、フィ

ルタ処理は受信パケットを処理する新しいルールを作成します。これは、フィルタリング プ

ロセスです。

1 ファイアウォールが受信パケットを状態テーブル内のエントリと比較し、一致が検出さ

れない場合、静的ルール リストを調べます。ここでも一致が検出されない場合、次に進

みます。

2 状態テーブルにエントリは作成されませんが、TCP パケットの場合、保留リストに入れ

られます。それ以外の場合、パケットは破棄されます。

3 新しいルールが許可された場合、単方向の静的許可ルールが作成されます。TCP パケッ

トの場合は、状態テーブルにエントリが作成されます。

4 新しいルールが許可されない場合、そのパケットは破棄されます。

ファイアウォール ポリシーの設定ファイアウォール ポリシーの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)68

ファイアウォール クライアント ルール適応モードあるいは学習モードにあるクライアントによってファイアウォール クライアント

ルールを作成し、ブロックされた動作を許可することができます。さらに、クライアント コ

ンピュータでルールを手動で作成することもできます。クライアント ルールを追跡して、

フィルタされたビューまたは集約ビューに表示できます。これらのクライアント ルールを使

用して新しいポリシーを作成するか、または既存ポリシーに追加します。

ルールのフィルタと集約

フィルタを適用すると、フィルタ条件で定義されたすべての変数を満たすルールのリストが

生成されます。生成されるリストは、すべての条件を含むルールのリストです。ルールを集

約すると、[集約する列を選択する] タブで選択した各変数に関連する値ごとにグループ化さ

れた、ルールのリストが生成されます。生成されるリストは、選択した変数に関連する値ご

とにグループ化され、並べ替えられたルールのリストです。

ファイアウォール保護の有効化ファイアウォール オプション ポリシーでは、ファイアウォール保護を有効にし、

TrustedSource™とステートフル ファイアウォールの設定を行うことができます。

全般設定

使用できる全般オプションは次のとおりです。

• 有効:ファイアウォールを選択してアクティブにしてから、保護の種類を選択します。

• 通常 (デフォルト) － 配備を調整しない場合に選択します。

• 適応モード － ルールを自動的に作成してトラフィックを許可します。配備を調整する

場合に一時的に使用してください。

• 学習モード － ユーザの入力後にルールを作成し、トラフィックを許可します。受信、

送信あるいは両方向のトラフィックを許可できます。配備を調整する場合に一時的に使

用してください。

• サポートされていないトラフィックのプロトコルを許可する － サポートされていないプ

ロトコルを使用するトラフィックをすべて許可します。このオプションを無効にすると、

サポートされていないプロトコルを使用するトラフィックはすべてブロックされます。

• ブリッジド トラフィックを許可 － ローカルの MAC アドレスがローカル システムの MAC

アドレスに一致していない場合でも、ファイアウォールがサポートする VM の MAC アド

レスであればトラフィックを許可します。このオプションは、仮想マシンのブリッジド環

境のトラフィックを許可する場合に使用します。

• このポリシーを施行するときに既存のクライアント ルールを保持する － このポリシー

を施行したときに、クライアントで作成された例外ルールを保持します。適応モードで自

動的に作成されたルール、学習モードでユーザが作成したルール、クライアントで手動で

作成したルールを保持します。

保護設定

次の設定は、ファイアウォール固有の保護を有効にします。

• Host IPS サービスが開始するまで送信トラフィックだけを許可する － クライアントで

Host IPS ファイアウォールが開始するまで、送信トラフィックは許可しますが、受信ト

ラフィックはブロックします。

ファイアウォール ポリシーの設定ファイアウォール保護の有効化

69McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• IP スプーフィング対策を有効にする － ローカル ホストの IP アドレス以外から送信さ

れたネットワーク トラフィックをブロックします。IP アドレスの偽装を試みるローカル

プロセスからのトラフィックもブロックします。

• TrustedSource 違反検出時にイベントを ePO に送信する － 受信または送信トラフィッ

クに対する TrustedSource ブロックしきい値に達したときに ePO サーバにイベントを送

信します。

• TrustedSource 受信ブロックのしきい値 － ネットワーク接続で受信トラフィックをブ

ロックする TrustedSource 評価をリストから選択します。オプションは、[危険度高]、

[危険度中]、[未検証]、[ブロックしない] です。

• TrustedSource 送信ブロックのしきい値 － ネットワーク接続で送信トラフィックをブ

ロックする TrustedSource 評価をリストから選択します。オプションは、[危険度高]、

[危険度中]、[未検証]、[ブロックしない] です。

ステートフル ファイアウォールの設定

ステートフル ファイアウォールの設定は次のとおりです。

• FTP プロトコルの検査 － FTP 接続の追跡を許可するステートフル ファイアウォールの

設定。送信 FTP クライアント トラフィックに 1 つのファイアウォール ルールが、受信

FTP サーバ トラフィックには 1 つのファイアウォール ルールが必要です。このオプショ

ンを選択しないと、受信 FTP クライアント トラフィックと送信 FTP サーバ トラフィッ

クに追加のルールが必要になります。これは常に選択してください。

• TCP 接続のタイムアウト － 接続と一致するパケットが送受信されない場合に、確立され

ていない TCP 接続のアクティブ状態を維持する時間 (秒)。

• UDP と ICMP のエコー仮想接続のタイムアウト － 接続と一致するパケットが送受信され

ない場合に、確立されていない UDP または ICMP 接続のアクティブ状態を維持する時間

(秒)。仮想接続と一致するパケットが送受信されるごとに、この設定値にリセットされま

す。

ポリシーの選択

このポリシー カテゴリには、設定済みポリシーと、McAfee デフォルト ポリシーに従って編

集可能な個人用のデフォルト ポリシーが含まれています。設定済みポリシーは表示して複製

できます。カスタム ポリシーは、編集、名前変更、複製、削除およびエクスポートすること

ができます。

設定済みのポリシーには次の項目が設定されています。

McAfee デフォルト

ファイアウォール保護は無効です。ファイアウォールが有効になると、このオプションが選

択され、適用されます。

• ブリッジド トラフィックを許可

• クライアント ルールを保持する

• IP スプーフィング対策を有効にする

• FTP プロトコル検査を実行

ファイアウォール オプションのポリシーの設定このポリシーでは、ファイアウォール保護の有効/無効を設定できます。また、適応モードま

たは学習モードを適用できます。

ファイアウォール ポリシーの設定ファイアウォール保護の有効化

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)70

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: ファイアウォール] を選択し、[カテゴリ] リストで [ファイアウォール

オプション] を選択します。ポリシーのリストが表示されます。

2 [ファイアウォール オプション] ポリシー リストで、[アクション] の下の [編集] を

クリックして、カスタム ポリシーの設定を変更します。

注意: 編集可能なポリシーでは、名前の変更、複製、削除、エクスポートが実行できま

す。編集不能なポリシーでは、表示または複製が実行できます。

3 表示された [ファイアウォール オプション] ページで、必要に応じてデフォルトの設定

を変更し、[保存] をクリックします。

FAQ － McAfee TrustedSource とファイアウォールファイアウォール オプションの 2 つのオプションを使用すると、McAfee TrustedSource™

が危険度高と評価した受信または送信トラフィックがブロックされます。この FAQ では、

TrustedSource の処理とファイアウォールへの影響について説明します。

TrustedSource とは何ですか?

TrustedSource は、インターネット上での正当な動作と不正な動作を判断するグローバルな

インターネット評価情報システムです。電子メール、Web アクティビティ、マルウェア、シ

ステム間の関係に関する動作と送信のパターンを世界各地から収集し、リアルタイムに解析

します。TrustedSource は、分析結果を使用して評価スコアを動的に算出しています。この

スコアにより、Web ページの閲覧によりネットワークが晒される危険度が分かります。IP ア

ドレス、ドメイン、特定のメッセージ、URL、画像などの評価スコアはデータベースに格納さ

れています。

どのように動作しますか?

TrustedSource オプションを選択すると、「TrustedSource － Host IPS サービスを許可」

と「TrustedSource － 評価を取得」の 2 つのファイアウォール ルールが作成されます。最

初のルールで TrustedSource への接続が許可されます。2 つ目のルールでは、接続の評価結

果とブロックしきい値に従ってトラフィックを許可またはブロックします。

「評価」とはどういう意味ですか?

TrustedSource は、送信またはホスティング動作、TrustedSource が自動的に収集する環境

データに基づき、インターネット上の IP アドレスに対する評価値を算出します。また、イ

ンターネットの脅威状況に関して顧客やパートナーから収集した情報を集計し、関連付けま

す。評価は次の 4 つのクラスで表されます。

• 最小リスク (ブロックなし) － 分析の結果、コンテンツやトラフィックの正規の送信元

または送信先であることが確認されています。

• 未検証 － コンテンツやトラフィックの正規の送信元または送信先の可能性もあります

が、詳しい調査が必要なプロパティがあります。

• 危険度中 － 送信元または送信先の動作に不審な傾向が見られます。この通信のトラフィッ

クとコンテンツは詳しい分析が必要です。

• 危険度高 － 送信元または送信先が不正なコンテンツを保持しているか、不正なトラフィッ

クを送信しています。この送信元または送信先は非常に危険です。

ファイアウォール ポリシーの設定ファイアウォール保護の有効化

71McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

遅延は発生しますか。その場合、どのくらいですか?

TrustedSource が評価情報を検索するときに、遅延時間が発生します。McAfee では、この時

間を最小限に抑えるため、様々な工夫を行っています。

まず、評価の確認は、オプションが選択されている場合にのみ実行されます。2 つ目として、

情報キャッシュ アーキテクチャを採用しています。ネットワークの通常の使用パターンで

は、評価クエリを送信せず、大半の接続でキャッシュを参照しています。

ファイアウォールが TrustedSource サービスに接続できない場合、トラフィックは停止しま

すか?

ファイアウォールが TrustedSource サーバに接続できない場合、デフォルトの評価で使用可

能なすべての接続を自動的に割り当てます。ルールの分析は後で行います。

ファイアウォール保護の定義ファイアウォール ルールは、システムの動作を決定し、ネットワーク トラフィックを傍受

したときに、トラフィックを許可またはブロックします。適切な設定の [ファイアウォール

ルール] ポリシーと [ファイアウォール DNS ブロック] ポリシーを適用して、ファイアウォー

ル ルールを作成および管理します。

ファイアウォール ルール ポリシーの選択

ファイアウォール ルール ポリシー カテゴリには、2 つの設定済みポリシーと、McAfee デ

フォルト ポリシーに従って編集可能な個人用のデフォルト ポリシーが １つ含まれていま

す。設定済みポリシーは表示して複製できます。編集可能なカスタム ポリシーは、作成、編

集、名前変更、複製、削除およびエクスポートすることができます。

表 7: 設定済みのファイアウォール ルール ポリシー

使用方法ポリシー

デフォルトの最初保護に使用します。次の処理を行いま

す。

最小 (デフォルト)

• 攻撃者がコンピュータの情報収集に使用できる受信

ICMP トラフィックをブロックします。Host IPS は、

その他すべての ICMP トラフィックは許可します。

• 同じサブネットのコンピュータからの Windows ファ

イル共有要求を許可します。その他のコンピュータ

からのファイル共有要求はブロックします。信頼で

きるネットワーク ポリシーで [ローカル サブネッ

トを自動的に含める] が選択されている必要があり

ます。

• Windows ドメイン、ワークグループ、およびコン

ピュータの参照を許可します。

• 通信量の多い受信および送信 UDP トラフィックをす

べて許可します。

• BOOTP、DNS、および Net Time UDP ポートを使用す

るトラフィックを許可します。

このポリシーを元にして、適応モードで確認したルール

を組み合わせます。このポリシーを使用した場合、既存

標準的な企業環境

のデフォルト ファイアウォール ポリシーと比べると、

適応モードで適用されるクライアント ルールは少なくな

ります。

このポリシーにはすべての機能が含まれています。大

半の組織のファイアウォールの要件は満たしています。

ファイアウォール ポリシーの設定ファイアウォール保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)72

ファイアウォール DNS ブロック ポリシーの選択

ファイアウォール DNS ブロック ポリシー カテゴリには、1 つの設定済みポリシーと、McAfee

デフォルト ポリシーに従って編集可能な個人用のデフォルト ポリシーが 1 つ含まれていま

す。設定済みポリシーは表示して複製できます。編集可能なカスタム ポリシーは、作成、編

集、名前変更、複製、削除およびエクスポートすることができます。

ファイアウォール ルール ポリシーの設定このポリシーでは、ファイアウォール保護のルールを定義します。

ヒント: 最初からポリシーを作成しないでください。既存のポリシーを複製して、ポリシー

内のルールとグループを必要に応じて編集してください。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: ファイアウォール] を選択し、[カテゴリ] リストで [ファイアウォール

ルール] を選択します。ポリシーのリストが表示されます。

2 [ファイアウォール ルール] ポリシー リストで、[アクション] の下の [編集] をクリッ

クして、カスタム ポリシーの設定を変更します。

注意: 編集可能なカスタム ポリシーでは、名前の変更、複製、削除、エクスポートが実

行できます。編集不能なポリシーでは、表示または複製が実行できます。

3 次のいずれかを行います。

手順...操作...

[新しいルール] または [カタログからルールを追加]

クリックします。詳細については、「ファイアウォーファイアウォール ルールの追加

ル ルールの作成と編集」または「Host IPS カタログの使用」を参照してください。

[新しいグループ] または [カタログからグループを

追加] クリックします。詳細については、「ファイアファイアウォール グループの追加

ウォール ルール グループの作成と編集」または「HostIPS カタログの使用」を参照してください。

1 つのルールまたはグループへのアクションの実行 • ルールまたはグループを選択して、左ペインに項

目設定のサマリを表示します。

• ルールまたはグループを選択して、次の操作を行

います。

• 項目を編集するには [アクション] の [編集]

をクリックします。

• ファイアウォール カタログに項目を追加する

には、[アクション] の下にある [カタログに

追加] をクリックします。

• リスト内で項目を上に移動するには [上へ移

動] をクリックします。

• リスト内で項目を下に移動するには [下へ移

動] をクリックします。

• 項目のコピーを作成するには、[複製] をク

リックします。

• 項目を削除するには、[削除] をクリックしま

す。

ファイアウォール ポリシーの設定ファイアウォール保護の定義

73McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

4 ポリシー内のすべてのルールとグループの情報を XML ファイルにエクスポートするに

は、[エクスポート] をクリックします。このファイルは、ファイアウォール カタログ

または別のポリシーにインポートできます。

5 [保存] をクリックして変更を保存します。

ファイアウォール ルールの作成と編集特定の操作がデフォルトのリストに含まれていない場合には、ファイアウォール ルール ポ

リシーのルールを編集するか、ルール リストに新しいファイアウォール ルールを追加しま

す。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [ファイアウォール ルール] ポリシー ページで、新しいルールを作成するには [新しい

ルール] をクリックします。既存のルールを編集するには、[アクション] の下の [編集]

をクリックします。

2 [次へ] またはリンクをクリックして表示したタブで、必要な情報を入力します。

設定するオプション...タブ...

名前 (必須)、アクション、方向、ステータス説明

ネットワーク プロトコル、メディアの種類、ローカル ネットワーク、リモート

ネットワーク

ネットワーク

トランスポート プロトコルトランスポート

アプリケーションと実行ファイルアプリケーション

ステータスと時間の設定スケジュール

3 [サマリ] タブでルールの詳細を確認して、[保存] をクリックします。

ファイアウォール ルール グループの作成と編集同じ目的で使用する一連のルールを作成するには、ファイアウォール ルール ポリシーでファ

イアウォール ルール グループを作成または編集します。

たとえば、VPN 接続を許可する複数のルールでグループを作成します。グループはルール リ

ストに表示されます。グループの前に表示される矢印をクリックすると、グループ内のルー

ルを表示または隠すことができます。

タスク

1 [ファイアウォール ルール] ポリシー ページで、新しいグループを作成するには [新し

いグループ] をクリックします。既存のグループを編集するには、[アクション] の下の

[編集] をクリックします。

2 [次へ] またはリンクをクリックして表示したタブで、必要な情報を入力します。

設定するオプション...タブ...

名前 (必須)、方向、ステータス説明

場所別の設定 (接続の隔離など)場所

ファイアウォール ポリシーの設定ファイアウォール保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)74

設定するオプション...タブ...

ネットワーク プロトコル、メディアの種類 (有線、無線、仮想)、ローカル ネッ

トワーク、リモート ネットワーク

ネットワーク

トランスポート プロトコルトランスポート

アプリケーションと実行ファイルアプリケーション

ステータスと時間の設定 (期限付きグループの有効化など)スケジュール

3 [サマリ] タブでグループの詳細を確認して、[保存] をクリックします。

4 このグループに新しいルールを作成するか、ファイアウォール ルール リストまたは

Host IPS カタログから既存のルールをグループに移動します。

接続隔離グループの作成特定のパラメータでネットワークに接続している場合にのみ適用されるルールを設定するに

は、接続隔離ファイアウォール ルール グループを作成します。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [ファイアウォール ルール ポリシー] ページで、[新規グループ] または [カタログか

らグループを追加] をクリックします。

2 [宛先] タブで、分かりやすい名前を [名前] フィールドに入力します。

3 [場所] タブで、[場所のステータス] と [接続の隔離] の両方で [有効] を選択します。

場所の名前を入力して、DNS サフィックス、デフォルト ゲートウェイ、他の比較条件を

選択します。

4 [ネットワーク] タブの [メディアの種類] で、このグループのルールを適用する接続の

種類 ([有線]、[無線]、[仮想]) を選択します。

注意: 接続隔離グループでは、トランスポート オプションとアプリケーションは使用で

きません。

5 [サマリ] タブで [保存] をクリックします。

6 このグループに新しいルールを作成するか、ファイアウォール ルール リストまたは

Host IPS カタログから既存のルールをグループに移動します。

DNS トラフィックのブロックファイアウォール保護を設定するときに、IP アドレスの参照解決を許可しないように、Host

IPS がブロックするドメイン ネーム サーバのリストを作成できます。

注意: この機能では完全修飾ドメインのブロックに使用しないでください。FQDN のリモート

アドレスをブロックするには、ファイアウォール ルールを使用してください。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [ファイアウォール DNS ブロック] ポリシー ページで [新しいルール] をクリックし、

[アクション] の下の [編集] をクリックして、既存のルールを編集します。

ファイアウォール ポリシーの設定ファイアウォール保護の定義

75McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

2 [ブロックされたドメインの追加] をクリックします。

3 テキスト ボックスに、ブロックするドメイン ネーム サーバの名前を入力します。ワイ

ルドカード (* と ?) を使用します。たとえば、*domain.com と入力します。1 つの項

目に 1 つの名前を入力してください。

4 他のアドレスを追加するには、[追加] ボタンをクリックします。アドレスを削除するに

は、[削除] ボタンをクリックします。

5 [保存] をクリックして変更を保存します。

Host IPS カタログの使用Host IPS カタログを使用すると、ファイアウォールで使用する新しい項目を追加したり、既

存の項目を参照できます。この操作を実行すると、、既存のカタログ項目を検索して編集し

たり、新しいカタログ項目を作成して追加することができます。また、カタログ項目のイン

ポートとエクスポートも実行できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム]、[Host IPS カタログ] の順に移動します。

2 [項目の種類] でカタログ項目を選択します。選択できる項目は、[グループ]、[ルール]、

[アプリケーション]、[プロセス]、[ネットワーク]、[場所] です。

3 カタログ ページで次の操作を行います。

手順...操作...

フィルタ条件を入力して、[フィルタの設定] をクリッ

クします。デフォルトの表示に戻るには、[クリア]

をクリックします。

項目のフィルタリング

[オプション]、[列の選択] の順に選択して、列の選

択、削除、並べ替えを行い、[保存] をクリックしま

す。

項目の表示方法の変更

項目に対応するリンクをクリックします。項目を編集

するには、[編集] をクリックします。項目のコピー

項目の編集

を作成するには、[複製] をクリックします。項目を

削除するには、[削除] をクリックします。

注意: 依存関係のある項目を削除すると、削除された

項目の新しいコピーがリンク先のルールまたはグルー

プ内に作成されますが、依存関係は作成されません。

[新規] をクリックします。表示されたページで、必

要なデータを入力して [保存] をクリックします。

項目の作成と追加

項目に対応する [エクスポート] リンクをクリックし

ます。

1 つの項目のエクスポート

ページの右上隅にある [エクスポート] をクリック

し、ファイルの名前を指定して XML 形式で保存しま

す。

カタログの種類のすべての項目のエクスポート

ページの右上隅にある [インポート] をクリックし、

カタログ データを含む XML ファイルを選択して開き

ます。

カタログの種類の項目のインポート

注意: ファイアウォール ルールまたはグループの作成中にカタログから項目を追加する

には、該当するビルダ ページの下にある [カタログから追加] をクリックします。ファ

イアウォール ルールまたはグループ ビルダでの作業中に作成した項目を追加するには、

ファイアウォール ポリシーの設定ファイアウォール保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)76

項目の横にある [カタログに追加] をクリックします。カタログから項目を追加するか、

カタログに項目を追加するときに、[カタログの参照を解除する] リンクを使用してカタ

ログと項目の依存関係を作成します。このリンクをクリックすると、項目とカタログ間

の依存関係が解除され、リンク先のルールまたはグループに依存関係のない新しい項目

が作成されます。

ファイアウォール クライアント ルールの管理適応モードまたは学習モードで自動的に作成されたファイアウォール クライアント ルール

やクライアントで手動で作成したルールを表示し、ファイアウォール ルール ポリシーに移

動すると、セキュリティを強化することができます。

注意: [レポート] の [ホスト IPS] タブに表示されるファイアウォール クライアントのルー

ルにアクセスするには、Host Intrusion Prevention のファイアウォールに対する権限以外

に、[イベント ログ]、[システム]、および [システム ツリー アクセス] の表示権限を含

む、追加の権限が必要です。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [レポート]、[Host IPS] の順に移動し、[ファイアウォール クライアント ルール] を

クリックします。

2 システム ツリーで、クライアント ルールを表示するグループを選択します。

3 クラアイント ルールのリストの表示方法を決定します。

手順...操作...

[オプション] メニューから [列の選択] を選択しま

す。[列の選択] ページで、表示する列の追加、削除、

または順序の変更を行います。

表示する列を選択する

列ヘッダーをクリックします。列によって並べ替える

[フィルタ] メニューから、[このグループのみ] また

は [このグループとすべてのサブグループ] を選択し

ます。

グループにフィルタを設定する

ルールが作成された日時を選択します。[なし]、[基

準日] または [範囲] から選択できます。[基準日]

作成日時にフィルタを設定する

を選択した場合、開始日を入力します。[範囲] を選

択した場合、開始日と終了日の両方を入力します。

フィルタ設定を削除するには、[クリア] をクリック

します。

フィルタを適用するプロセス パス、プロセス名、ユー

ザ名、コンピュータ名またはシグネチャ ID を入力し

検索テキストにフィルタを設定する

ます。フィルタ設定を削除するには、[クリア] をク

リックします。

[集約] をクリックし、ルールを集約する条件を選択

して [OK] をクリックします。集約設定を削除するに

は、[クリア] をクリックします。

ルールを集約する

4 クライアント ルールをポリシーに移動するには、リスト内の 1 つ以上のルールを選択

し、[ファイアウォール ルールの作成] をクリックして、ルールの移動先のポリシーを

指定します。

ファイアウォール ポリシーの設定ファイアウォール保護の定義

77McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

FAQ － ファイアウォール ルールでのワイルドカードの使い方Host IPS では、ファイアウォール ルールの特定のフィールドに値を入力するときにワイル

ドカードを使用できます。

パスとアドレスで使用できるワイルドカードを教えてください。

ファイル、レジストリ キー、実行ファイル、URL のパスには次のワイルドカードが使用でき

ます。

定義文字

1 つの文字。? (疑問符)

/ と \ を除く複数の文字。サブフォルダではなく、フォ

ルダのルート レベルの内容と一致させるために使用しま

す。

* (1 つのアスタリスク)

/ と \ を含む複数の文字。** (2 つのアスタリスク)

ワイルドカードのエスケープ。

注意: ** の場合、エスケープは |*|* になります。

| (パイプ)

注意: ファイアウォール グループの場所を示すレジストリ キーのパスではワイルドカード

を使用できません。

他の値で使用できるワイルドカードを教えてください。

パス情報を含まないスラッシュ付きの値では、次のワイルドカードを使用できます。

定義文字

1 つの文字。? (疑問符)

/ と \ を含む複数の文字。* (1 つのアスタリスク)

ワイルドカードのエスケープ。| (パイプ)

ファイアウォール ポリシーの設定ファイアウォール保護の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)78

全般ポリシーの設定

Host Intrusion Prevention の全般ポリシー機能により、IPS ポリシーやファイアウォール

に固有でない共通のポリシーにアクセスできます。

目次

全般ポリシーの概要

クライアント機能の定義

信頼できるネットワークの定義

信頼できるアプリケーションの定義

全般ポリシーの概要全般ポリシーは IPS とファイアウォール機能の両方でできます。クライアント アクセスを

制御し、信頼できるネットワークとアプリケーションを管理します。

Windows オペレーティング システムの場合には、すべてのポリシーとオプションが適用され

ます。Windows 以外のシステムの場合には、選択したポリシーのオプションを適用できます。

詳細については、「Host IPS クライアントの使用」の「Solaris/Linux クライアントでのポリシー施行」を参照してください。

使用可能なポリシー

次の 3つの全般ポリシーがあります。

クライアント UI － Windows クライアント コンピュータで使用できるオプションを決定し

ます。これは、ホスト IPS クライアント アイコンをシステム トレイに表示するかどうか、

侵入アラートの種類、クライアント インターフェースにアクセスするパスワード、トラブル

シューティング オプションなどです。パスワード機能は、Windows プラットフォームと

Windows 以外のプラットフォームの両方のクライアントで使用できます。

信頼できるネットワーク － 通信しても安全な IP アドレスとネットワークのリストです

(TrustedSource の例外を含む)。信頼できるネットワークには、個々の IP アドレスまたは

IP アドレスの範囲を指定できます。信頼できるネットワークに設定すると、ネットワーク

IPS 例外や追加のファイアウォール ルールを作成する必要がなくなるか、または必要が軽減

します。Windows クライアント専用です。

信頼できるアプリケーション ルール － 安全で、既知の脆弱性がないアプリケーションのリ

ストです。信頼できるアプリケーションに設定すると、IPS 例外や追加のファイアウォール

ルールを作成する必要がなくなるか、または必要が減少します。IPS ルール ポリシーと同

様、このポリシー カテゴリにも複数のポリシー インスタンスを含めることができます。

Windows プラットフォームと Windows 以外のプラットフォームの両方のクライアントで使用

可能です。

信頼できるネットワーク ポリシーと信頼できるアプリケーション ポリシーを設定すると、

誤検知を軽減または排除できるため、配備の調整に役立ちます。

79McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

クライアント機能の定義クライアント UI ポリシーでは、Host IPS クライアントの表示方法と機能を設定します。

Windows クライアントの場合、アイコンの表示設定、侵入イベントの処理、管理者およびク

ライアント ユーザのアクセスなどが設定できます。Windows 以外のクライアントの場合、管

理者アクセスのパスワード機能のみが有効です。

このポリシーのオプションにより、次のような 3 種類の典型的ユーザの要望を満たすことが

できます。

機能ユーザの種類

Host Intrusion Prevention クライアントをデスクトップまたはノート PC にインストールしている平均的なユーザです。クライアント UI ポリシーにより、このユーザは次の操作を実行できます。

通常

• Host Intrusion Prevention クライアント アイコンをシステム トレイに表示して、

クライアント コンソールを起動できます。

• ポップアップ侵入アラートを受け取るか阻止します。

• IPS とファイアウォール保護を一時的に無効にします。

おそらくノート PC を使用しており、一定期間 Host Intrusion Prevention サーバに接続していないユーザです。Host Intrusion Prevention に技術的な問題がある場合や、ま

接続切断

たは Host Intrusion Prevention と対話しない操作が必要な場合もあります。クライアント UI ポリシーにより、このユーザは、有効期限があるパスワードを取得して管理タスクを実行したり、保護機能のオン/オフを切り替えることができます。

すべてのコンピュータの IT 管理者で、管理者に委任されたあらゆるポリシーを変更し、特別な操作をクライアント コンピュータで行う必要があります。クライアント UI ポリ

管理者

シーにより、このユーザは、無期限の管理者パスワードを取得して管理タスクを実行できます。

切断ユーザと管理者ユーザの両者が行う管理タスクには、次のようなものがあります。

• IPS およびファイアウォール ポリシーの有効化/無効化

• 特定の正当な動作がブロックされる場合に IPS、ファイアウォール、アプリケーショ

ン ブロックのルールの追加

注意: ePolicy Orchestrator コンソールから管理ポリシーの変更を行っても、パスワードの期限が切れるまでは実施されません。この間に作成されたクライアント ルールは、管理ルールの許可があれば保持されます。

このクライアント UI ポリシーには、1 つの設定済みポリシーと、1 つの編集可能な個人用

デフォルト ポリシーが含まれています。設定済みポリシーは表示し、複製できます。編集可

能なカスタム ポリシーは、作成、編集、名前変更、複製、削除、およびエクスポートするこ

とができます。

クライアント UI ポリシーの設定このポリシーでは、アイコンの表示方法、侵入イベントに対する処理、Windows クライアン

トに対する管理者とユーザのアクセス権を設定します。また、Windows 以外のクライアント

に対する管理者のアクセス権も設定します。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: 全般] を選択し、[カテゴリ] リストで [クライアント UI] を選択します。

ポリシーのリストが表示されます。

全般ポリシーの設定クライアント機能の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)80

2 [クライアント UI] ポリシー リストで、[アクション] の下の [編集] をクリックして、

カスタム ポリシーの設定を変更します。

3 [クライアント UI] ページで、タブ ([全般オプション]、[詳細オプション]、[トラブル

シューティング オプション]) を選択し、必要な変更を行います。詳細については、「クライアント UI の全般オプションの設定」、「クライアント UI の詳細オプションの設定」または「クライアント UI のトラブルシューティング オプションの設定」を参照し

てください。

4 [保存] をクリックして変更を保存します。

クライアント UI の全般オプションの設定クライアント UI ポリシーの [全般設定] タブでは、アイコンの表示方法と侵入イベントに

対する処理を設定できます。このタブは、Windows クライアントでのみ使用できます。

このタブでは、クライアント UI の表示オプションを設定し、侵入イベント発生時のクライ

アントの対応を指定します。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 クライアント UI ポリシーの [全般設定] タブをクリックします。[表示オプション]

で、トレイ アイコンからクライアント コンソールにアクセスするメニューを表示する

かどうかを設定します。また、[プログラムの追加と削除] リストにアプリケーションを

表示するかどうかを設定します。

注意: Host Intrusion Prevention の機能を一時的に無効にし、ブロックされた正規の

アプリケーションやネットワーク サイトにアクセスする必要がある場合、クライアント

コンソールを表示しなくても Host Intrusion Prevention トレイ アイコン メニューで

機能を無効にできます。無効にした機能は、メニュー コマンドまたは新しいポリシー施

行で復元されるまで無効のままです。次の事項に注意します。

• ISP を無効にすると、Host IPS とネットワーク IPS の保護が両方とも無効になりま

す。

• クライアント UI のロックが解除されている場合、メニュー コマンドは無効です。

この機能の場合、アイコンの表示を選択して [詳細オプション] タブをクリックし、[ト

レイ アイコンからの機能の無効化を許可する] を選択して、無効にする機能の一部また

はすべてを選択します。

2 [侵入イベント発生時] で、侵入検出時のクライアントの処理方法を選択します。

クライアント UI の詳細オプションとパスワードの設定クライアント UI ポリシーの [詳細オプション] タブでは、Windows および Windows 以外の

クライアントのパスワード機能を設定します。

パスワードにより、Windows クライアント コンソールのロックを解除し、Windows と Windows

以外のクライアントでトラブルシューティングを可能にします。このポリシーがクライアン

トに適用されると、パスワードがアクティブになります。

次の 2 種類のパスワードを使用できます。

• 管理者パスワードは、管理者が設定し、ポリシーがクライアントに適用されている限り有

効です。クライアント コンソールは、閉じるまでロックが解除されたままです。クライ

アント コンソールを再び開くには、管理者パスワードを再入力します。

全般ポリシーの設定クライアント機能の定義

81McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• 有効期限のあるパスワードには、有効期限 (日時) が設定されます。このパスワードは自

動的に生成されます。パスワードを作成するシステムを指定することも、ポリシーを適用

するすべてのシステムにパスワードを設定することもできます。クライアント コンソー

ルは、閉じるまでロックが解除されたままです。

注意: クラアイント コンソールのロックが解除されていると、ポリシーはクライアントでは

施行されません。

詳細については、「Windows クライアント インターフェースのロック解除」を参照してくだ

さい。

タスク

1 システムまたはグループに適用されるクライアント UI ポリシーで、[詳細オプション]

タブをクリックします。

2 作成するパスワードの種類を決定します。

手順...パスワードの種類...

管理者 • [パスワード] テキスト ボックスにパスワードを入力します。パ

スワードは 10 文字以上にする必要があります。

• [パスワードの確認] テキスト ボックスにパスワードを再入力し

ます。

• [保存] をクリックします。

有効期限のあるパスワード • [有効期限のあるパスワードを有効にする] を選択します。

• パスワードの有効期限が切れる日付と時刻を入力し、[有効期限

のあるパスワードの計算] をクリックします。有効期限の設定さ

れたパスワードがダイアログ ボックスに表示されます。

• [保存] をクリックします。

システムごとのパスワードの作成

有効期限のあるパスワードをシステムごとに作成して割り当てることができます。

タスク

1 クライアント UI ポリシーの [詳細] タブで [有効期限のあるパスワードを有効にする]

を有効にします。

2 ポリシーを変更した場合は、[保存] をクリックします。

3 [システム]、[システム ツリー] の順に移動します。

4 パスワードを適用するシステムが存在するグループにクライアント UI ポリシーを適用

します。

5 グループを選択し、[システム] タブで単一のシステムを選択します。

6 [有効期限のあるパスワードの作成] をクリックします。

7 パスワードの有効期限を入力し、[有効期限のあるパスワードを計算] をクリックしま

す。パスワードがダイアログ ボックスに表示されます。

クライアント UI のトラブルシューティング オプションの設定クライアント UI ポリシーの [トラブルシューティング] タブでは、ロギング オプションを

設定します。また、エンジンの有効/無効も設定できます。

全般ポリシーの設定クライアント機能の定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)82

個々のクライアントのトラブルシューティング機能を使用する代わりに、IPS のログ記録お

よびファイアウォール イベントを呼び出し、特定の IPS エンジンを無効にする、ポリシー

レベルのトラブルシューティング オプションを適用できます。エンジンを無効にする場合、

トラブルシューティングを完了した後で忘れずに再び有効にしてください。

タスク

1 クライアント UI ポリシーで、[トラブルシューティング] タブをクリックします。

2 適用するポリシーの設定を選択します。

手順...宛先

ファイアウォール イベントをログに記録するメッセー

ジの種類をリストから選択します。

ファイアウォールのログ記録を有効にする

• デバッグ － すべてのメッセージを記録します。

• 情報 － 情報、警告、エラー メッセージを記録し

ます。

• 警告 － 警告とエラー メッセージを記録します。

• エラー － エラー メッセージを記録します。

• 無効 － メッセージを記録しません。

Windows クライアントのログ ファイルのパスは、

C:\Documents and Settings\All Users\Application

Data\McAfee\Host Intrusion

Prevention\FireSvc.log です。Windows Vista、

Windows 2008、Windows 7 の場合には、C:\Program

Data\McAfee\Host Intrusion

Prevention\FireSvc.log になります。

IPS イベントをログに記録するメッセージの種類をリ

ストから選択します。

IPS のログ記録を有効にする

• デバッグ － すべてのメッセージを記録します。

• 情報 － 情報、警告、エラー メッセージを記録し

ます。

• 警告 － 警告とエラー メッセージを記録します。

• エラー － エラー メッセージを記録します。

• 無効 － メッセージを記録しません。

Windows クライアントのログ ファイルのパスは、

C:\Documents and Settings\All Users\Application

Data\McAfee\Host Intrusion

Prevention\HipShield.log です。Windows Vista、

Windows 2008、Windows 7 の場合には、C:\Program

Data\McAfee\Host Intrusion

Prevention\HipShield.log になります。

[セキュリティ違反を記録する] を選択して、IPS ロ

グにセキュリティ違反イベントを記録します。

IPS ログにセキュリティ違反を加える

ログファイルのサイズをデフォルトの 1 MB から変更

します。

クライアントのイベント ログファイルのサイズ (MB)

を設定する

エンジンを無効にするには、チェックボックスの選択

を解除します。再度有効にするには、チェックボック

スを再度選択します。

エンジンのオン/オフを切り替えます。

注意: HIP クライアントの作業の詳細については、「Host Intrusion Prevention クライアントの作業」を参照してください。

全般ポリシーの設定クライアント機能の定義

83McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

信頼できるネットワークの定義信頼できるネットワーク ポリシーでは、ネットワーク アドレスとサブネットのリストを保

持します。このリストでは、Windows 上のクライアントに「信頼」タグを設定できます。ま

た、リモート アドレスが信頼されたネットワーク IPS の例外に設定されているファイア

ウォール ルールに適用できます。

このポリシー カテゴリには、自動的にローカル サブネットを含むがネットワーク アドレス

はリストしない 1 つの設定済みポリシーと、1 つの編集可能な個人用デフォルト ポリシー

が含まれています。設定済みポリシーは表示し、複製できます。編集可能なカスタム ポリ

シーは、作成、編集、名前変更、複製、削除、およびエクスポートすることができます。

信頼できるネットワーク ポリシーの設定このポリシーでは、信頼できるネットワークのオプションを設定します。Windows クライア

ントの場合には、「信頼」と設定されているネットワーク アドレスとサブネットのリストを

保持できます。

これにより、次の操作を実行できます。

• 信頼できるネットワークのオプション (TrustedSource 例外など) を設定します。

• 信頼できるネットワーク リストで、アドレスまたはサブネットを追加または削除します。

注意: ファイアウォール ルールの場合、この機能を利用するにはリモート アドレスを「信

頼」に設定する必要があります。

タスク

オプションの定義については、オプションが表示されているページで [?] をクリックしま

す。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: 全般] を選択し、[カテゴリ] リストで [信頼できるネットワーク] を選択

します。ポリシーのリストが表示されます。

2 [信頼できるネットワーク] ポリシー リストで、[アクション] の下の [編集] をクリッ

クして、カスタム ポリシーの設定を変更します。

3 次のいずれかを行います。

手順...操作...

[ローカル サブネットを自動的に含める] で [有効]

を選択します。

同じサブネット上にあるユーザであれば、リストに

入っていなくても、自動的に信頼できるものとして扱

います。

[信頼できるネットワーク] テキスト ボックスに、信

頼できる IP アドレス、アドレスの範囲またはサブ

ネットを入力します。

信頼できるネットワーク アドレスをリストに追加し

ます。

[IPS で信頼する] を選択します。ネットワーク IPS シグネチャまたは HTTP タイプの

Host/カスタム IPS シグネチャに対して、ネットワー

クに「信頼」というマークを設定します。

削除ボタン (-) または追加ボタン ( + ) をクリック

します。

信頼できるネットワーク アドレスのエントリを削除

または追加します。

4 [保存] をクリックして変更を保存します。

全般ポリシーの設定信頼できるネットワークの定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)84

信頼できるアプリケーションの定義信頼できるアプリケーション ポリシーを使用すると、信頼できるアプリケーションのリスト

を作成できます。このリストのアプリケーションにはイベントが生成されません。システム

で安全なアプリケーションのリストを維持数rと、誤検知の件数を大幅に減らすことができま

す。

信頼できるアプリケーション ポリシーはマルチインスタンス ポリシーです。複数のポリシー

インスタンスを割り当て、信頼できるアプリケーションの使用方法について詳しいプロファ

イルを作成できます。

配備の調整では、誤検知を減らすための 1 つの方法として、IPS 例外のルールを作成できま

す。数千ものクライアントに対応する場合や、時間やリソースが限られている場合、この方

法は必ずしも現実的ではありません。より良い解決方法は、信頼できるアプリケーションの

リストを作成することです。信頼できるアプリケーションとは、特定の環境下で安全である

とわかっているアプリケーションです。たとえば、バックアップ アプリケーションの実行時

には頻繁に誤検知が発生する可能性があります。これを避けるには、バックアップ アプリ

ケーションを信頼できるアプリケーションに設定します。

注意: 信頼できるアプリケーションは、バッファ オーバーフローや不正な使用といった一般的な問題に対する脆弱性があります。このため、信頼できるアプリケーションであっても監視を続け、不当な使用を防止するためのイベントを起動することができます。

このポリシー カテゴリには、特定の McAfee アプリケーションと Windows プロセスのリス

トを提供する 1 つの設定済みポリシーが含まれています。設定済みポリシーは表示して複製

できます。カスタム ポリシーは、作成、編集、名前変更、複製、削除およびエクスポートす

ることができます。

信頼できるアプリケーション ポリシーの設定このポリシーでは、特定の環境で安全と見なすアプリケーションを設定します。

タスク

オプションの意味を確認するには、そのオプションが表示されているページで [?] をクリッ

クします。

1 [システム] の [ポリシー カタログ] を表示し、[製品] リストで [Host Intrusion

Prevention: 全般] を選択し、[カテゴリ] リストで [信頼できるアプリケーション] を

選択します。ポリシーのリストが表示されます。

2 [信頼できるアプリケーション] ポリシー リストで、[アクション] の下の [編集] をク

リックして、カスタム ポリシーの設定を変更します。

3 次のいずれかを行います。

手順...操作...

[アプリケーションの追加] をクリックします。詳細

については、「信頼できるアプリケーション ルール

の作成と編集」を参照してください。

アプリケーションを追加する

ルールを選択し、次の操作を行います。同時に 1 つ以上のアプリケーションでアクションを

実行する• [有効にする] をクリックすると、無効なアプリ

ケーションが有効になります。

• [無効にする] をクリックすると、有効なアプリ

ケーションが無効になります。

全般ポリシーの設定信頼できるアプリケーションの定義

85McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

手順...操作...

• [削除] をクリックすると、アプリケーションが

削除されます。

• [コピー先] をクリックすると、アプリケーショ

ンが他のポリシーにコピーされます。ポリシー

を指定するよう求められます。

次のオプションをクリックします。1 つのアプリケーションでアクションを実行する

• 既存のアプリケーションを編集するには [編集]

をクリックします。詳細については、「信頼で

きるアプリケーション ルールの作成と編集」を

参照してください。

• 同じポリシー内でアプリケーションのコピーを

作成し、元のアプリケーションの "コピー" と

いう名前を付けるには、[複製] をクリックしま

す。

• リストからアプリケーションを削除するには、

[削除] をクリックします。

4 [保存] をクリックして変更を保存します。

信頼できるアプリケーション ルールの作成と編集信頼できるアプリケーションの既存のリストを編集するか、新しいリストを作成し、環境で

安全と見なすアプリケーションをすべて追加します。

タスク

オプションの意味を確認するには、そのオプションが表示されているページで [?] をクリッ

クします。

1 [信頼できるアプリケーション]ポリシー ページで [新しい信頼できるアプリケーション]

をクリックし、[アクション] の下の [編集] をクリックして、既存のルールを編集しま

す。

注意: イベントに基づいて信頼できるアプリケーションを作成することもできます。詳

細については、「IPS ポリシーの設定」で「イベントからの信頼できるアプリケーションの作成」を参照してください。

2 名前を入力するか、編集して、アプリケーションのステータス (アプリケーションが IPS

またはファイアウォールで信頼されているかどうか) を設定します。

3 [新規] をクリックして、アプリケーションの実行ファイルを追加します。

注意: [カタログから追加] をクリックすると、Host IPS カタログから既存の実行ファ

イルを追加できます。カタログの詳細については、「ファイアウォール ルールの設定」

の「Host IPS カタログの機能」を参照してください。

4 [OK] をクリックして変更を保存します。

ポリシーの複数のインスタンスの割り当てePolicy Orchestrator のシステム ツリーでポリシーの 1 つ以上のインスタンスをグループ

システムに割り当てると、1 つのポリシーを複数の目的で使用することができます。

全般ポリシーの設定信頼できるアプリケーションの定義

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)86

IPS ルール ポリシーと信頼できるアプリケーション ポリシーは、複数のインスタンスに割

り当てられるマルチインスタンス ポリシーです。マルチインスタンス ポリシーは便利なポ

リシーです。たとえば、IIS サーバには、通常のデフォルトのポリシー、サーバのポリシー

および IIS のポリシーを適用できます。IIS サーバのポリシーと IIS のポリシーは、IIS

サーバとして稼動しているシステムを対象として設定するポリシーです。複数をインスタン

スを割り当てると、ポリシーの各インスタンスのすべての要素を割り当てることになります。

注意: IPS ルールと信頼できるアプリケーションの McAfee デフォルト ポリシーは、コンテ

ンツの更新時に更新されます。McAfee では、保護を最新の状態にしておくために、この 2

つのポリシーを常に適用することをお勧めします。

複数のインスタンスがあるポリシーの場合、[有効なポリシー] リンクが表示され、ポリシー

インスタンスの組み合わせの詳細が確認できます。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 [システム]、[システム ツリー] の順に移動し、システム ツリーでグループを選択しま

す。

注意: 単一システムの場合は、システム ツリーでシステムのあるグループを選択し、[シ

ステム] タブでシステムを選択し、[その他のアクション]、[1 つのシステムのポリシー

を変更] の順に選択します。

2 [ポリシー] で、[製品] リストから [Host Intrusion Prevention 8.0: IPS/全般] を選

択して、[IPS ルール/信頼できるアプリケーション] で [割り当てを編集] をクリック

します。

3 [ポリシーの割り当て] ページで、[新しいポリシー インスタンス] をクリックし、別の

ポリシー インスタンスの [割り当て済みのポリシー] リストからポリシーを選択しま

す。マルチインスタンス ルール セットで有効なポリシーを表示するには [有効なポリ

シーを表示] をクリックします。

4 [保存] をクリックして、すべての変更を保存します。

全般ポリシーの設定信頼できるアプリケーションの定義

87McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Host Intrusion Prevention クライアントの作業

Host Intrusion Prevention クライアントは、Windows、Solaris および Linux プラット

フォームにインストールできます。インターフェースは Windows クライアントにしかありま

せんが、トラブルシューティング機能はいずれのバージョンでも使用できます。ここでは、

各クライアント バージョンの基本機能について説明します。

目次

Windows クライアントの概要

Solaris クライアントの概要

Linux クライアントの概要

Windows クライアントの概要Host Intrusion Prevention Windows クライアントのクライアント側での直接管理は、クラ

イアント コンソールで行うことができます。表示するには、McAfee トレイ アイコンのメ

ニューを使用するか、C:\Program Files\McAfee\Host Intrusion Prevention の

McAfeeFire.exe を実行します。

クライアント コンソールが最初に表示されるときに、オプションはロックされています。現

在の設定を表示するだけです。コンソールのすべての設定を操作するには、パスワードを使

用してインターフェースのロックを解除します。パスワードの作成方法と使い方については、

「全般ポリシーの設定」の「クライアント UI 詳細オプションとパスワードの設定」を参照

してください。

システム トレイ アイコンのメニューシステム トレイに McAfee アイコンが表示されている場合、このアイコンから Host IPS ク

ライアント コンソールを起動できます。クライアントにインストールされている McAfee

Agent のバージョンによって、アイコンの機能が異なります。

McAfee Agent 4.0 の場合

McAfee Agent アイコンを右クリックして [Host Intrusion Prevention] を選択します。表

示されたショートカット メニューからコンソールを開くことができます。

表 8: McAfee Agent 4.0 のメニュー

操作...クリックする項目

Host Intrusion Prevention クライアント コンソールを

開きます。

設定

[バージョン情報] ダイアログ ボックスが開かれ、バー

ジョン番号およびその他の製品情報が表示されます。

バージョン情報...

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)88

適用されたクライアント UI ポリシーで [トレイ アイコンでの機能の無効化を許可する] を

選択している場合には、次のコマンドも使用できます。

表 9: 無効化を許可している場合の McAfee Agent 4.0 メニュー

操作...クリックする項目

無効になっているすべての機能を有効にします。機能が

無効になっている場合にのみ使用できます。

設定の復元

IPS とファイアウォール機能を無効にします。両方の機

能が有効になっている場合のみ使用できます。

すべて無効にする

IPS 機能を無効にします。Host IPS とネットワーク IPS

機能の両方が対象になります。機能が有効になっている

場合のみ使用できます。

IPS を無効にする

ファイアウォール機能を無効にします。機能が有効になっ

ている場合のみ使用できます。

ファイアウォールを無効にする

[スケジュール] タブで、適用済みのファイアウォール ルール ポリシーのファイアウォール

グループに [McAfee トレイ アイコン メニューから期限付きグループを有効にする] を選択

している場合、次のコマンドも使用できます。

表 10: 期限付きグループが有効な場合の McAfee Agent 4.0 のメニュー

操作...クリックする項目

期限付きファイアウォール グループを有効にし、所定の

期間、アクセスを制限するルールを適用する前にネット

Host IPS 期限付きファイアウォール グループを有効に

する

ワーク以外のインターネット アクセスを許可します。こ

のコマンドを選択するたびに、グループの期限がリセッ

トされます。

期限付きグループの名前と各グループの残り時間を表示

します。

Host IPS 期限付きファイアウォール グループの状態を

表示する

McAfee Agent 4.5 の場合

システム トレイの McAfee Agent アイコンを右クリックし、[機能の管理]、[Host Intrusion

Prevention] の順に選択してコンソールを開きます。

注意: McAfee Agent と Host IPS クライアントの両方で、この機能のアイコン表示を設定す

る必要があります。システム トレイに McAfee Agent が表示されない場合、クライアントで

システム トレイ アイコンの表示が設定されていても、クライアントでトレイ アイコンの表

示が設定されません。

適用済みのクライアント IP ポリシーで [Host IPS 期限付きファイアウォール グループの

状態を表示する] オプションが選択されいる場合にのみ[クイック設定] で、Host Intrusion

Prevention オプションを選択できます。

表 11: クリック設定を使用した McAfee Agent 4.5 メニュー

操作...クリックする項目

Host IPS 保護の有効/無効を切り替えます。Host IPS

ネットワーク IPS 保護の有効/無効を切り替えます。ネットワーク IPS

ファイアウォール保護の有効/無効を切り替えます。ファイアウォール

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

89McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

[クイック設定] の [スケジュール] タブで、適用済みのファイアウォール ルール ポリシー

のファイアウォール グループに [McAfee トレイ アイコン メニューから期限付きグループ

を有効にする] オプションを選択している場合、次のコマンドも使用できます。

表 12: 期限付きグループが有効な場合の McAfee Agent 4.5 のメニュー

操作...クリックする項目

期限付きファイアウォール グループを有効にし、所定の

期間、アクセスを制限するルールを適用する前にネット

Host IPS 期限付きファイアウォール グループを有効に

する

ワーク以外のインターネット アクセスを許可します。こ

のコマンドを選択するたびに、グループの期限がリセッ

トされます。

期限付きグループの名前と各グループの残り時間を表示

します。

Host IPS 期限付きファイアウォール グループの状態を

表示する

Windows クライアントのクライアント コンソールHost Intrusion Prevention クライアント コンソールからは、いくつかの設定オプションに

アクセスすることができます。コンソールを開くには、次のいずれかを行います。

• McAfee Agent 4.0 の場合には、McAfee アイコンを右クリックして [Host Intrusion

Prevention] を選択して [設定] をクリックします。

• McAfee Agent 4.5 の場合には、McAfee アイコンを右クリックして [機能の管理]、[Host

Intrusion Prevention]、[設定] の順に選択します。

• C:\Program Files\McAfee\Host Intrusion Prevention フォルダで McAfeeFire.exe を実

行します。

コンソールでは、Host Intrusion Prevention 機能についての情報を設定および表示できま

す。コンソールには複数のタブがあり、それぞれが Host Intrusion Prevention の特定の機

能に対応しています。

Windows クライアント インターフェースのロックの解除ePolicy Orchestrator を使用してリモートから Host Intrusion Prevention を管理する管

理者は、不注意で変更されないようにインターフェースをパスワードで保護しておくことが

できます。期限切れのない固定のパスワードと一時的な期限付きのパスワードを使用して、

管理者またはユーザはインターフェースのロックを一時的に解除し、変更を行うことができ

ます。

操作を始める前に

パスワードの設定を含む「Host IPS 全般: クライアント UI」ポリシーがクライアントに適

用されていることを確認します。ポリシー更新をすぐに実行するか、スケジュールに従って

ポリシー更新を行うと、ポリシーが適用されます。ポリシーの更新が実行されるまで、クラ

イアントはパスワードを認識しません。

タスク

1 Host Intrusion Prevention 管理者からパスワードを入手します。

注意: パスワードの作成方法については、「全般ポリシーの設定」の「クライアント UI詳細オプションとパスワードの設定」を参照してください。

2 クライアント コンソールを開き、[タスク]、[ユーザ インターフェースのロックの解除]

の順に選択します。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)90

3 [ログイン] ダイアログ ボックスで、パスワードを入力し、[OK] をクリックします。

クライアント UI のオプションの設定Host Intrusion Prevention クライアント コンソールからは、クライアント UI ポリシーに

よって提供されるいくつかの設定にアクセスすることができ、クライアントごとにそれらの

設定をカスタマイズすることができます。

操作を始める前に

次のタスクを実行する前に、パスワードを入力してクライアント コンソールのロックを解除

する必要があります。

タスク

1 クライアント コンソールで [タスク]、[ユーザ インターフェース言語を設定] の順に

選択します。

2 クライアント コンソール インターフェースの言語を選択して [OK] をクリックします。

中国語、英語、フランス語、ドイツ語、イタリア語、日本語、韓国語、ポルトガル語、

ロシア語、スペイン語が選択できます。[自動] を選択すると、クライアントがインス

トールされているオペレーティング システムの言語でインターフェースが表示されま

す。

3 [編集]、[オプション] の順に選択します。

4 [Host Intrusion Prevention オプション] ダイアログ ボックスで、必要に応じてオプ

ションを選択および選択解除し、[OK] をクリックします。

表 13: クライアント コンソール オプション

結果...選択...

攻撃が発生すると、アラートが表示されます (IPS の

み)。

ポップアップ アラートを表示する

攻撃が発生したときに音を鳴らします (IPS のみ)。音を鳴らす

攻撃が発生すると、システム トレイ アイコンに攻撃

のステータスが表示されます (IPS のみ)。

システム トレイに通知を表示

スニッファ侵入データが取得されたことを示すキャプ

チャ列がアクティビティ ログに追加されます。この

利用可能な場合にスニファ キャプチャを作成する

情報は FirePacketX.cap ファイル (C:\Program

Data\McAfee\Host Intrusion Prevention\McAfee Fire

Saved Events または C:\Documents and Settings\All

Users\Application Data\McAfee\Host Intrusion

Prevention\McAfee Fire Saved Events) に保存され

ます (IPS のみ)。

McAfee Agent システム トレイ アイコンのメニュー

に [Host Intrusion Prevention] が表示されます。

トレイ アイコンを表示する

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

91McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Windows クライアントのトラブルシューティングHost Intrusion Prevention には、[ヘルプ] メニューにトラブルシューティング機能があり

ます。この機能は、インターフェースのロックが解除されている場合に利用できます。使用

できるオプションは次のとおりです。

表 14: トラブルシューティング オプション

定義オプション

ログに記録するファイアウォール メッセージの種類を決

めます。

ロギング:ファイアウォール

ログに記録する IPS メッセージの種類を決めます。ロギング:IPS *

IPS セキュリティ違反を IPS ログに記録します。セキュリティ違反をログに記録する*

Host IPS が [アプリケーションの追加と削除] に表示さ

れ、クライアントから削除可能かどうかを設定します。

[アプリケーションの追加と削除] に製品を表示する

トラブルシューティングの目的で Host IPS クラス エン

ジンを無効または有効にします。

機能*

* このオプションは、IPS 保護でのみ使用できます。

注意: McAfee では、クライアント コンピュータへの Host Intrusion Prevention の配備に他社製のソフトウェアを使用している場合、自動アップグレードやその他のメンテナンス タスクを支援するためのユーティリティ (ClientControl.exe) を提供しています。このコマンドライン ユーティリティをインストール スクリプトとメンテナンス スクリプトに追加すると、IPS 保護を一時的に無効にし、ロギング機能を有効にすることができます。このユーティリティはクライアントの C:\ Program Files\McAfee\Host Intrusion Prevention に存在します。詳細については、「付録 B － トラブルシューティング」の「Clientcontrol.exe ユーティリティ」を参照してください。

IPS ロギング オプションの設定

トラブルシューティングの一部として、システム上で分析したり、McAfee のサポートに送信

して問題の解決に役立てることができる IPS のアクティビティ ログを作成できます。IPS

ロギングを有効にするには、このタスクを実行します。

タスク

1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の順に選択します。

2 IPS メッセージの種類を選択します。

• デバッグ

• 無効

• エラー

• 情報

• 警告

メッセージの種類が「無効」に設定されていると、メッセージはログに記録されません。

3 [OK] をクリックします。情報が HipShield.log (C:\Documents and Settings\All

Users\Application Data\McAfee\Host Intrusion Prevention) に記録されます。Windows

Vista 以降の場合には、C:\Program Data\McAfee\Host Intrusion Prevention\ のログ

ファイルに書き込まれます。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)92

ファイアウォール ロギング オプションの設定

トラブルシューティングの一部として、システム上で分析したり、McAfee のサポートに送信

して問題の解決に役立てることができる、ファイアウォールのアクティビティ ログを作成で

きます。ファイアウォール ロギングを有効にするには、このタスクを実行します。

タスク

1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の順に選択します。

2 ファイアウォール メッセージの種類を選択します。

• デバッグ

• 無効

• エラー

• 情報

• 警告

メッセージの種類が「無効」に設定されていると、メッセージはログに記録されません。

3 [OK] をクリックします。情報が FireSvc.log (C:\Documents and Settings\All

Users\Application Data\McAfee\Host Intrusion Prevention) に記録されます。Windows

Vista 以降の場合には、C:\Program Data\McAfee\Host Intrusion Prevention\ のログ

ファイルに書き込まれます。ファイル サイズが 100 MB に達すると、新しいファイルが

作成されます。

Host IPS エンジンの無効化

トラブルシューティング作業で、クライアントを保護するクラス エンジンを無効にできま

す。McAfee では、McAfee サポートと連絡を取っている管理者だけがこの操作を行うことを

お勧めします。クラス保護の詳細については、「カスタム シグネチャの作成」を参照してく

ださい。

タスク

オプションの定義については、インターフェースの ? をクリックしてください。

1 Host IPS コンソールで、[ヘルプ]、[トラブルシューティング] の順に選択し、[機能]

をクリックします。

2 HIPS エンジンのダイアログボックスで、1 つ以上のエンジンの選択を解除します。すべ

ての項目を無効にするには、[すべてのエンジンンを有効//無効にする] の選択を解除し

ます。

注意: クライアントがサーバのオペレーティング システムを実行している場合のみ、リ

ストに SQL と HTTP が表示されます。

3 [OK] をクリックします。

4 問題が解決されたら、HIPS エンジンのダイアログ ボックスで、選択解除したエンジン

をすべて選択します。

Windows クライアント アラートユーザは、数種類のアラートに遭遇する可能性があり、アラートに対応する必要があります。

アラートには、侵入検知、ファイアウォール、スプーフィングの検出アラートなどがありま

す。ファイアウォール アラートは、クライアントがこれらの機能について学習モードになっ

ている場合のみ表示されます。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

93McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

侵入アラートへの対応IPS 保護と [ポップアップ アラートを表示する] オプションを有効にしている場合、Host

Intrusion Prevention が潜在的な攻撃を検出すると、このアラートが自動的に表示されま

す。クライアントが適応モードの場合、このアラートは、[クライアント ルールの許可] オ

プションが、イベント発生の原因となったシグネチャに対して無効にされている場合のみ表

示されます。

[侵入情報] タブには、攻撃についての説明、攻撃が発生したユーザ/クライアントのコン

ピュータ、攻撃に関連するプロセス、Host Intrusion Prevention によって攻撃が阻止され

た日付と時刻を含めて、アラートを生成した攻撃に関する詳細が表示されます。また、管理

者指定の全般的なメッセージも表示されます。

[無視] をクリックすると、イベントを無視でき、[例外の作成] をクリックすると、イベン

トに対する例外ルールを作成できます。[例外の作成] ボタンは、[クライアント ルールの許

可] オプションが、イベント発生の原因となったシグネチャに対して有効にされている場合

のみアクティブになります。

アラートがホスト IP シグネチャの結果である場合、[例外ルール] ダイアログ ボックスに

は、プロセス、ユーザ、およびシグネチャが事前入力されています。[すべてのシグネチャ]

または [すべてのプロセス] を選択できますが、両方は選択できません。例外には常にユー

ザ名が含まれます。

アラートがネットワーク IPS シグネチャの結果である場合、[例外ルール] ダイアログ ボッ

クスには、シグネチャ名およびホスト IP アドレスが事前入力されています。オプションと

して、[すべてのホスト] を選択することもできます。

また、[管理者に通知] をクリックして、イベントに関する情報を Host Intrusion Prevention

管理者に送信できます。このボタンは、適用したクライアント UI ポリシーで、[管理者に通

知することをユーザに許可する] オプションが有効になっている場合のみアクティブになり

ます。

[IPS イベントのアラートは表示しない] を選択すると、IPS イベントのアラートは表示され

ません。このオプションを選択した後、アラートを再表示するには、[オプション] ダイアロ

グ ボックスで、[ポップアップ アラートを表示する] を選択します。

注意: ファイアウォール ルールが、[ルールに一致する場合は侵入として扱う] オプションが選択されているものと一致すると、この侵入アラートはファイアウォールの侵入にも表示されます。

ファイアウォール アラートへの対応

ファイアウォール保護と学習モードを受信トラフィックまたは送信トラフィックのいずれか

で有効にしている場合、ファイアウォール アラートが表示されます。ユーザはアラートに対

応する必要があります。

[アプリケーション情報] セクションには、アプリケーション名、パス、バージョンなどを含

めて、ネットワークにアクセスしようとしているアプリケーションの情報が表示されます。

[接続情報] セクションには、トラフィック プロトコル、アドレス、およびポートに関する

情報が表示されます。

注意: アプリケーションにプロトコルまたはポートの補足情報がある場合、[接続情報] セク

ションで [前へ] ボタンと [次へ] ボタンが使用できます。複数のアラートが送信されてい

る場合には、ダイアログ ボックスの下に [前へ] ボタンと [次へ] ボタンが表示されます。

タスク

1 アラートのダイアログボックスで、次のいずれかを実行します。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)94

このトラフィックおよび類似のトラフィックをすべてブロックするには、[拒否] を

クリックします。

•

• このトラフィックおよび類似のトラフィックをすべて許可するには、[許可] をクリッ

クします。

2 オプション:新しいファイアウォール ルールのオプションを選択します。

操作...選択...

任意のポートまたはサービスにアプリケーションのト

ラフィックを許可またはブロックするルールを作成し

すべてのポートおよびサービスにファイアウォール

アプリケーション ルールを作成する

ます。このオプションを選択しない場合、新しいファ

イアウォール ルールでは特定のポートしか許可また

はブロックされません。

• 阻止されたトラフィックが 1024 未満のポートを

使用する場合、新しいルールでは、この特定のポー

トのみを許可またはブロックします。

• トラフィックが、1024 以上のポートを使用する場

合、新しいポートは 1024 から 65535 の範囲の

ポートを許可またはブロックします。

アプリケーションを閉じると削除される、一時的に許

可またはブロックするルールを作成します。このオプ

アプリケーションの終了時にこのルールを削除する

ションを選択しない場合、新しいファイアウォール

ルールは恒常的なクライアント ルールとして作成さ

れます。

Host Intrusion Prevention は、選択されたオプションに基づいて新しいファイアウォー

ルを作成し、ファイアウォール ルール ポリシー リストに追加して、類似トラフィック

を自動的に許可またはブロックします。

スプーフィング検出アラートへの対応ファイアウォール保護を有効にした場合、Host Intrusion Prevention がコンピュータ上で

偽装されたネットワーク トラフィックを送信するアプリケーションを検出すると、スプー

フィング アラートが自動的に表示されます。ユーザはこのアラートに対応する必要はありま

せん。

これは、使用中のコンピュータからのトラフィックが、異なるコンピュータから実際に到着

しているように、そのアプリケーションが見せかけようとしていることを意味します。これ

は、送信パケット内の IP アドレスを変更することによって行われます。スプーフィングは

疑わしい動作です。このダイアログ ボックスが表示された場合、偽装されたトラフィックを

送信しているアプリケーションを直ちに調査してください。

注意: [スプーフィング検出アラート] ダイアログ ボックスは、[ポップアップ アラートを表示する] オプションを選択している場合のみ表示されます。このオプションを選択していない場合、偽造されたトラフィックは Host Intrusion Prevention によって自動的にブロックされますが、ユーザへの通知は行われません。

[スプーフィング検出アラート] ダイアログ ボックスは、ファイアウォール機能の学習モー

ドのアラートとよく似ています。[アプリケーション情報] と [接続情報] の 2 つの領域に、

阻止したトラフィックに関する情報が表示されます。

[アプリケーション情報] セクションには次の情報が表示されます。

• トラフィックの送信元として偽装された IP アドレス

• 偽装されたトラフィックを生成したプログラムの情報

• Host Intrusion Prevention によってトラフィックが阻止された日付と時刻

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

95McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

[接続情報] セクションには、さらに詳しいネットワーク情報が表示されます。特に、[ロー

カル アドレス] にはアプリケーションが偽装している IP アドレスが表示され、[リモート

アドレス] には実際の IP アドレスが表示されます。

Host Intrusion Prevention は、偽装されたネットワーク トラフィックを検出すると、トラ

フィックとそれを生成したアプリケーションの両方をブロックします。

[IPS ポリシー] タブについて[IPS ポリシー] タブを使用して、シグネチャと動作ルールに基づいて侵入攻撃からホストを

保護する IPS 機能を設定できます。このタブからは、機能を有効または無効にして、クライ

アント例外ルールを設定することができます。IPS ポリシーの詳細については、「IPS ポリシーの設定」を参照してください。

[IPS ポリシー] タブには、クライアントに関連する例外ルールが表示され、各ルールのサマ

リと詳細な情報が示されます。

表 15: [IPS ポリシー] タブ

表示される内容列名

例外の名前。例外

それに対して例外が作成されるシグネチャの名前。シグネチャ

このルールが適用されるアプリケーションの名前 (プログラムの名前や実行可能ファイルの名前を含む)。

アプリケーション

IPS ポリシー オプションのカスタマイズ

タブの最上部にあるオプションを使用すると、クライアントのインターフェースのロックが

解除された後は、サーバ側の IPS ポリシーによって提供される設定を制御できます。

タスク

1 Host IPS クライアント コンソールで、[IPS ポリシー] タブをクリックします。

2 必要に応じて、オプションを選択および選択解除します。

操作...選択...

ホスト侵入防止保護を有効にします。Host IPS を有効にする

ネットワーク侵入防止保護を有効にします。ネットワーク IPS を有効にする

適応モードを有効にして、侵入防止シグネチャに対す

る例外を自動的に作成します。

適応モードを有効にする

設定された期間の間、ネットワークへの侵入攻撃を自

動的にブロックします。[分] フィールドに分数を指

定します。

攻撃者を自動的にブロックする

IPS ポリシー例外ルールの作成と編集

クライアントの [IPS ポリシー] タブで、IPS 例外ルールの表示、作成、編集を行います。

タスク

1 [IPS ポリシー] タブで、[追加] をクリックしてルールを追加します。

2 [例外ルール] ダイアログ ボックスで、ルールの説明を入力します。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)96

3 アプリケーション リストから、ルールが適用されるアプリケーションを選択するか、[参

照] をクリックしてアプリケーションを見つけます。

4 [例外ルールをアクティブにする] チェック ボックスをオンにしてルールをアクティブ

にします。デフォルトでは有効ではなく、選択されていない [すべてのシグネチャに例

外を適用する] を使用すると、すべてのシグネチャに例外が適用されます。

5 [OK] をクリックします。

6 他の編集操作については、次のいずれかを実行してください。

手順...操作...

ルールをダブルクリックするか、ルールを選択して

[プロパティ] をクリックします。[例外ルール] ダイ

ルールの詳細表示またはルールの編集

アログ ボックスが表示され、編集可能なルールの情

報が表示されます。

[例外ルール] ダイアログ ボックスで、[例外ルール

をアクティブにする] チェックボックスをオンまたは

ルールをアクティブまたはアクティブでない状態に設

定

オフにします。リスト内で、ルール アイコンの横に

あるチェック ボックスをオンまたはオフにすること

もできます。

ルールを選択し、[削除] をクリックします。ルールの削除

[適用] をクリックします。変更後にこのボタンをク

リックしないと、ダイアログ ボックスが開き、変更

を保存するように指示されます。

変更の即時適用

[ファイアウォール ポリシー] タブについて[ファイアウォール ポリシー] タブを使用して、ユーザが定義するルールに基づいてネット

ワーク通信を許可またはブロックするファイアウォール機能を設定します。このタブからは、

機能を有効または無効にして、クライアント ファイアウォール ルールを設定することがで

きます。ファイアウォール ポリシーの詳細については、「ファイアウォール ポリシーの設定」を参照してください。

ファイアウォール ルール リストには、クライアントに関連するルールとルール グループが

表示され、各ルールのサマリと詳細な情報が示されます。イタリック体で表示されているルー

ルは編集できません。

表 16: [ファイアウォール ポリシー] タブ

説明項目

ルールが有効 (選択) か無効 (選択解除) かを示します。イタリック体で表示されていないルールの場合、チェッ

チェックボックス

クボックスを使用してルールを有効または無効にできます。

グループに含まれているルールのリストを表示します。ルールを表示するにはプラスのボックスをクリックしまファイアウォール グループす。ルールを隠すには、マイナスのボックスをクリックします。

期限付きグループかどうかを表します。期限付きグループ

場所別グループかどうかを表します。場所別グループ

ルールの基本プロパティを表示します。プロパティを表示するにはプラスのボックスをクリックします。プロパティを隠すには、マイナスのボックスをクリックします。

ファイアウォール ルール

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

97McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

説明項目

ルールによってトラフィックが許可される のか、ブ

ロックされる のかを示します。

ルール アクション

ルールの適用対象が受信 トラフィック、送信 ト

ラフィック、または両方 かを示します。

ルールの方向

ファイアウォール ポリシー オプションのカスタマイズ

タブの最上部にあるオプションを使用すると、クライアントのインターフェースのロックが

解除された後は、サーバ側のファイアウォール ポリシーによって提供される設定を制御でき

ます。

タスク

1 Host IPS クライアント コンソールで、[ファイアウォール ポリシー] タブをクリック

します。

2 必要に応じて、オプションを選択および選択解除します。

選択...操作...

ファイアウォールを有効にするファイアウォール ポリシーによる保護を有効にする

学習モード受信有効受信トラフィックに学習モードを有効にする

学習モード送信有効送信トラフィックに学習モードを有効にする

適応モード適応モードを有効にする

信頼できるネットワーク信頼できるネットワークを表示する

ファイアウォール ルールの作成と編集

クライアントの [ファイアウォール ポリシー] で、ファイアウォール ルールの表示、作成

または編集します。

タスク

1 [ファイアウォール ポリシー] タブで、[追加] をクリックしてルールを追加します。

注意: クライアント コンソールで作成できるのはルールだけです。グループは作成でき

ません。

2 [全般] ページでルール名を入力し、ルール アクションと方向の情報を選択します。

3 [次へ] をクリックして別のページに移動し、デフォルトの設定を変更します。

注意: ルール ビルダの各ページは、ファイアウォール ルール ポリシーのファイアウォー

ル ルール ビルダに対応するタブがありません。

入力する情報...目的の操作...

ルールの名前、ステータス、アクション、方向。全般

このルールが適用される IP アドレス、サブネット、ドメインまたは他の

特定の識別子。

ネットワーク

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)98

入力する情報...目的の操作...

このルールが適用されるプロトコル、ローカルまたはリモート アドレス。

個別のアドレスを定義することも、アドレスの範囲、特定のアドレス リ

ストを定義し、これらのアドレスにアクセスできます。

トランスポート

このルールが適用されるアプリケーションの名前 (実行ファイルの名前を

含む)。

アプリケーション

ルールのスケジュール (存在する場合)スケジュール

4 [終了] をクリックして、新しいルールを保存します。

5 他の編集操作については、次のいずれかを実行してください。

手順...操作...

ルールを選択し、[プロパティ] をクリックします。ファイアウォール ルール

ビルダのダイアログボックスが開き、ルールに関する情報が表示されます。こ

の機能がイタリック体で表示されていなければ、編集できます。

ルールの詳細表示またはルー

ルの編集

ファイアウォール ルールの [全般] ページで「有効」の横にあるチェックボッ

クスを選択または選択をクリアします。リスト内で、ルールの横にあるチェッ

ク ボックスをオンまたはオフにすることもできます。

ルールをアクティブまたはア

クティブでない状態に設定

ルールを選択します。有効なデフォルト ルールを設定し、[複製] をクリック

します。

既存ルールのコピーの作成

ルールを選択し、[削除] をクリックします。ルールの削除

[適用] をクリックします。変更後にこのボタンをクリックしないと、ダイア

ログ ボックスが開き、変更を保存するように指示されます。

変更の即時適用

[ブロックされたホスト] タブについて[ブロックされたホスト] タブを使用して、ネットワーク IPS (NIPS) による保護が有効にさ

れると自動的に作成される、ブロックされたホスト (IP アドレス) のリストを監視します。

ePolicy Orchestrator コンソールの IPS オプション ポリシーで、[クライアント ルールを

作成する] が選択されている場合は、ブロックされたホストのリストへの追加と編集が可能

です。

ブロックされたホストのリストには、Host Intrusion Prevention によって現在ブロックさ

れているすべてのホストが表示されます。各行が 1 つのホストを表しています。各列の情報

を読むと、個々のホストについてさらに詳細な情報を入手できます。

表 17: [ブロックされたホスト] タブ

表示される内容列

Host Intrusion Prevention によってブロックされている IP アドレス。

ソース

このアドレスが Host Intrusion Prevention によってブロックされている理由の説明。

システムに攻撃を試みたことが理由で、このアドレスがリストに追加された場合は、この列に攻撃の種類が

ブロックされた理由

示されます。ファイアウォール ルールの 1 つが、[ルー

ルに一致する場合は侵入として扱う] オプションを使用しているためにこのアドレスが追加された場合、この列には、関連するファイアウォール ルールの名前が示されます。このアドレスをユーザが手動で追加した場合、この列にはユーザがブロックした IP アドレスだけが示されます。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

99McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

表示される内容列

ブロックされたアドレスのリストに、このアドレスを追加した日付と時刻。

時間

Host Intrusion Prevention でこのアドレスのブロックを続ける時間。

アドレスをブロックしたときに有効期限を指定した場合、この列には、Host Intrusion Prevention によっ

残り時間

てリストからアドレスが削除されるまでの残り時間(分) が表示されます。リストから手動で削除するまでこのアドレスをブロックすることを指定した場合、この列には [削除されるまで] と表示されます。

[ブロックされたホスト] リストの編集ブロックされたアドレスのリストを編集し、ブロックされるホストの追加、削除または変更

を行います。

タスク

1 [追加] をクリックしてホストを追加します。

2 [ブロックされたホスト] ダイアログ ボックスで、ブロックする IP アドレスを入力し

ます。ドメイン名で IPS アドレスを検索するには、[DNS 参照] をクリックします。ホ

スト名が見つかった場合には、[使用] をクリックします。

3 IP アドレスをブロックする分数 (最大 60 分まで) を入力します。

4 [OK] をクリックします。

注意: ブロックされたアドレスを作成すると、Host Intrusion Prevention によって、

[アプリケーション保護] タブのリストに新しいエントリが追加されます。ブロックされ

たアドレスのリストからその IP アドレスを削除するか、設定した時間が経過するまで、

その IP アドレスから試みられるすべての通信がブロックされます。

5 他の編集操作については、次のいずれかを実行してください。

手順...操作...

ホストの項目をダブルクリックするか、ホストを選択

して [プロパティ] をクリックします。[ブロックさ

ブロックされたホストの詳細表示またはブロックされ

たホストの編集

れたホスト] ダイアログ ボックスに編集可能な情報

が表示されます。

ホストを選択し、[削除] をクリックします。ブロックされたホストの削除

[適用] をクリックします。変更後にこのボタンをク

リックしないと、ダイアログ ボックスが開き、変更

を保存するように指示されます。

変更の即時適用

[アプリケーション保護リスト] タブについて[アプリケーション保護リスト] タブには、クライアントで保護されているアプリケーション

のリストが表示されます。これは、管理ポリシーおよびヒューリスティックに作成した特定

クライアントのためのアプリケーション リストからデータが格納される表示専用のリストで

す。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)100

このリストには、クライアントにある監視されているすべてのプロセスが表示されます。

表 18: [アプリケーション保護] タブ

表示される内容列

アプリケーション プロセス。プロセス

プロセス ID。プロセスのキャッシュ参照用のキーです。PID

アプリケーション実行ファイルの完全なパス名。アプリケーションの完全なパス

[アクティビティ ログ] タブについて[アクティビティ ログ] タブを使用して、ロギング機能を設定し、Host Intrusion Prevention

のアクションを追跡します。

アクティビティ ログには、動作の継続的なログが含まれています。最新の動作がリストの最

下部に表示されます。

表示される内容列

Host Intrusion Prevention のアクションの日付と時刻。時間

アクションを実行した機能。イベント

• [トラフィック] はファイアウォールのアクションを示しています。

• [アプリケーション] はアプリケーション ブロックのアクションを示

しています。

• [侵入] は IPS のアクションを示しています。

• [システム] は、ソフトウェアの内部コンポーネントに関連するイベン

トを示しています。

• [サービス] は、ソフトウェアのサービスまたはドライバに関連するイ

ベントを示しています。

この通信の送信先、または発信元のリモート アドレス。IP アドレス/ユーザ

Host Intrusion Prevention で、この攻撃に関連するパケット データが保存されたことを示すアイコン (IPS ログ項目にのみ表示されます)。こ

侵入データ

のログ項目に関連付けられているパケット データをエクスポートできます。ログ項目を右クリックし、Sniffer ファイルにデータを保存します。

注意: この列は、[McAfee オプション] ダイアログ ボックスで [Sniffer

Capture の作成...] オプションを選択した場合のみ表示されます。

アクションの原因となったアプリケーション。アプリケーション

アクションの説明。可能な限りの詳細が示されます。メッセージ

一致したルールの名前

注意: この列は画面の右側にあります。この列とコンテンツを表示するには、スクロールするか、列のサイズを変更する必要があります。

一致したルール

アクティビティ ログ オプションのカスタマイズ

タブの最上部にあるオプションを使用すると、クライアントのインターフェースのロックが

解除された後は、サーバ側のクライアント UI ポリシーによって提供されるロギング設定を

制御できます。

タスク

1 Host IPS クライアント コンソールで、[アクティビティ ログ] タブをクリックします。

Host Intrusion Prevention クライアントの作業Windows クライアントの概要

101McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

2 必要に応じて、オプションを選択および選択解除します。

操作...選択...

ブロックされたファイアウォール トラフィックをす

べてログに記録します。

トラフィック ロギング － ブロックされたものをす

べてログに記録する

許可されたファイアウォール トラフィックをすべて

ログに記録します。

トラフィック ロギング － 許可されたものをすべて

ログに記録する

データにフィルタを適用し、ブロックされたファイア

ウォール トラフィックや許可されたファイアウォー

ル トラフィックを表示します。

フィルタ オプション － トラフィック

データにフィルタを適用し、侵入を表示します。フィルタ オプション － 侵入

注意: ファイアウォール トラフィックのロギングは有効または無効にすることが可能で

すが、IPS 機能のロギングは有効と無効を切り替えられません。ただし、これらのイベ

ントをフィルタで除外し、ログで非表示にすることはできます。

3 以下の操作を実行して表示を変更します。

手順...操作...

[更新] をクリックします。表示を更新

[クリア] をクリックします。ログの内容を完全に削除する

[エクスポート] をクリックします。表示されたダイアロ

グ ボックスで、.txt ファイルに名前を付けて保存しま

す。

ログの内容を保存してタブからリストを削除する

[適用] をクリックします。変更後にこのボタンをクリッ

クしないと、ダイアログ ボックスが開き、変更を保存す

るように指示されます。

変更の即時適用

Solaris クライアントの概要Host Intrusion Prevention Solaris クライアントは、Solaris サーバのファイルやアプリ

ケーションに対する侵入の危険性を特定して防止します。サーバのオペレーティング システ

ム、Apache Web サーバ、および Sun Web サーバを、特にバッファ オーバフロー攻撃から保

護します。

Solaris クライアントでのポリシーの実施Windows クライアントを保護するポリシーのすべてを、Solaris クライアントで使用できる

わけではありません。Host Intrusion Prevention は、危険な攻撃からホスト サーバを保護

しますが、ファイアウォールは提供しません。有効なポリシーは次のとおりです。

表 19: Solaris クライアントのポリシー

使用可能なオプションポリシー

Host Intrusion Prevention 8.0 IPS

IPS オプション • HIPS を有効にする

• 適応モードを有効にする

• 既存のクライアント ルールを保持する

すべてIPS 保護

Host Intrusion Prevention クライアントの作業Solaris クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)102

使用可能なオプションポリシー

IPS ルール • 例外ルール

• シグネチャ (デフォルトとカスタム HIPS ルールの

み)

注意: NIPS シグネチャとアプリケーション保護ルールは

使用できません。

Host Intrusion Prevention 8.0 全般

トラブルシューティング ツールで使用する管理者パス

ワードまたは期限付きパスワードのみ。

クライアント UI

なし信頼できるネットワーク

信頼できるアプリケーションを追加するための [IPS で

信頼できると設定] および [新しいプロセス名] のみ。

信頼できるアプリケーション

なしHost Intrusion Prevention 8.0 ファイアウォール

Solaris クライアントのトラブルシューティングクライアントのインストール時やアンインストール時に問題が発生した場合、調査する点が

いくつかあります。すべての必要なファイルが正しいディレクトリにインストールされたか

どうかの確認、クライアントのアンインストールと再インストール、プロセス ログの確認な

どです。また、クライアントの操作で問題が見つかる場合もあります。このような場合には、

クライアントが実行されているかどうかを確認し、クライアントをいったん停止して再起動

します。

Solaris クライアントには、操作上の問題のトラブルシューティングを行うユーザ インター

フェースがありません。コマンド ラインのトラブルシューティング ツール hipts が提供さ

れており、/opt/McAfee/hip ディレクトリ内にあります。このツールを使用するには、Host

Intrusion Prevention クライアント パスワードを入力する必要があります。クライアント

に付属しているデフォルトのパスワード (abcde12345) を使用するか、クライアント UI ポ

リシーに管理者パスワードまたは時間ベースのパスワードのいずれかを設定してクライアン

トに送信し、このパスワードを使用します。

トラブルシューティング ツールは、次のことに使用します。

• クライアントのロギングの設定とエンジン ステータスを指定します。

• メッセージのロギングのオン/オフを切り替えます。

• エンジンのオン/オフを切り替えます。

root としてログオンし、次のコマンドを実行すると、トラブルシューティングに役立ちま

す。

実行...操作...

hipts statusクライアントの現在のステータスを取得し、有効なロギングの種類と実行中のエンジンを確認します。

hipts logging on特定のメッセージの種類に対してロギングをオンにします。

hipts logging offすべてのメッセージの種類に対してロギングをオフにします。デフォルトでは、ロギングがオフにされています。

hipts message <メッセージ名>:onロギングがオンに設定されている場合に、指定したメッセージの種類を表示します。次のようなメッセージがあります。

• エラー

Host Intrusion Prevention クライアントの作業Solaris クライアントの概要

103McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

実行...操作...

• 警告

• デバッグ

• 情報

• 違反

hipts message <メッセージ名>:offログ記録がオンに設定されている場合に、指定したメッセージの種類を非表示にします。デフォルトではメッセージ エラーがオフにされています。

hipts message all:onロギングがオンに設定されている場合に、すべてのメッセージの種類を表示します。

hipts message all:offロギングがオンに設定されている場合に、すべてのメッセージの種類を非表示にします。

hipts engines <エンジン名>:on指定したエンジンをオンにします。デフォルトではエンジンがオンにされています。次のようなエンジンがあります。

• MISC

• FILES

• GUID

• MMAP

• BO

• HTTP

hipts engines <エンジン名>:off指定したエンジンをオフにします。

hipts engines all:onすべてのエンジンをオンにします。

hipts engines all:offすべてのエンジンをオフにします。

ヒント: 操作の検証や問題の追跡には、トラブルシューティング ツールを使用するほか、/opt/McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイルも参照してください。

Solaris インストール ファイルの確認

インストール後、すべてのファイルがクライアント上の適切なディレクトリにインストール

されていることを確認してください。/opt/McAfee/hip ディレクトリに、次のファイルとディ

レクトリが存在している必要があります。

説明ファイル名/ディレクトリ名

Solaris クライアントHipClient; HipClient-bin

ポリシー ルールHipClientPolicy.xml

トラブルシューティング ツールhipts; hipts-bin

Host Intrusion Prevention と McAfee Agent の共有オブジェクト

モジュール

*.so

デバッグ ログ ファイルとエラー ログ ファイルが保存されるディ

レクトリ

log ディレクトリ

インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion

Prevention クライアントのインストール プロセスまたは削除プロセスについて疑問点があ

る場合には、このファイルを参照してください。

Host Intrusion Prevention クライアントの作業Solaris クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)104

Solaris クライアントの実行状況の確認

クライアントが正しくインストールされていても、操作時に問題が発生する場合があります。

たとえば、ePO コンソールにクライアントが表示されない場合は、次のいずれかのコマンド

を使用して、クライアントが実行されているかどうかを確認してください。

• /etc/rc2.d/S99hip status

• ps –ef | grep Hip

Solaris クライアントの停止

トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 実行中のクライアントを停止するには、まず IPS 保護を無効にします。次のいずれかの

操作を実行します。

• ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア

ントに適用します。

• root でログインし、hipts engines MISC:off コマンドを実行します。

2 /sbin/rc2.d/S99hip stop コマンドを実行します。

Solaris クライアントの再起動

トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 /sbin/rc2.d/S99hip restart コマンドを実行します。

2 IPS 保護を有効にします。クライアントの停止に使用した手順に応じて、次のいずれか

を実行します。

• ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア

ントに適用します。

• root でログインし、hipts engines MISC:on コマンドを実行します。

Linux クライアントの概要Host Intrusion Prevention Linux クライアントは、Linux サーバのファイルやアプリケー

ションに対する侵入の危険性を特定して防止します。サーバのオペレーティング システムと

Apache Web サーバを、特にバッファ オーバフロー攻撃から保護します。

Linux クライアントでのポリシーの実施Windows クライアントを保護するポリシーのすべてを、Linux クライアントで使用できるわ

けではありません。Host Intrusion Prevention は危険な攻撃からホスト サーバを保護でき

Host Intrusion Prevention クライアントの作業Linux クライアントの概要

105McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ても、バッファ オーバーフローなど、ネットワーク侵入の防止まではできません。有効なポ

リシーは次のとおりです。

表 20: Linux クライアント ポリシー

使用可能なオプションポリシー

Host Intrusion Prevention 8.0 IPS

IPS オプション • HIPS を有効にする

• 適応モードを有効にする

• 既存のクライアント ルールを保持する

すべてIPS 保護

IPS ルール • 例外ルール

• シグネチャ (デフォルトとカスタム HIPS ルールの

み)

注意: NIPS シグネチャとアプリケーション保護ルールは

使用できません。

Host Intrusion Prevention 8.0 全般

トラブルシューティング ツールで使用する管理者パス

ワードまたは期限付きパスワードのみ。

クライアント UI

なし信頼できるネットワーク

信頼できるアプリケーションを追加するための [IPS で

信頼できると設定] および [新しいプロセス名] のみ。

信頼できるアプリケーション

なしHost Intrusion Prevention 8.0 ファイアウォール

Linux クライアントについての注意事項• Host IPS 8.0 Linux クライアントは、施行モードの SELinux と互換性がありません。施

行モードを無効にするには、system-config-securitylevel コマンドを実行して、設定を無

効に変更し、クライアント システムを再起動します。

• Host IPS 8.0 Linux カーネル モジュールが読み込まれると、SUSE カーネルは感染して

いると報告されます。カーネル ログで「schook: module not supported by Novell,setting U taint flag; hipsec: module not supported by Novell, setting U taintflag」のフラグを確認します。他社製モジュールの Novell 要件のため、Host IPS カー

ネルが感染しているとマークされます。Host IPS 8.0 カーネルのモジュールは GPL ライ

センスで提供されるため、このメッセージは無視してください。McAfee は現在、Novell

と協力してこの問題の解決を取り組んでいます。

Linux クライアントのトラブルシューティングクライアントのインストール時やアンインストール時に問題が発生した場合、調査する点が

いくつかあります。すべての必要なファイルが正しいディレクトリにインストールされたか

どうかの確認、クライアントのアンインストールと再インストール、プロセス ログの確認な

どです。また、クライアントの操作で問題が見つかる場合もあります。このような場合には、

クライアントが実行されているかどうかを確認し、クライアントをいったん停止して再起動

します。

Linux クライアントには、操作上の問題のトラブルシューティングを行うユーザ インター

フェースがありません。コマンド ラインのトラブルシューティング ツール hipts が提供さ

れており、opt/McAfee/hip ディレクトリ内にあります。このツールを使用するには、Host

Host Intrusion Prevention クライアントの作業Linux クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)106

Intrusion Prevention クライアント パスワードを入力する必要があります。クライアント

に付属しているデフォルトのパスワード (abcde12345) を使用するか、クライアント UI ポ

リシーに管理者パスワードまたは時間ベースのパスワードのいずれかを設定してクライアン

トに送信し、このパスワードを使用します。

トラブルシューティング ツールは、次のことに使用します。

• クライアントのロギングの設定とエンジン ステータスを指定します。

• メッセージのロギングのオン/オフを切り替えます。

• エンジンのオン/オフを切り替えます。

root としてログオンし、次のコマンドを実行すると、トラブルシューティングに役立ちま

す。

実行...操作...

hipts statusクライアントの現在のステータスを取得し、有効なロギングの種類と実行中のエンジンを確認します。

hipts logging on特定のメッセージの種類に対してロギングをオンにします。

hipts logging offすべてのメッセージの種類に対してロギングをオフにします。デフォルトでは、ロギングがオフにされています。

hipts message <メッセージ名>:onロギングがオンに設定されている場合に、指定したメッセージの種類を表示します。次のようなメッセージがあります。

• エラー

• 警告

• デバッグ

• 情報

• 違反

hipts message <メッセージ名>:offログ記録がオンに設定されている場合に、指定したメッセージの種類を非表示にします。デフォルトではメッセージ エラーがオフにされています。

hipts message all:onロギングがオンに設定されている場合に、すべてのメッセージの種類を表示します。

hipts message all:offロギングがオンに設定されている場合に、すべてのメッセージの種類を非表示にします。

hipts engines <エンジン名>:on指定したエンジンをオンにします。デフォルトではエンジンがオンにされています。次のようなエンジンがあります。

• MISC

• FILES

• HTTP

hipts engines <エンジン名>:off指定したエンジンをオフにします。

hipts engines all:onすべてのエンジンをオンにします。

hipts engines all:offすべてのエンジンをオフにします。

ヒント: 操作の検証や問題の追跡には、トラブルシューティング ツールを使用するほか、McAfee/hip/log ディレクトリにある HIPShield.log ファイルと HIPClient.log ファイルも参照してください。

Host Intrusion Prevention クライアントの作業Linux クライアントの概要

107McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Linux インストール ファイルの確認

インストールの後、すべてのファイルがクライアント上の適切なディレクトリにインストー

ルされたことを確認してください。opt/McAfee/hip ディレクトリに、次の重要なファイルと

ディレクトリが含まれている必要があります。

説明ファイル名

Linux クライアントHipClient; HipClient-bin

ポリシー ルールHipClientPolicy.xml

トラブルシューティング ツールhipts; hipts-bin

Host Intrusion Prevention と McAfee Agent の共有オブジェクト

モジュール

*.so

デバッグ ログ ファイルとエラー ログ ファイルが保存されるディ

レクトリ

log ディレクトリ

インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion

Prevention クライアントのインストール プロセスまたは削除プロセスについて疑問点があ

る場合には、このファイルを参照してください。

Linux クライアントが実行されているかどうかの確認たとえば、ePO コンソールにクライアントが表示されない場合は、クライアントが実行され

ているかどうかを確認してください。次のコマンドを実行します。

ps –ef | grep Hip

Linux クライアントの停止

トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 クライアントを停止するには、IPS 保護を無効にします。次のいずれかの操作を実行し

ます。

• ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア

ントに適用します。

• hipts engines MISC:off コマンドを実行します。

2 hipts agent off コマンドを実行します。

Linux クライアントの再起動

トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 hipts agent on コマンドを実行します。

2 IPS 保護を有効にします。クライアントの停止に使用した手順に応じて、次のいずれか

を実行します。

Host Intrusion Prevention クライアントの作業Linux クライアントの概要

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)108

• ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア

ントに適用します。

• hipts engines MISC:on コマンドを実行します。

Host Intrusion Prevention クライアントの作業Linux クライアントの概要

109McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

付録 A － カスタム シグネチャと例外の作成

このセクションでは、クラス、パラメータ、ディレクティブなど、IPS シグネチャの構造に

ついて説明します。また、クライアント プラットフォーム用にカスタム シグネチャを作成

する方法についても説明します。この情報は、例外の詳細ページでも使用できます。

目次

ルールの構造

Windows のカスタム シグネチャ

Windows 以外のカスタム シグネチャ

ルールの構造どのシグネチャにも、ANSI Tool Command Language (TCL) 構文で記述されたルールが 1 つ

以上含まれています。各ルールには、必須およびオプションのセクションが含まれ、1 行あ

たり 1 つのセクションになっています。オプションのセクションは、オペレーティング シ

ステムとルールのクラスによって異なります。各セクションでは、ルールのカテゴリとその

値を定義します。1 つのセクションでは必ずルールのクラスを識別します。このクラスによ

り、ルールの全般的な動作が定義されます。

ルールの基本的な構造は次のとおりです。

Rule {

SectionA value

SectionB value

SectionC value

...

}

注意: カスタム ルールを作成する前に、TCL の記述文字列とエスケープ シーケンスの構文を確認してください。TCL の標準リファレンスに目を通すことにより、適切な値を正しく入力できます。

http 要求クエリ内に "subject" がある要求が Web サーバに送信されないようにするルール

は、次の形式になります。

Rule {

Class Isapi

Id 4001

level 4

query { Include *subject* }

method { Include GET }

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)110

time { Include * }

Executable { Include * }

user_name { Include * }

directives isapi:request

}

セクションと値については、「Windows カスタム シグネチャ」と「Windows 以外のカスタムシグネチャ」を参照してください。

共通セクションルールの共通セクションとその値には下に示すアイテムが含まれます。選択したクラスに関

連するセクションについては、Windows または Windows 以外のカスタム シグネチャのクラ

ス セクションを参照してください。キーワード Include と Exclude は、tag、Id、level、

directives を除くすべてのセクションで使用されます。Include は、指定した値に対してそ

のセクションが作用することを意味し、Exclude は、指定したもの以外のすべての値に対し

てそのセクションが作用することを意味します。

注意: すべてのプラットフォームですべてのセクション名は大文字と小文字が区別されます。

セクションの値は、Windows 以外のプラットフォームの場合にのみ大文字と小文字が区別さ

れます。

説明値セクション

「Windows カスタム シグネチャ」または

「Windows 以外のカスタム シグネチャ」を参照

してください。

オペレーティング システムに

よって異なります。このルール

の適用対象になるクラスを指定

します。

クラス

サブルール名。引用符で囲まれたルール名

("...")

tag

シグネチャの一意の ID 番号。この番号は、カ

スタム ルールで使用できる番号です。

4000 - 5999Id

シグネチャの重大度

0 = 無効

0

1

level

1 = ログ2

2 = 低3

3 = 中4

4 = 高

ルールの適用対象になるユーザ。特定のユーザ

またはすべてのユーザを指定します。

{ユーザの名前またはシステム

アカウントを追加/除外}

user_name

Windows での注意:

• ローカル ユーザの場合:<machine

name>/<local user name> の形式を使用し

ます。

• ドメイン ユーザの場合:<domain

name>/<domain user name> の形式を使用

します。

• ローカル システムの場合:Local/System

を使用します。

• リモートから開始されたアクションの一部

は、リモート ユーザの ID を報告しませ

んが、ローカル サービスとそのユーザ コ

付録 A － カスタム シグネチャと例外の作成ルールの構造

111McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

説明値セクション

ンテキストが代わりに使用されます。ルー

ルの開発時には、それに応じて計画する必

要があります。プロセスが Null セッショ

ンのコンテキストで発生した場合、ユーザ

とドメインは匿名です。すべてのユーザに

ルールを適用する場合は、* を使用しま

す。UNIX では、このセクションで大文字

と小文字が区別されます。

実行ファイルは括弧に囲んで指定し、-path、

-hash、-sdn、-desc を使用します。各セクショ

{ファイル名のパス、フィンガー

プリント、署名者または説明を

追加/除外します。}

実行ファイル

ンで複数の括弧を使用できます。括弧の中に

1 つ以上のオプションを指定できます。-path

(ファイル パス名)、-sdn (ファイルの署名

者)、-desc (ファイルの説明) 値は文字列で、

スペースや他の TCL 予約文字を入れる場合に

は TCL でエスケープする必要があります。

-hash (MD5 ハッシュ) 値は 32 文字の hexbin

文字列です。

例:Executable {Include -path "C:\\Program

Files\\McAfee\\VirusScan

Enterprise\\Mcshield.exe" -sdn

"CN=\"mcafee,inc.\", OU=iss, OU=digital id

class 3 - microsoft software validation

v2, O=\"mcafee, inc.\", L=santa clara,

ST=california, C=us" -desc "On-Access

Scanner service"}

すべての実行ファイルにルールを適用する場合

は、* を使用します。UNIX では、このセクショ

ンで大文字と小文字が区別されます。

操作の種類はクラスによって異なります。後の

セクションで、各クラスの操作の種類を示しま

す。

操作の種類directives

注意: 1 つのルールの後に別のルールを追加し、複数のルールがあるシグネチャを作成する

ことができます。同じシグネチャ内に含める各ルールの id セクションおよび level セク

ションは、同じ値である必要があります。

Include と Exclude の使用

セクションの値を Include として設定した場合、そのセクションは指定した値に対して作用

し、Exclude として設定した場合、そのセクションは指定したもの以外のすべての値に対し

て作用します。これらのキーワードを使用する場合、括弧 { ... } で囲みます。

注意: 標準サブルールでは、ファイル パスに 1 つのバックスラッシュを使用します。エキ

スパート サブルールでは、ファイル パスに二重のバックスラッシュを使用します。標準サ

ブルールでは、単一のスラッシュが二重スラッシュに変換されます。エキスパート サブルー

ルでは変換は実行されません。

たとえば、C:\test\ にあるすべてのテキスト ファイルを監視するには、次のように記述し

ます。

files { Include C:\\test\\*.txt }

C:\test\ にあるテキスト ファイル以外のすべてのファイルを監視するには、次のように記

述します。

files { Exclude C:\\test\\*.txt }

付録 A － カスタム シグネチャと例外の作成ルールの構造

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)112

含めた値のセットから特定の値を除外するには、キーワードを組み合わせます。C:\test\

フォルダで、abc.txt 以外のテキスト ファイルをすべて監視するには、次のように記述しま

す。

files { Include C:\\test\\*.txt }

files { Exclude C:\\test\\abc.txt }

同じキーワードを持つ同じセクションを追加するたびに、操作が追加されます。C:\test\

フォルダで、名前が "abc" という文字列で始まるすべてのテキスト ファイルを監視するに

は、次のように記述します。

files { Include C:\\test\\*.txt }

files { Include C:\\test\\abc* }

注意: include よりも exclude の方が優先されます。3 つの例を示します。

• 単一のサブルールに特定のユーザ marketing\jjohns を追加し、同じユーザ

marketing\jjohns を除外すると、ユーザ marketing\jjohns がシグネチャを生成するア

クションを実行しても、シグネチャは生成されません。

• サブルールにすべてのユーザを追加し、特定のユーザ marketing\jjohns を除外すると、

ユーザが marketing\jjohns でなくてもシグネチャが生成されます。

• サブルールにユーザ marketing\* を追加し、marketing\jjohns を除外すると、ユーザが

marketing\jjohns でない限り (この場合、トリガーされません)、ユーザが

marketing\anyone の場合にのみシグネチャが生成されます。

オプションの共通セクションルールのオプションの共通セクションとその値には、下に示す項目が含まれます。選択した

クラスに関連するオプション セクションについては、Windows または Windows 以外のカス

タム シグネチャのクラス セクションを参照してください。キーワードの Include と Excludeは、dependencies と attributes の両方のセクションで使用されます。Include は、指定し

た値に対してそのセクションが作用することを意味し、Exclude は、指定したもの以外のす

べての値に対してそのセクションが作用することを意味します。

説明値セクション

ルール間の依存関係を定義し、依存するルール

が呼び出されないようにします。

{Include/Exclude “ルールの

ID”}

dependencies

シグネチャのイベントは ePO サーバに送信され

ません。

－no_logattributes

適応モードが適用されている場合に、シグネチャ

の例外を生成しません。

－not_auditable

信頼できるアプリケーション リストはこのシグ

ネチャに適用されません。

－no_trusted_apps

シグネチャは無効です。－inactive

dependencies セクションの使用

より限定的なルールと一緒に一般的なルールが呼び出されないようにするには、オプション

のセクションである dependencies を追加します。たとえば、C:\test\ 内の 1 つのテキス

ト ファイルを監視する、次のルールがあるとします。

files { Include C:\\test\\abc.txt }

また、C:\test\ にあるすべてのテキスト ファイルを監視する、次のルールもあるとします。

付録 A － カスタム シグネチャと例外の作成ルールの構造

113McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

files { Include C:\\test\\*.txt }

より限定的なルールに dependencies のセクションを追加し、限定的なルールが呼び出され

た場合は、基本的に一般的なルールは呼び出さないように指定します。

files { Include C:\\test\\abc.txt }

dependencies “the general rule”

ワイルドカードと変数指定可能なセクションでは、ワイルドカード、メタシンボル、および定義済み変数を値とし

て使用できます。

ワイルドカード

セクションの値には、ワイルドカードを使用できます。パスとアドレスではアスタリスクの

使い方が若干異なります。通常はスラッシュまたはバックスラッシュを使用する場所にこれ

らの文字を使用します。シグネチャのエキスパート サブルールでは、TCL ワイルドカードを

使用します。

表 21: ワイルドカード

意味文字

1 つの文字。? (疑問符)

/ と \ を含む複数の文字。

注意: パスとアドレスの場合、** (2 つのアスタリス

ク) を使用して / と \ を追加します。* (1 つのアス

タリスク) を使用して / と \ を除外します。

* (1 つのアスタリスク)

ワイルドカードのエスケープ。| (パイプ)

表 22: TCL ワイルドカード

意味文字

1 つの文字。? (疑問符)

/ と \ を含む複数の文字。例:files { Include

“C:\*.txt” ” }

* (1 つのアスタリスク)

/ と \ を除く複数の文字。サブフォルダではなく、フォ

ルダのルート レベルの内容と一致させるために使用しま

す。例：files { Include “C:\test\\&.txt” }

& (アンパサンド)

ワイルドカードのエスケープ。例:files { Include

“C:\test\\yahoo!.txt” }

! ! (感嘆符)

環境変数の使用

環境変数は、Windows のファイルおよびディレクトリのパス名を指定する省略表現として使

用します。iEnv コマンド では、1 つのパラメータ (変数名) を使用して、角括弧 [ ... ]

で囲みます。

意味環境変数

C:\winnt\ を表します。C は Windows システム フォル

ダを格納しているドライブです。例:files {Include

[iEnv SystemRoot]\\system32\\abc.txt }

iEnv SystemRoot

付録 A － カスタム シグネチャと例外の作成ルールの構造

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)114

意味環境変数

C:\ を表します。C は Windows システム フォルダを格

納しているドライブです。例:files {Include [iEnv

SystemDrive]\\system32\\abc.txt}

iEnv SystemDrive

定義済み変数の使用

Host Intrusion Prevention には、ルール記述用の定義済みの変数が用意されています。$

で始まるこれらの変数を、以下のリストに示します。

表 23: Windows IIS Web サーバ

説明変数

inetinfo.exe があるディレクトリIIS_BinDir

IIS が実行されているコンピュータの名前IIS_Computer

IIS がアクセスを許可されているすべてのファイルを含

むエンベロープ

IIS_Envelope

ファイルの実行を可能にする、システム ルートと IIS

ルートを含む仮想ディレクトリ

IIS_Exe_Dirs

FTP サイトのルート ディレクトリIIS_Ftp_Dir

ローカルの FTP 匿名ユーザ アカウント名IIS_FTP_USR

FTP ログ ファイルのディレクトリIIS_FtpLogDir

ローカルの Web 匿名ユーザ アカウント名IIS_IUSR

ドメインの Web 匿名ユーザ アカウント名IIS_IUSRD

IIS Web アプリケーション管理者のユーザ アカウント名IIS_IWAM

Web ログ ファイルのディレクトリIIS_LogFileDir

すべての IIS 仮想ディレクトリIIS_LVirt_Root

IIS リソースに対するアクセス権を持つプロセスIIS_Processes

IIS の正しい動作に必要なすべてのサービスIIS_Services

表 24: MS SQL データベース サーバ

説明変数

アクセス可能なディレクトリ (\WINNT や

\WINNT\System32 など)

MSSQL_Allowed_Access_Paths

実行可能なディレクトリ (\WINNT や \WINNT\System32

など)

MSSQL_Allowed_Execution_Paths

変更可能なディレクトリ (\WINNT\Temp など)MSSQL_Allowed_Modification_Paths

システムで検出された補助的な MS SQL サービスMSSQL_Auxiliary_Services

システムで検出された MS SQL コア サービスMSSQL_Core_Services

MS SQL に関連付けられており、MSSQL_DataRoot_Path

ディレクトリの外に置かれている可能性がある他のすべ

てのデータ ファイル

MSSQL_Data_Paths

各インスタンスでの MS SQL データ ファイルへのパスMSSQL_DataRoot_Paths

インストールされている各 MS SQL インスタンスの名前MSSQL_Instances

付録 A － カスタム シグネチャと例外の作成ルールの構造

115McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

説明変数

MS SQL に関連付けられているすべてのレジストリの場所MSSQL_Registry_Paths

表 25: Unix Apache および iPlanet

説明変数

Apache バイナリへのパスUAPACHE_Bins

CGI ルートへのパスUAPACHE_CgiRoots

Apache 設定ファイルを含むディレクトリUAPACHE_ConfDirs

ドキュメント ルートへのパスUAPACHE_DocRoots

Apache ログ ファイルUAPACHE_Logs

ログ ファイルのディレクトリUAPACHE_Logs_dir

Apache Web ルートUAPACHE_Roots

Apache の実行ユーザUAPACHE_Users

仮想サーバの CGI ルートへのパスUAPACHE_VcgiRoots

仮想ドキュメント ルートUAPACHE_VdocRoots

仮想サーバのログ ファイルUAPACHE_Vlogs

仮想サーバのログ ファイル用のディレクトリUAPACHE_Vlogs_dir

iPlanet バイナリへのパスUIPLANET_BinDirs

CGI ディレクトリへのパスUIPLANET_CgiDirs

ドキュメント ディレクトリへのパスUIPLANET_DocDirs

iPlanet ns-httpd バイナリへのパスUIPLANET_Process

iPlanet ルートへのパスUIPLANET_Roots

Windows のカスタム シグネチャこのセクションでは、Windows プラットフォーム用のカスタム シグネチャを作成する方法に

ついて説明します。

注意: Windows の Files クラスのルールは、パスに二重のバックスラッシュを使用しますが、Windows 以外の UNIX_file クラスのルールのパスではスラッシュを一つだけ使用します。

シグネチャが使用するクラスは、セキュリティの問題の性質とシグネチャで提供できる保護

によって異なります。クラスとパラメータの一部はカスタム シグネチャのユーザ インター

フェースに表示されます。ユーザ インターフェースに表示されないクラスとパラメータに

は、エキスパート向けの方法でルールを作成するとアクセスできます。Windows の場合、次

のクラスが使用できます。

用途クラス

バッファ オーバーフロー対策Buffer Overflow

ファイルまたはディレクトリ操作の保護Files

API プロセス フックの保護Hook

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)116

用途クラス

Host IPS API の不正利用に対する対策Illegal API Use

API の不正利用に対する対策Illegal Use

IIS に対する http 要求の監視用Isapi

プログラム操作の保護Program

レジストリ キーとレジストリ値操作の保護Registry

サービス操作の保護Services

SQL 操作の保護SQL

Windows クラス Buffer Overflow以下の表では、Windows クラス Buffer Overflow に使用可能なセクションと値を説明しま

す。

メモ値セクション

Buffer_Overflowクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

これはオプションです。注 1 を参照してくださ

い。

428dependencies

バッファ オーバーフローを引き

起こした実行ファイルによって

caller module

読み込まれたモジュール (DLL)

のパス

実行されるメモリ位置を確認し、現在の脅威ス

タックを構成する書き込み可能なメモリでメモ

リ場所が実行されていないかどうか検査します。

bo:stackdirectives

実行されるメモリ位置を確認し、ヒープ領域か

らの書き込みがメモリ場所で実行されていない

かどうか検査します。

bo:heap

実行されるメモリ位置を確認し、現在の脅威ス

タックでもヒープ領域でもない書き込み可能な

bo:writeable_memory

メモリでメモリ場所が実行されていないかどう

か検査します。

適切な呼出し命令で API が呼び出されていない

かどうか確認します。

bo:invalid_call

32 バイトの命令を表す 16 進数値は、攻撃対象

に対象実行ファイルの例外設定を使用します。

bo:target_bytes

誤検知の例外を取得しないと、項目プロセスで

バッファ オーバーフロー対策を無効にできま

す。

戻りアドレスよりも前の部分のコードが実行さ

れているかどうか確認します。

bo:call_not_found

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

117McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

メモ値セクション

戻りアドレスで、読み取り可能なメモリでない

ことが判明。

bo:call_return_unreadable

呼び出し側とフック対象と一致するかどうか確

認します。

bo:call_different_target_address

戻りアドレスが API 入力点かどうか確認してし

てください。

bo:call_return_to_api

注 1

シグネチャ 428、汎用バッファオーバーフローは汎用のバッファ オーバーフロー ルールで

す。このルールによってこのルールが最初であれば、「依存関係 (448)」セクションをカス

タム シグネチャを選択します。

Windows クラス Files以下の表では、Windows クラス Files に使用可能なセクションと値を説明します。

メモ値セクション

Filesクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル (リモート ファイ

ルへのアクセスとローカル ファ

イルへのアクセスを識別するた

めに、このパラメータを使用し

ます。注 3 を参照してくださ

い。)

必須パラメータの一つ。注 1 と注 2 を参照し

てください。

操作に必要なファイルまたは

フォルダ

files

必須パラメータの一つ。files:rename と

files:hardlink でのみ使用します。注 1 と注

2 を参照してください。

操作にソース ファイルと出力先

ファイルが必要な場合の対象

ファイル

dest_file

ドライブの種類固有の files クラス ルールを

作成します。

drive_type • Network － ネットワーク

ファイル アクセス

• Floppy － フロッピードラ

イブ アクセス

• CD － CD または DVD アク

セス

• OtherRemovable － USB ま

たは他のリムーバブル ドラ

イブ アクセス

• OtherFixed － ローカル

ハードディスクまたは他の

固定ハードディスク アクセ

ス

ディレクトリにファイルを作成します。他のディ

レクトリにファイルを移動します。

files:createdirectives

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)118

メモ値セクション

読み取り専用アクセス権でファイルを開きます。files:read

読み取り書き込みアクセス権でファイルを開き

ます。

files:write

ファイルを実行します (ディレクトリの実行と

はそのディレクトリを現在のディレクトリにす

ることです)。

files:execute

ディレクトリからファイルを削除するか、別の

ディレクトリにファイルを移動します。

files:delete

同じディレクトリのファイル名を変更します。

注 2 を参照してください。

files:rename

ファイルの属性を変更します。監視される属性:files:attribute

• 読み取り専用

• 隠し

• アーカイブ

• システム

ハード リンクを作成します。files:hardlink

注 1

files セクションが使用されている場合、監視対象のフォルダまたはファイルへのパスは、

完全なパスまたはワイルドカードのどちらかで指定できます。たとえば、以下は有効なパス

の表現です。

files { Include “C:\\test\\abc.txt” }

files { Include “*\\test\\abc.txt” }

files { Include “*\\abc.txt” }

dest_file セクションが使用されている場合、絶対パスは使用できず、パスの先頭にワイル

ドカードを記述し、ドライブを表す必要があります。たとえば、以下は有効なパスの表現で

す。

dest_file { Include “*\\test\\abc.txt” }

dest_file { Include “*\\abc.txt” }

注 2

ディレクティブの files:rename は、files セクションおよび dest_file セクションと組み

合わせて使用する場合は異なる意味になります。

files セクションと組み合わせた場合、files セクションで指定したファイルの名前の変更

が監視されることを意味します。たとえば次のルールでは、C:\test\abc.txt ファイルのファ

イル名変更が監視されます。

Rule {

tag "Sample1"

Class Files

Id 4001

level 4

files { Include “C:\\test\\abc.txt” }

Executable { Include “*”}

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

119McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

user_name { Include “*” }

directives files:rename

}

dest_file セクションと組み合わせた場合、どのファイルも、dest_file セクションで指定

したファイルの名前に変更できないことを意味します。たとえば次のルールでは、ファイル

名 C:\test\abc.txt への変更が監視されます。

Rule {

tag "Sample2"

Class Files

Id 4001

level 4

dest_file { Include “*\\test\\abc.txt” }

Executable { Include “*”}

user_name { Include “*” }

directives files:rename

}

files セクションは、dest_file セクションが使用される場合は必須ではありません。files

セクションを使用する場合は、files セクションと dest_file セクションの両方が一致する

必要があります。

注 3

ディレクティブのリモート ファイル アクセスとローカル ファイル アクセスを識別するた

め、実行ファイルのパス名に SystemRemoteClient に設定します。Executable { Include -path

“SystemRemoteClient” }

実行ファイルがローカルでない場合には、ディレクティブは実行されません。

詳細

Files クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部またはす

べてが表示されます。これらのパラメータの値は、シグネチャが呼び出された理由を理解す

るために役立ちます。

説明GUI での名前

アクセスされたファイルの名前。files

ファイル名を変更する場合のみ適用可能。変更後のファ

イルの新しい名前です。

dest_file

次のルールは、任意のユーザまたはプロセスによって C:\test\ フォルダ内に "abc.txt" が

作成されないようにします。

Rule {

tag "Sample3"

Class Files

Id 4001

level 4

files { Include “C:\\test\\abc.txt” }

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)120

Executable { Include “*”}

user_name { Include “*” }

directives files:create

}

このルールの各セクションの意味は次のとおりです。

• Class Files:このルールがファイル操作のクラスに関連することを示します。

• id 4001:このルールに ID 4001 を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールは例外なく同じ ID を使用する必要があります。

• level 4:このルールに重大度高を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールが例外なく同じレベルを使用する必要があります。

• files { Include “C:\\test\\abc.txt” }:このルールが、C:\test\abc.txt という特定

のファイルおよびパスに適用されることを示します。ルールを複数のファイルに適用する

場合、それらのファイルは別の行でこのセクションに追加します。たとえば、

C:\test\abc.txt と C:\test\xyz.txt を監視するんは、セクションを次のように変更し

ます。files { Include “C:\\test\\abc.txt” “C:\\test\\xyz.txt” }.

• Executable { Include “*”}:このルールが、すべてのプロセスに対して有効であること

を示します。ルールの適用範囲を特定のプロセスに制限する場合は、ここですべてのパス

名を完全に指定します。

• user_name { Include “*” }:このルールがすべてのユーザ (より明確に言えばプロセス

が実行されるセキュリティ コンテキスト) に対して有効であることを示します。ルール

の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで "ローカル/ユーザ"

または "ドメイン/ユーザ" の形式で完全に指定します。詳細については、「共通セクション」を参照してください。

• directives files:create:このルールではファイルの作成を扱うことを示します。

Windows クラス Hook以下の表では、Windows クラス Hook に使用可能なセクションと値を説明します。

メモ値セクション

Hookクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータ。別の実行ファイルがフックする

実行ファイルのパス名

handler module

hook:set_windows_hook による実行ファイルへ

の DLL の挿入を阻止するには、アプリケーショ

ン保護リストに実行ファイルを追加します。

hook:set_windows_hookdirectives

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

121McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Windows クラス Illegal Host IPS API Use以下の表では、Windows クラス Illegal API Use に使用可能なセクションと値を説明しま

す。

メモ値セクション

Illegal_API_Useクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

脆弱性の名前。vulnerability_name

ソフトウェア コンポーネントの一意の ID を表

す 128 ビットの数字。次のように表示されま

す。"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"

1 つ以上の CLSIDdetailed_event_info

illegal_api_use:bad_parameterdirectives

illegal_api_use:invalid_call

カスタム killbit シグネチャの作成に使用します。killbit は、ActiveX を使用する Web

ブラウザや他のアプリケーションのセキュリティ機能です。killbit は、脆弱性脅威として

特定される ActiveX ソフトウェア コントロールのオブジェクト クラス識別子 (CLSID) を

指定します。ActiveX を使用するアプリケーションは、killbit が設定されている ActiveX

ソフトウェアを読み込みません。

killbit の基本的な目的は、セキュリティ ホールを埋めることです。killbit の更新は、

Microsoft Windows の Windows セキュリティ更新で配布されます。

シグネチャの例は次のとおりです。

Rule {

tag "Sample4"

Class Illegal_API_Use

Id 4001

level 4

Executable { Include “*”}

user_name { Include “*” }

vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}

detailed_event_info { Include

"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}

directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call

attributes -not_auditable

}

Windows クラス Illegal Use以下の表では、Windows クラス Illegal Use に使用可能なセクションと値を説明します。

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)122

メモ値セクション

Illegal_Useクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

次のいずれか。

LsarLookupNames、

name

LsarLookupSids または

ADMCOMConnect

illegal:apidirectives

Windows クラス Isapi (HTTP)以下の表では、IIS の Windows クラス Isapi に使用可能なセクションと値を説明します。

メモ値セクション

Isapiクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータの一つ。受信要求の URL の部分

と比較。注 1 から注 4 を参照してください。

url

必須パラメータの一つ。受信要求のクエリの部

分と比較。注 1 から注 4 を参照してください。

query

必須パラメータの一つ。注 4 を参照してくださ

い。

GET、POST、INDEX、他の許可さ

れた HTTP メソッド。

method

受信 http 要求の 3 つの種類isapi:requestdirectives

url 要求isapi:requrl

クエリ要求isapi:reqquery

ロー データ要求isapi:rawdata

要求の応答isapi:response

注 1

受信 http 要求は、http://www.myserver.com/ {url}?{query} として表すことができます。

このドキュメントでは、{url} のことを http 要求の “url” 部分と呼び、{query} のこと

を http 要求の “クエリ” 部分と呼びます。これにより、“url” セクションは {url} と

比較され、“query” セクションは {query} と比較されると言い表すことができます。たと

えば次のルールは、IIS が http 要求の http://

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

123McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を受信した場合に

呼び出されます。

Rule {

tag "Sample6"

Class Isapi

Id 4001

level 1

url { Include “*abc*” }

Executable { Include “*”}

user_name { Include “*” }

directives isapi:request

}

このルールが呼び出されるのは、{url} が /search/abc.exe であることが、"url" セクショ

ンの値 (すなわち abc) と一致するためです。

注 2

比較が行われる前に、要求をエンコードやエスケープ シーケンスでいっぱいにすることがで

きないように、"url" セクションと "query" セクションがデコードされて正規化されます。

注 3

"url" セクションと "query" セクションのために最大長の制限を定義できます。これらのセ

クションの値に ";number-of-chars" を追加すると、{url} や {query} の文字数が

"number-of-chars" より多い場合のみ、ルールを一致させることができます。たとえ

ば、"abc*;500" は 'abc' を含む 500 文字以上の文字列に一致します。"*abc;xyz*;" は長

さに関係なく 'abc;xyz' を含む文字列に一致します。

注 4

1 つのルールには、オプションのセクションである url、query、および method のうち、少

なくとも 1 つを含める必要があります。

詳細

Isapi クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部またはす

べてが表示されます。これらのパラメータの値は、シグネチャが呼び出された理由を理解す

るために役立ちます。

説明GUI での名前

受信 HTTP 要求の、デコードと正規化が行われた場所の

部分 (? の前の部分)。

url

受信 HTTP 要求の、デコードと正規化が行われたクエリ

部分 (最初の ? の後にある部分)。

query

使用される Web サーバ アプリケーションの種類とバー

ジョン。

web server type

受信 HTTP 要求のメソッド (Get、Put、Post、Query な

ど)。

method

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)124

説明GUI での名前

要求によって取得されたファイル、または取得が試みら

れたファイルの物理名。IIS でデコードされ、正規化さ

れます。

local file

受信 HTTP 要求の "未処理" (デコードと正規化が行われ

ていない) の要求行。要求行は、"<method>

<location[?query]> <http version> CRLF" の形式です。

raw url

要求を発行しているクライアントのユーザ名。この情報

は、要求が認証される場合のみ提供されます。

user

HTTP 要求送信元のコンピュータのクライアント名または

IP アドレス。アドレスは、host name、address、port

number の 3 つから構成されます。

source

イベントが作成された Web サーバ (クライアントがイン

ストールされているコンピュータ) に関する、<host

server

name>:<IP address>:<port> という形式での情報。この

ホスト名は、HTTP ヘッダのホスト変数です。情報がない

場合は空白のままになります。

クエリのメッセージ部分の本文に含まれるバイト数。content len

次のルールでは、HTTP 要求のクエリ部分に "subject" が含まれる要求は、Web サーバに送

信されなくなります。

Rule {

tag "Sample7"

Class Isapi

Id 4001

level 1

query { Include “*subject*” }

method { Include “GET” }

Executable { Include “*”}

user_name { Include “*” }

directives isapi:request

}

たとえば、http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean

という GET 要求は、このルールによって中止されます。

このルールの各セクションの意味は次のとおりです。

• Class Isapi:このルールが Isapi 操作のクラスに関連することを示します。

• Id 4001:このルールに ID 4001 を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールは例外なく同じ ID を使用する必要があります。

• level 4:このルールに重大度高を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールが例外なく同じレベルを使用する必要があります。

• query { Include “*subject*” }:このルールは、HTTP 要求のクエリ部分に "subject"

という文字列が含まれるすべての (GET) 要求に一致することを示します。ルールを複数

のクエリ部分ファイルに適用する場合、それらは別の行でこのセクションに追加します。

• method { Include “GET” }:このルールは GET 要求のみに一致することを示します。

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

125McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• Executable { Include “*”}:このルールが、すべてのプロセスに対して有効であること

を示します。ルールの適用範囲を特定のプロセスに制限する場合は、ここですべてのパス

名を完全に指定します。

• user_name { Include “*” }:このルールがすべてのユーザ (より明確に言えばプロセス

が実行されるセキュリティ コンテキスト) に対して有効であることを示します。ルール

の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで "ローカル/ユーザ"

または "ドメイン/ユーザ" の形式で完全に指定します。詳細については、「共通セクション」を参照してください。

• directives isapi:request:このルールでは HTTP 要求を扱うことを示します。

Windows クラス Program以下の表では、Windows クラス Program に使用可能なセクションと値を説明します。

メモ値セクション

Programクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータの一つ。操作のプロセス名filename

必須パラメータの一つ。プロセスのパス名path

対象の実行ファイルの実行を阻止します。(ユー

ザ インターフェースで対象の実行ファイルを実

行します。)

program:rundirectives

"program:open_with_x" ディレクトリは、

OpenProcess() で生成されたプロセスのアクセ

program:open_with_any

ス権を処理します。次のプロセス固有のアクセ

ス権を阻止します。

• PROCESS_TERMINATE － プロセスの終了に必

要

• PROCESS_CREATE_THREAD － スレッドの生成

に必要

• PROCESS_VM_WRITE － メモリへの書き込みで

必要

• PROCESS_DUP_HANDLE － ハンドルの複製に必

要

• PROCESS_SET_INFORMATION － 優先クラスな

ど、プロセスに関する特定の情報の設定に必

要。

• PROCESS_SUSPEND_RESUME － プロセスの中断

または再開に必要

• PROCESS_TERMINATE － プロセスの終了に必

要

• SYNCHRONIZE － プロセスの終了待機に必要

(ユーザ インターフェースで任意のアクセス権

で実行)

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)126

メモ値セクション

次のプロセス固有のアクセス権を阻止します。program:open_with_create_thread

• PROCESS_CREATE_THREAD － スレッドの生成

に必要

(ユーザ インターフェースでスレット作成権限

で実行)

次のプロセス固有のアクセス権を阻止します。program:open_with_modify

• PROCESS_TERMINATE － プロセスの終了に必

要

• PROCESS_CREATE_THREAD － スレッドの生成

に必要

• PROCESS_VM_WRITE － メモリへの書き込みで

必要

• PROCESS_DUP_HANDLE － ハンドルの複製に必

要

• PROCESS_SET_INFORMATION － 優先クラスな

ど、プロセスに関する特定の情報の設定に必

要。

• PROCESS_SUSPEND_RESUME － プロセスの中断

または再開に必要

(ユーザ インターフェースで変更権限で実行)

次のプロセス固有のアクセス権を阻止します。program:open_with_terminate

• PROCESS_SUSPEND_RESUME － プロセスの中断

または再開に必要

• PROCESS_TERMINATE － プロセスの終了に必

要

(ユーザ インターフェースで終了権限で実行)

次のプロセス固有のアクセス権を阻止します。program:open_with_wait

• SYNCHRONIZE － プロセスの終了待機に必要

(ユーザ インターフェースで待機権限で実行)

注意: Microsoft Vista 以降のプラットフォー

ムでは使用できません。

Windows クラス Registry以下の表では、Windows クラス Registry に使用可能なセクションと値を説明します。

メモ値セクション

Registryクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータの一つ。キーが操作できます (作

成、削除、名前の変更、列挙、モニタ、復元、

レジストリ キーの演算キー

既読、未読のルールは変更されています)。注 1

を参照してください。

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

127McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

メモ値セクション

これはオプションです。キー名を変更すると、

registry:rename に使用されます。対象はキー

の名前です。

レジストリ キーの演算dest_keys

必須パラメータの一つ。レジストリ値の操作 (削

除、読み取り、修正、作成) で使用します。

レジストリ キーの演算値

これはオプションです。registry:modify また

は registry:create でのみ必要です。注 2 を

参照してください。

レジストリ キーの演算。値の新

しいデータ。

new_data

レジストリ キーまたは値を削除します。registry:deletedirectives

レジストリ値のコンテンツまたは情報を書き換

えます。

registry:modify

レジストリ キーを作成できます。registry:create

レジストリ キーのアクセス許可を変更します。registry:permissions

レジストリ キーの情報 (サブ キーの数など)

を取得するか、レジストリ値の内容を取得しま

す。

registry:read

レジストリ キーを列挙します。つまり、すべて

のキーのサブ キーと値のリストを取得します。

registry:enumerate

レジストリ キーの監視を要求しています。registry:monitor

regedit32 復元機能のように、レジストリを復

元します。

registry:restore

再起動後にのみレジストリの設定を復元します。registry:replace

ファイルからレジストリ キーまたは値を読み込

みます。

registry:load

既存のレジストリ キーを開きます。registry:open_existing_key

レジストリ キーの名前を変更します。registry:rename

注 1

HKEY_LOCAL_MACHINE は \REGISTRY\MACHINE\ で置き換えられるレジストリ パスで、

CurrentControlSet は ControlSet で置き換えられます。たとえば、レジストリ キー

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa の下にあるレジストリ値 "abc"・

は、\\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc として表されます。

注 2

セクションの新しいデータは 16 進数でなければなりません。たとえば、レジストリ値

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc・のデータ 'def' は、

old_data { Include "%64%65%66"} と表現する必要があります。

詳細

Registry クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部また

はすべてが表示されます。これらのパラメータの値は、シグネチャが呼び出された理由を理

解するために役立ちます。

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)128

説明GUI での名前

パス名を含む、影響を受けるレジストリ キーの名前。次の事項に注意します。

構文キー

レジストリ キー

\REGISTRY\MACHINE\HKEY_LOCAL_MACHINE\

\REGISTRY\CURRENT_USER\HKEY_CURRENT_USER\

\REGISTRY\MACHINE\SOFTWARE\CLASSES\HKEY_CLASSES_ROOT\

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE

PROFILES\0001\

HKEY_CURRENT_CONFIG\

\REGISTRY\USER\HKEY_USERS\

完全なキーの名前と連結されたレジストリ値の名前。次の事項に注意します。

構文キーの値

レジストリ値

\REGISTRY\MACHINE\Test\*HKEY_LOCAL_MACHINE\Test

\REGISTRY\CURRENT_USER\Test\*HKEY_CURRENT_USER\Test

\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*HKEY_CLASSES_ROOT\Test

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE

PROFILES\0001\Test\*

HKEY_CURRENT_CONFIG\Test

\REGISTRY\USER\Test\*HKEY_USERS\Test

レジストリ値を変更する場合のみ適用可能:変更される前、または変更が試みられる前にレ

ジストリ値に格納されていていたデータ。

old data

レジストリ値を変更する場合のみ適用可能:変更後にレジストリ値に格納されていたデー

タ、または変更が完了した場合にレジストリ値に格納されていたはずのデータ。

new data

レジストリ値を変更する場合のみ適用可能:変更される前、または変更が試みられる前にレ

ジストリ値に格納されていていたデータ型。

old data type

レジストリ値を変更する場合のみ適用可能:変更後にレジストリ値に格納されていたデータ

型、または変更が完了した場合にレジストリ値に格納されていたはずのデータ型。

new data type

次のルールでは、すべてのユーザおよびプロセスが、レジストリ キー

"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" の下にあるレジストリ値

"abc" を削除できなくなります。

Rule {

tag "Sample8"

Class Registry

Id 4001

level 4

values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }

application { Include “*”}

user_name { Include “*” }

directives registry:delete

}

このルールの各セクションの意味は次のとおりです。

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

129McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• Class Registry:このルールが IIS に送信される要求に関連することを示します。

• Id 4001:このルールに ID 4001 を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールは例外なく同じ ID を使用する必要があります。

• level 4:このルールに重大度高を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールが例外なく同じレベルを使用する必要があります。

• values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc”

}:レジストリ キー "\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" の

下にあるレジストリ値 abc を監視するルールを示します。ルールを複数の値に適用する

場合、それらのサービスは別の行でこのセクションに追加します。

• application { Include “*”}:このルールが、すべてのプロセスに対して有効であるこ

とを示します。ルールの適用範囲を特定のプロセスに制限する場合は、ここですべてのパ

ス名を完全に指定します。

• user_name { Include “*” }:このルールがすべてのユーザ (より明確に言えばプロセス

が実行されるセキュリティ コンテキスト) に対して有効であることを示します。ルール

の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで "ローカル/ユーザ"

または "ドメイン/ユーザ" の形式で完全に指定します。詳細については、「共通セクション」を参照してください。

• directives registry:delete:このルールでは、レジストリ キーまたはレジストリ値の削

除を扱うことを指定します。

Windows クラス Services以下の表では、Windows クラス Services に使用可能なセクションと値を説明します。

メモ値セクション

Registryクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータの一つ。サービス名はレジスト

リの HKLM\SYSTEM\CurrentControlSet\Services\

に記録されます。注 1 を参照してください。

インスタンスを作成する操作の

主体であるサービスの名前

services

必須パラメータの一つ。この名前はサービス マ

ネージャに表示されます。注 1 を参照してくだ

さい。

サービスの表示名display_names

サービスを削除します。services:deletedirectives

サービスを作成します。services:create

サービスを開始します。services:start

サービスを停止します。services:stop

サービスを解析します。services:pause

一時停止後サービスを続行します。services:continue

サービスのスタートアップ モードを変更しま

す。

services:startup

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)130

メモ値セクション

ハードウェア プロファイルを有効にします。services:profile_enable

ハードウェア プロファイルを無効にします。services:profile_disable

サービスのログオン情報を変更します。services:logon

注 1

service セクションには、HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ の下

にある、対応するレジストリ キーのサービスの名前を含める必要があります。

display_names セクションには、サービス マネージャの名前を含める必要があります。これ

は、下記のレジストリ値に記載されています。

HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\

詳細

Services クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部また

はすべてが表示されます。これらのパラメータの値は、シグネチャが呼び出された理由を理

解するために役立ちます。

使用可能な値説明GUI での名前

Windows サービスのサービス マ

ネージャでの表示名。

display names

Windows サービスの

HKLM\CurrentControlSet\Services\

services

に設定されているシステム名。

サービス マネージャの表示名と

異なる場合があります。

サービスを開始する場合のみ適

用可能:アクティブにするときに

params

サービスに渡すパラメータで

す。

Boot (ブート)、System (システム)、Automatic

(自動)、Manual (手動)、Disabled （無効）

サービスのスタートアップ モー

ドを作成または変更する場合の

み適用可能:変更される前、また

old startup

は変更が試みられる前のスター

トアップ モードを示します。

Boot (ブート)、System (システム)、Automatic

(自動)、Manual (手動)、Disabled （無効）

サービスのスタートアップ モー

ドを変更する場合のみ適用可能:

変更後のサービスのスタート

new startup

アップ モード、または変更が完

了した場合のサービスのスター

トアップ モードを示します。

サービスのログオン モードを変

更する場合のみ適用可能:サービ

logon

スによって使用されるログオン

情報 (システムまたはユーザ ア

カウント) です。

次のルールでは、Alerter サービスを常にアクティブな状態にします。

Rule {

tag "Sample9"

Class Services

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

131McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Id 4001

level 4

Service { Include “Alerter” }

application { Include “*”}

user_name { Include “*” }

directives service:stop

}

このルールの各セクションの意味は次のとおりです。

• Class Services:このルールがファイル操作のクラスに関連することを示します。

• Id 4001:このルールに ID 4001 を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールは例外なく同じ ID を使用する必要があります。

• level 4:このルールに重大度高を割り当てます。カスタム シグネチャに複数のルールが

存在する場合は、それらのルールが例外なく同じレベルを使用する必要があります。

• Service { Include “Alerter” }: このルールでは、Alerter という名前のサービスを

扱うことを示します。ルールを複数のサービスに適用する場合、それらのサービスは別の

行でこのセクションに追加します。

• application { Include "*"}: このルールが、すべてのプロセスに対して有効であること

を示します。ルールの適用範囲を特定のプロセスに制限する場合は、ここですべてのパス

名を完全に指定します。

• user_name { Include “*” }:このルールがすべてのユーザ (より明確に言えばプロセス

が実行されるセキュリティ コンテキスト) に対して有効であることを示します。ルール

の適用範囲を特定のユーザ コンテキストに制限する場合は、ここで "ローカル/ユーザ"

または "ドメイン/ユーザ" の形式で完全に指定します。詳細については、「共通セクション」を参照してください。

• directives service:stop:このルールではサービスの非アクティブ化を扱うことを示しま

す。

Windows クラス SQL以下の表では、Windows クラス SQL に使用可能なセクションと値を説明します。

メモ値セクション

MSSQLクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

Windows 認証 (1 に設定) また

は SQL 認証 (0 に設定) を表す

Bool 値。

authentication_mode

例:OSQL-32, Internet Information Servicesクライアント システムに要求を

送信するユーティリティの名

前。

client_agent

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)132

メモ値セクション

例:saSQL 認証の場合にはユーザ名。

Window 認証の場合には「信頼で

きるユーザ」。

db_user_name

ストアド プロシージャの名前と一致する必要が

あります。ストアド プロシージャは、SQL エー

ストアド プロシージャ名sp_name

ジェント リリースのプロシージャ名リストで識

別されます (Agent ディレクトリの

SPList.txt)。

パラメータの長さ (文字数)。sp_param_char_len_one...

パラメータの値。sp_param_one...

パラメータの長さ (バイト数)。sp_param_orign_len-one...

クエリに単一引用符を含む行コ

メント ("-") が含まれている場

sql_line_comment

合、この値は「1」に設定されま

す。

受信時と同じ完全な SQL クエリ

(文字列とホワイトスペースを含

む)

sql_original_query

文字列、ホワイトスペースなど

を含む SQL クエリ文字列。コメ

ントを除いた後の部分。

sql_query

SQL 以外のユーザの場合には常に 0 に設定され

ます。

パスワードが NULL の場合には

1、それ以外の場合は 0 に設定

されます。

sql_user_password

MSSQL 2005/2008 の場合には共

有メモリ (LPC)

transport

受信 SQL 要求sql:request.directives

Windows プラットフォームごとのクラスとディレクティブWindows プラットフォームごとに有効なクラスとディレクティブは次のとおりです。

• Windows XP、SP2、SP3、32 ビット/64 ビット (XP)

• Windows 2003、R2、R2 SP2、32 ビット/64 ビット (2K3)

• Windows Vista、32 ビット/64 ビット (V)

• Windows 2008 R2、32 ビット/64 ビット (2K8)

• Windows 7、32 ビット/64 ビット (7)

Buffer Overflow クラス

64 ビット Windows OS

(x64) 上の 64 ビット プロ

セス

64 ビット Windows OS (x64)

上の 32 ビット プロセス

32 ビット Windows OS (x32) 上

の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPbo:

xxxxxxxxxxstack

xxxxxxxxxxheap

xxxxxxxxxxwriteable_memory

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

133McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

64 ビット Windows OS

(x64) 上の 64 ビット プロ

セス

64 ビット Windows OS (x64)

上の 32 ビット プロセス

32 ビット Windows OS (x32) 上

の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPbo:

xxxxxxxxxxinvalid_call

xxxxxxxxxxtarget_bytes

xxxxxxxxxxcall_not_found

xxxxxxxxxxcall_return_unreadable

xxxxxxxxxxcall_different_target

xxxxxxxxxxcall_return_to_api

Files クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64) 上

の 64 ビット プロセス

32 ビット Windows OS (x32) 上の

32 ビット プロセス

ディレク

ティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPfiles:

xxxxxxxxxxxxxxxcreate

xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxwrite

xxxxxxxxxxxxxxxexecute

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxrename

xxxxxxxxxxxxxxxattribute

xxxxxxxxxxxxxxxwriteop

xxxxxxxxxxxxxxxhardlink

Hook クラス

64 ビット Windows OS (x64) 上

の 64 ビット プロセス

32 ビット Windows OS (x64) 上

の 64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティ

ブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPhook:

xxxxxxxxxxxxxxxset_windows_hook

Illegal API Use クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x32) 上

の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal_api_use:

xxxxxxxxxxxxxxxbad_parameter

xxxxxxxxxxxxxxxinvalid_call

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)134

Illegal Use クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x32) 上

の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal:

xxxxxxxxxxxxxxxapi

ISAPI クラス

64 ビット Windows OS (x64) 上

の 64 ビット プロセス

32 ビット Windows OS (x64) 上の

64 ビット プロセス

32 ビット Windows OS (x32) 上の

32 ビット プロセス

ディレク

ティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPisapi:

xxxxxxrequest

xxxxxxrequrl

xxxxxxreqquery

xxxxxxrawdata

xxxxxxresponse

Program クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPprogram:

xxxxxxxxxxxxxrun

xxxxxxxxxxxxxopen_with_any

xxxxxxxxxxxxxopen_with_create_thread

xxxxxxxxxxxxxopen_with_modify

xxxxxxxxxxxxxopen_with_terminate

xxxxopen_with_wait

Registry クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPregistry:

xxxxxxxxxxxxxxxcreate

xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxmodify

xxxpermissions

xxxxxxxxxxxxxxxenumerate

xxxmonitor

xxxrestore

付録 A － カスタム シグネチャと例外の作成Windows のカスタム シグネチャ

135McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPregistry:

xxxreplace

xxxxxxxxxload

xxxxxxxxxxxxxxxopen_existing_key

xxxxxxxxxrename

Services クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64) 上

の 64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPservices:

xxstart

xxstop

xxpause

xxcontinue

xxxxxxxxxxxxxxxstartup

xxxxxxxxxxxxxxxprofile_enable

xxxxxxxxxxxxxxxprofile_disable

xxxxxxxxxxxxxxxlogon

xxxxxxxxxxxxxxxcreate

xxxxdelete

SQL クラス

64 ビット Windows OS (x64)

上の 64 ビット プロセス

32 ビット Windows OS (x64) 上の

64 ビット プロセス

32 ビット Windows OS (x32)

上の 32 ビット プロセス

ディレクティ

ブ

72K8V2K3XP72K8V2K3XP72K8V2K3XPsql:

xxxxxxxxxrequest

Windows 以外のカスタム シグネチャこのセクションでは、Solaris と Linux プラットフォーム用のカスタム シグネチャを作成

する方法について説明します。

注意: Windows の Files クラスのルールは、パスに二重のラッシュを使用しますが、Windows以外の UNIX_file クラスのルールのパスではスラッシュを一つだけ使用します。

シグネチャのクラスは、セキュリティの問題の性質と、シグネチャで提供できる保護によっ

て異なります。Solaris と Linux の場合、次のクラスが使用できます。

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)136

用途クラス

Solaris と Linux でのファイルまたはディレクトリ操作

の保護

UNIX_file

Solaris と Linux の http 要求UNIX_apache

Solaris と Linux のアクセス保護UNIX_Misc

バッファ オーバーフロー用。Solaris のみ。UNIX_bo

ファイルやデバイスとメモリのマッピング。Solaris の

み。

UNIX_map

実行ファイルの所有者またはグループの権限での実行ファ

イルの許可。Solaris のみ。

UNIX_GUID

Solaris/Linux クラス UNIX_file以下の表では、Unix ベースのクラス UNIX_file に使用可能なセクションと値を説明します。

メモ値セクション

UNIX_fileクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

必須パラメータの一つ。検索するファイル。注

1 を参照してください。

操作に必要なファイルまたは

フォルダ

files

必須パラメータの一つ。注 1 を参照してくださ

い。

対象ファイル名。source

Solaris のみ。これはオプションです。注 2 を

参照してください。

ソース ファイル名のパーミッ

ション リスト

file

Solaris のみ。これはオプションです。注 2 を

参照してください。

新しく作成されたファイルまた

は変更されたパーミッションの

モード

new

Solaris 10 以降。注 5 を参照してください。シグネチャを適用するゾーン名zone

作業ディレクトリを変更します。unixfile:chdirdirectives

ディレクトリまたはファイルのパーミッション

を変更します。

unixfile:chmod

ディレクトリまたはファイルの所有権を変更し

ます。

unixfile:chown

ファイルを作成します。unixfile:create

ハード リンクを作成します。注 3 を参照して

ください。

unixfile:link

ディレクトリを作成します。unixfile:mkdir

読み取り専用モードでファイルを開きます。unixfile:read

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

137McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

メモ値セクション

ファイル名を変更します。注 4 を参照してくだ

さい。

unixfile:rename

ディレクトリを削除します。unixfile:rmdir

シンボリック リンクを作成します。unixfile:symlink

ディレクトリからファイルを削除します。また

は、ディレクトリを削除します。

unixfile:unlink

読み取り/書き込みモードでファイルを開きま

す。

unixfile:write

Linux のみ。ディレクトリまたはファイルのパー

ミッションと所有権を変更します。

unixfile:setattr

ノードを作成します。unixfile:mknod

ファイルの属性を変更します。監視される属性

は、読み取り専用、隠し、アーカイブおよびシ

ステムです。

unixfile:access

Solaris のみ。ファイル名は 512 個の連続した

'/' です。

unixfile:foolaccess

Solaris のみ。スケジュール パラメータを表示

または設定します。

unixfile:priocntl

注 1

各セクションに関連するディレクティブ:

新しいパーミッションファイル パーミッションソースファイルディレクティブ

XXchdir

XXXchmod

Xchown

XXX作成

Xリンク

Xmkdir

X読み取り

XX名前の変更

Xrmdir

Xsetattr

XXXシンボリック リンク

Xリンク解除

X書き込み

注 2

file permissions セクションと new permissions セクションの値は、アクセス制御リスト

(ACL) に対応しています。これらのセクションでは SUID または SGID の値のみ使用できま

す。

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)138

注 3

ディレクティブの Unixfile:link は、files セクションおよび source セクションと組み合

わせて使用する場合は異なる意味になります。

• files セクションと組み合わせた場合、files セクションで指定したファイルへのリンク

の作成が監視されることを意味します。

• source セクションと組み合わせた場合、どのリンクも、source セクションで指定した名

前を使用して作成できないことを意味します。

注 4

ディレクティブの unixfile:rename は、files セクションおよび source セクションと組み

合わせて使用する場合は異なる意味になります。

• files セクションと組み合わせた場合、files セクションで指定したファイルの名前の変

更が監視されることを意味します。

• source セクションと組み合わせた場合、どのファイルも、source セクションで指定した

ファイルの名前に変更できないことを意味します。

注 5

デフォルトでは、すべてのゾーンがシグネチャで保護されます。特定のゾーンに保護を制限

するには、シグネチャの zone セクションを追加し、ソーン名を設定します。

たとえば、app_zone というゾーン名で root が /zones/app の場合、ルールは次のようにな

ります。

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

これは、ゾーン app_zone のファイルにのみ適用されます。グローバル ゾーンには適用され

ません。

このリリースでは、Web サーバ保護を特定のゾーンに限定することはできません。

詳細

UNIX_file クラスのセキュリティ イベントの [詳細] タブには、次のパラメータの一部また

はすべてが表示されます。これらのパラメータの値は、シグネチャが呼び出された理由を理

解するために役立ちます。

説明GUI での名前

アクセスされた、またはアクセスが試みられたファイル

の名前。

files

ファイル間でシンボリック リンクを作成する操作の場合

のみ適用可能:ネットワーク リンクの名前。ファイルの

source

名前を変更する操作の場合のみ適用可能:ファイルの新し

い名前。

ファイルのパーミッション。file permission

ファイル間でシンボリック リンクを作成する操作の場合

のみ適用可能:対象ファイル (リンク先ファイル) のパー

ミッション。Solaris のみ。

source permission

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

139McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

説明GUI での名前

新しいファイルを作成する場合、または chmod 操作を実

行する場合のみ適用可能:新しいファイルのパーミッショ

ン。Solaris のみ。

new permission

Solaris/Linux クラス UNIX_apache (HTTP)以下の表では、Unix ベースのクラス apache に使用可能なセクションと値を説明します。

メモ値セクション

UNIX_apacheクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

これはオプションです。受信要求の URL の部分

と比較。注 1 から注 4 を参照してください。

url

これはオプションです。受信要求のクエリの部

分と比較。注 1 から注 4 を参照してください。

query

これはオプションです。注 4 を参照してくださ

い。

GET、POST、INDEX およびその他

の許可されている http メソッ

ドのすべて

method

Solaris 10 以降。注 5 を参照してください。シグネチャを適用するゾーン名zone

URL 要求apache:requrldirectives

クエリ要求apache:reqquery

ロー データ要求apache:rawdata

注 1

受信 http 要求は、http://www.myserver.com/ {url}?{query} として表すことができます。

このドキュメントでは、{url} のことを http 要求の url 部分と呼び、{query} のことを

http 要求のクエリ部分と呼びます。これにより、URL セクションは {url} と比較され、query

セクションは {query} と比較されると言い表すことができます。

たとえば次のルールは、IIS が http 要求の http://

www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean を受信した場合に

呼び出されます。

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include “*abc*” }

time { Include “*” }

application { Include “*”}

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)140

user_name { Include “*” }

directives apache:request

}

このルールが呼び出されるのは、{url} が /search/abc.exe であることが、url セクション

の値 (すなわち abc) と一致するためです。

注 2

比較が行われる前に、要求をエンコードやエスケープ シーケンスでいっぱいにすることがで

きないように、"url" セクションと "query" セクションがデコードされて正規化されます。

注 3

"url" セクションと "query" セクションのために最大長の制限を定義できます。これらのセ

クションの値に ";number-of-chars" を追加すると、{url} や {query} の文字数が

"number-of-chars" より多い場合のみ、ルールを一致させることができます。たとえば次の

ルールは、要求の url 部分に、abc が含まれていて 500 を超える文字がある場合にのみ一

致します。

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include “*abc*;500” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives apache:request}

}

注 4

1 つのルールには、オプションのセクションである url、query、および method のうち、少

なくとも 1 つを含める必要があります。

注 5

デフォルトでは、すべてのゾーンがシグネチャで保護されます。特定のゾーンに保護を制限

するには、シグネチャの zone セクションを追加し、ソーン名を設定します。

たとえば、app_zone というゾーン名で root が /zones/app の場合、ルールは次のようにな

ります。

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

これは、ゾーン app_zone のファイルにのみ適用されます。グローバル ゾーンには適用され

ません。

このリリースでは、Web サーバ保護を特定のゾーンに限定することはできません。

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

141McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

Solaris/Linux クラス UNIX_Misc以下の表では、Solaris または Linux クラス UNIX_misc に使用可能なセクションと値を説

明します。

メモ値セクション

アクセス保護を行うその他のクラスUNIX_miscクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

Solaris 10 以降。シグネチャを適用するゾーン名zone

クライアントへの SIGKILL 信号の送信を防止し

ます。

unixmisc:killagentdirectives

Solaris クラス UNIX_bo以下の表では、Solaris の class_bo (Buffer Overflow) に使用可能なセクションと値を説

明します。

メモ値セクション

UNIX_boクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

検索するプログラム。プログラム名program

Solaris 10 以降。注 1 を参照してください。シグネチャを適用するゾーン名zone

バイナリ引数unixbo:binargsdirectives

不正なアドレス。スタックからのプログラムの

実行など。

unixbo:illegal_address

プログラムの実行unixbo:exec

プログラム環境unixbo:environment

バイナリ環境unixbo:binenv

関数の戻りアドレスが正しいスタック フレーム

上にない場合に使用します。

unixbo:libc

注 1

デフォルトでは、すべてのゾーンがシグネチャで保護されます。特定のゾーンに保護を制限

するには、シグネチャの zone セクションを追加し、ソーン名を設定します。

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)142

たとえば、app_zone というゾーン名で root が /zones/app の場合、ルールは次のようにな

ります。

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

これは、ゾーン app_zone のファイルにのみ適用されます。グローバル ゾーンには適用され

ません。

このリリースでは、Web サーバ保護を特定のゾーンに限定することはできません。

Solaris クラス UNIX_map以下の表では、Solaris クラス Unix_map に使用可能なセクションと値を説明します。

メモ値セクション

UNIX ファイルまたはデバイスをメモリにマッピ

ングします。

UNIX_mapクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

Solaris 10 以降。シグネチャを適用するゾーン名zone

メモリ ページのアクセス保護を設定します。mmap:mprotectdirectives

ファイルやデバイスをメモリにマッピングしま

す。

mmap:mmap

Solaris クラス UNIX_GUID以下の表では、Solaris クラス UNIX_GUID に使用可能なセクションと値を説明します。

メモ値セクション

実行ファイルの所有者またはグループのパーミッ

ションで実行ファイルを実行できる Unix アク

セス権限フラグを設定します。

UNIX_GUIDクラス

「共通セクション」を参照して

ください。

Id

level

time

user_name

実行ファイル

Solaris 10 以降。シグネチャを適用するゾーン名zone

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

143McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

メモ値セクション

実行ファイルの所有者のパーミッションで実行

ファイルを実行できるユーザ ID を設定します。

guid:setuiddirectives

有効なユーザ ID を設定します。guid:seteuid

実際の有効なユーザ ID を設定します。guid:setreuid

実行ファイルのグループのパーミッションで実

行ファイルを実行できるグループ ID を設定し

ます。

guid:setgid

有効なグループ ID を設定します。guid:setegid

実際の有効なグループ ID を設定します。guid:setregid

UNIX プラットフォームごとのクラスとディレクティブWindows 以外のプラットフォームごとに有効なクラスとディレクティブは次のとおりです。

UNIX_bo クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXunixbo:binargs

XXunixbo:illegal_address

XXunixbo:exec

XXunixbo:enrironment

XXunixbo:binenv

XXunixbo:libc

UNIX_file クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXXXunixfile:chdir

XXXXunixfile:chmod

XXXXunixfile:chown

XXXXunixfile:create

XXXXunixfile:link

XXXXunixfile:mkdir

XXXXunixfile:read

XXXXunixfile:rename

XXXXunixfile:rmhdir

XXunixfile:setattr

XXXXunixfile:symlink

XXXXunixfile:unlink

XXXXunixfile:write

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)144

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXXXunixfile:mknod

XXXXunixfile:access

XXunixfile:foolaccess

XXunixfile:priocntl

UNIX_Misc クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXXXunixmisc:killagent

UNIX_apache クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXXXapache:requrl

XXXXapache:reqquery

XXXXapache:rawdata

UNIX_map クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXmmap:mprotect

XXmmap:mmap

UNIX_GUID クラス

Solaris 10Solaris 9SuSE LinuxRedHat Linuxディレクティブ

XXguid:setuid

XXguid:seteuid

XXguid:setreuid

XXguid:setgid

XXguid:setegid

XXguid:setregid

付録 A － カスタム シグネチャと例外の作成Windows 以外のカスタム シグネチャ

145McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

付録 B － トラブルシューティング

McAfee サポート サイト (http://mcafee.com) で KnowledgeBase の記事を参照すると、問

題とトラブルシューティングに関する最新のサポート情報を確認できます。最新の情報は

KB69184 です。

目次

全般的な問題

Host IPS ログ

Clientcontrol.exe ユーティリティ

全般的な問題

ソフトウェアを正常に動作させるには、クライアント システムに Host Intrusion Prevention

のどのサービスをインストールして実行する必要がありますか?

IPS またはファイアウォール (あるいはその両方) で侵入防止を行うには、次のサービスを

常時アクティブにしておく必要があります。

• McAfee Host Intrusion Prevention Service (FireSvc.exe)

• McAfee Firewall Core Service (mfefire.exe)

• McAfee Validation Trust Protection Service (mfevtps.exe)

次のサービスは、呼び出し時にアクティブになっている必要があります。

• McAfee Host Intrusion Prevention システム トレイ アイコン サービス (FireTray.exe).

• McAfee Host Intrusion Prevention クライアント コンソール (McAfeeFire.exe)

IP 以外のトラフィックがファイアウォールでブロックされないようにするには、どうしたら

よいですか。

ファイアウォール ルールで特に指定しない限り、IP 以外のトラフィックの一部はファイア

ウォールに認識されず、結果としてブロックされます。また、適応モードと学習モードでは、

IP 以外のプロトコルを動的に検出してファイアウォール ルールを作成しません。IP 以外の

プロトコルをブロックされないようにするには、[ファイアウォール オプション] ポリシー

で [サポートされていないプロトコルのトラフィックを許可する] を選択します。次に、ア

クティビティ ログで「Allowed Incoming/Outgoing Non-IP Protocol: 0xXXX」を確認しま

す。0xXXX は、プロトコルの IANA Ethernet 番号です

(htttp://www.iana.org/assignments/ethernet-numbers を参照)。この情報を使用して、必

要な IP 以外のトラフィックを特定し、トラフィックを許可するファイアウォール ルールを

作成します。

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)146

Host Intrusion Prevention のインストール後またはコンテンツの更新後にアプリケーショ

ンでエラーが発生したり、正常に機能しなくなった場合、どのようにすれば良いですか。

Host Intrusion Prevention クライアントのインストールまたは更新後、あるいはコンテン

ツの更新後にアプリケーションの動作が変わった場合には、問題の原因がシグネチャなどの

要素にあるかどうか確認する必要があります。

問題の原因が IPS シグネチャの場合:

1 クライアントで IPS ロギング (書き込み先は HipShield.log) とファイアウォール ロ

ギング (書き込み先は FireSvc.log) を有効にします。あるいは、ePolicy Orchestrator

サーバのクライアント UI ポリシーでこれらのロギングを有効にして問題を再現します。

2 HipShield.log で VIOLATION: を検索して、<Event> の違反情報を確認します。

3 イベントによって新しいシグネチャがアクティビティをブロックしている場合、ePolicy

Orchestrator サーバの [レポート] の下にある [Host IPS] で [イベント] タブを開

き、例外を作成します。例外は、イベントの詳細パラメータを使用して可能限り詳しく

設定してください。

4 イベントの詳細パラメータが制限されている場合には、イベント関連のシグネチャを表

示します。IPS シグネチャの説明に Common Vulnerabilities and Exposures (CVE) の

項目がある場合には、セキュリティ更新パッチが使用できます。このパッチを適用して

シグネチャを無効にします。

問題の原因が IPS シグネチャでない場合:

1 すべての Host Intrusion Prevention モジュール (IPS、ネットワーク IPS、ファイア

ウォール) を無効にして、問題が発生するかどうか再度確認します。

2 IPS を無効にして Host Intrusion Prevention クライアント サービス (FireSvc.exe)

を停止して、問題が発生するかどうか再度確認します。

3 問題が発生しない場合には、ePolicy Orchestrator サーバの [ファイアウォール オプ

ション] ポリシーで [サポートされていないプロトコルのトラフィックを許可する] を

選択し、ポリシーをクライアントに適用します。このオプションを設定して再度確認し

ます。注:ファイアウォールが無効になっていても、Host Intrusion Prevention がアク

ティブであれば、トラフィックがドロップする場合があります。

4 以上の操作を行っても問題が解決しない場合には、McAfee NDIS Intermediate Filter

Miniport アダプタを無効にして、問題が発生するかどうか再度確認します。

5 以上の操作を行っても問題が解決しない場合には、McAfee NDIS Intermediate Filter

Miniport アダプタを削除して、問題が発生するかどうか再度確認します。詳細について

は、KnowledgeBase の記事 51676 ( http://knowledge.mcafee.com) を参照してくださ

い。

6 NDIS の削除後、問題が発生しない場合には、KnowledgeBase の記事 68557 (

http://knowledge.mcafee.com) を参照してください。NDIS が削除され、Microsoft Pass

Thru ドライバがインストールされた状態でテストを行ってください。

問題発生時に IPS モジュールが有効で、同時に HipShield.log に <Event> 違反が記録され

ていない場合:

1 アプリケーションに関連付けられている実行ファイルを特定します。

2 Host IPS アプリケーション保護リストから実行ファイルを削除し、保護対象外にしま

す。

3 アプリケーションが正常に動作しているかどうか再度確認します。結果を記録します。

4 手順 2 で除外した実行ファイルを追加します。

5 問題の原因となっている可能性がある IPS エンジンを隔離します。詳細については、

KnowledgeBase の記事 54960 ( http://knowledge.mcafee.com) を参照してください。

付録 B － トラブルシューティング全般的な問題

147McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

6 問題の原因となっている IPS エンジンを特定します。

問題の原因を特定するために Host IPS コンポーネントをどのように隔離すればよいですか。

注意: このプロセスでは、再起動とログインを繰り返し、問題を何度も再現します。以下の

操作は、ローカルのクライアント システムで Host IPS コンソールから実行してください。

問題の原因が判明しても解決方法が分からない場合には、取得したログを McAfee サポート

に送付してください。

すべてのコンポーネントを無効にしてエラーのテストを行う:

1 IPS を無効にします。[IPS ポリシー] タブをクリックして、[Host IPS を有効にする]

と [ネットワーク IPS を有効にする] の選択を解除します。

2 ファイアウォールを無効にします。[ファイアウォール ポリシー] タブをクリックして、

[ファイアウォールを有効にする] の選択を解除します。

3 [ブロックされたホスト] リストのクリアします。[ブロックされたホスト] タブをクリッ

クして、項目を選択して [削除] をクリックし、リストをクリアします。

4 アクティビティ ログを有効にします。[アクティビティ ログ] タブをクリックして、す

べてのトラフィック ロギングとフィルタ オプションのチェックボックスが選択されて

いるかどうか確認します。

5 システムをテストし、問題が再現されるかどうか確認します。

• 問題が解決しない場合には、手順 6 に進みます。

• 問題が解決した場合には、「反復テスト フェーズ」の手順 1 に進みます。

6 以下の点を確認します。

• McAfee Host IPS サービスを停止して再度確認します。問題が解決された場合には、

サービスに直接関係する問題として問題を報告します。

• ローカル システムから Host IPS クライアントを削除して再度確認します。問題が

解決された場合には、特定のコンポーネントではなく、インストール済みのファイル

に関係する問題として問題を報告します。

各コンポーネントの反復テスト フェーズ:

Host IPS のテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [IPS ポリシー] タブをクリックして、[Host IPS を有効にする] を選択します。

3 システムをテストし、問題が再現されるかどうか確認します。

• 問題が再現されない場合には、「手順 5 ネットワーク IPS のテスト」に進みます。

• 問題が解決されない場合:

1 [ホスト IPS を有効にする] の選択を解除します。

2 問題が解決されたかどうか再度確認します。問題が解決された場合、Host IPS に

問題がある可能性があります。

3 アクティビティ ログのコピーを作成して「Host IPS Activity Log wProb」とい

う名前に変更し、サポートに報告します。

4 [Host IPS を有効にする] を選択して、問題が再度発生するかどうかを確認しま

す。

すべての IPS エンジンのテスト

1 [ヘルプ] をクリックして [トラブルシューティング] を選択します。

2 IPS ロギングの下の [エラー] を選択します。

付録 B － トラブルシューティング全般的な問題

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)148

3 [セキュリティ違反のログの記録] を選択します。

4 [機能] をクリックします。

5 [HIPS エンジン] ダイアログ ボックスで [すべてのエンジンを有効/無効にする] の選

択を解除し、[OK] をクリックします。

6 システムをテストし、問題が再現されるかどうか確認します。

7 次のいずれかの操作を実行します。

• 問題が再度発生する場合には、問題が特定のエンジンではなく IPS コンポーネント

が原因かどうか確認します。hipshield.log で、IPS コンポーネントに問題があるか

どうか確認します。

• 問題が発生しない場合には、特定のエンジンが原因で問題が発生している可能性があ

ります。次の手順「各 IPS エンジンのテスト」に進みます。

各 IPS エンジンのテスト

1 [ヘルプ] をクリックして [トラブルシューティング] を選択します。

2 IPS ロギングの下の [エラー] を選択します。

3 [セキュリティ違反のログの記録] を選択します。

4 [機能] をクリックします。

5 エンジンを選択して再度確認します。エンジンは 1 回に 1 つだけ選択します。

6 各テスト後の hipshield log のコピーを保存して、テストしたエンジンの名前をログの

ファイル名に付けてサポートに報告します。

7 テストが完了したら、すべてのエンジンを使用して次の手順に進みます。

IPS 適応モードのテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [IPS ポリシー] タブをクリックして、[適応モードを有効にする] を選択します。

3 システムをテストし、問題が再現されるかどうか確認します。

4 次のいずれかの操作を実行します。

• 問題が発生する場合には、[適応モードを有効にする] の選択を解除して、問題が解

決するかどうか再度確認します。解決しない場合、適応モードの Host IPS が原因で

問題が発生している可能性があります。アクティビティ ログのコピーを作成して

「Host IPS Adaptive Activity Log wProb」という名前に変更し、サポートに報告し

ます。

• 問題が発生しない場合には、[Host IPS を有効にする] の選択を解除して次の手順に

進みます。

ネットワーク IPS のテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [IPS ポリシー] タブをクリックして、[ネットワーク IPS を有効にする] を選択しま

す。

3 システムをテストし、問題が再現されるかどうか確認します。

4 次のいずれかの操作を実行します。

• 問題が発生する場合には、[ネットワーク IPS を有効にする] の選択を解除して、問

題が解決するかどうか再度確認します。解決した場合、ネットワーク IPS が原因で

問題が発生している可能性があります。アクティビティ ログのコピーを作成して

「Network IPS Activity Log wProb」という名前に変更し、サポートに報告します。

• 問題が発生しない場合には、[ネットワーク IPS を有効にする] を選択して次の手順

に進みます。

付録 B － トラブルシューティング全般的な問題

149McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

ネットワーク IPS の自動ブロックのテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [IPS ポリシー] タブをクリックして、[ネットワーク IPS を有効にする] を選択しま

す。

3 [攻撃者を自動的にブロックする] チェックボックスをクリックします。

4 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a [攻撃者を自動的にブロックする] の選択を解除して、問題が解決したかどうか再度

確認します。解決した場合、攻撃者ブロック モードのネットワーク IPS が原因で

問題が発生している可能性があります。

b [ブロックされたホスト] タブをクリックして、ブロックされた攻撃者の項目をメモ

し、誤検知かどうか確認します。

c アクティビティ ログのコピーを作成して「Network IPS Adaptive Activity Log

wProb」という名前に変更し、サポートに報告します。

5 問題が発生しない場合には、[ネットワーク IPS を有効にする] の選択を解除して次の

手順に進みます。

ファイアウォール ポリシーのテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [ファイアウォール ポリシー] タブをクリックして、[ファイアウォールを有効にする]

を選択します。

3 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a [ファイアウォールを有効にする] の選択を解除します。

b 問題が解決されたかどうか再度確認します。解決した場合、Host IPS ファイアウォー

ルが原因で問題が発生している可能性があります。

c アクティビティ ログ のコピーを作成して名前を Firewall Activity Log wProb に

変更します。

4 問題が発生しない場合には、[ファイアウォールを有効にする] を選択して次の手順に進

みます。

ファイアウォールの学習モードのテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [ファイアウォール ポリシー] タブをクリックして、[学習モード] と [受信] を選択し

ます。[送信] の選択を解除します。

3 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a [受信] の選択を解除します。

b 問題が解決されたかどうか再度確認します。解決した場合、受信学習モードのファ

イアウォールが原因で問題が発生している可能性があります。

c アクティビティ ログのコピーを作成して「Firewall Activity Log LearnIN wProb」

という名前に変更し、サポートに報告します。

d [アクティビティ ログ] タブをクリックしてログをクリアします。

4 [アクティビティ ログ] タブをクリックしてログをクリアします。

5 [ファイアウォール ポリシー] タブをクリックして、[学習モード] と [送信] を選択し

ます。[受信] の選択を解除します。

付録 B － トラブルシューティング全般的な問題

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)150

6 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a [送信] の選択を解除します。

b 問題が解決されたかどうか再度確認します。解決した場合、送信学習モードのファ

イアウォールが原因で問題が発生している可能性があります。

c アクティビティ ログのコピーを作成して「Firewall Activity Log LearnOUT wProb」

という名前に変更し、サポートに報告します。

d [アクティビティ ログ] タブをクリックしてログをクリアします。

7 [ファイアウォール ポリシー] タブに移動します。

8 [ファイアウォール ポリシー] タブをクリックして、[学習モード]、[受信] と [送信]

を選択します。

9 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a [受信] と [送信] の選択を解除します。

b 問題が解決されたかどうか再度確認します。解決した場合、受信および送信学習モー

ドのファイアウォールが原因で問題が発生している可能性があります。

c アクティビティ ログのコピーを作成して「Firewall Activity Log LearnINOUT

wProb」という名前に変更し、サポートに報告します。

ファイアウォールの Any Any ルールのテスト

注意: この手順では、ファイアウォール ルール リストの最初のルールを Any Any テスト

ルールにする必要があるため、ePO 管理コンソールからの設定が必要になる場合があります。

他のポリシーをコンソールから設定している場合には、ローカルで作成したルールよりも優

先順位を高くしてください。

1 新しいルールを作成して「Any Any」という名前を付けます。

2 アクションを「許可」に設定します。

3 プロトコルを「IP TCP」に設定します。

4 方向を「いずれか」に設定します。

5 ルールを保存します。ePO コンソールでポリシーにルールを作成した場合には、ポリシー

リストで Any Any ルールを最初のルールにします。ルールをローカルで作成した場合に

は、他のルールの優先度をこのルールよりも低くしてください。

6 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

次の操作を行います。

a Any Any ルールの選択を解除します。

b 問題が解決されたかどうか再度確認します。問題が解決した場合には、ルールの設

定エラーが原因で問題が発生している可能性があります。

c [ファイアウォール ポリシー] タブで、ファイアウォール リストのスクリーンショッ

トを取得します。

d アクティビティ ログ のコピーを作成して名前を Firewall Activity Log AnyAny

Test に変更します。

e Host IPS ポリシー の設定をエクスポートします。

a ePO コンソールにログオンします。

b ePO システム ツリーで [ポリシー カタログ] オブジェクトに移動します。

c 「Host IPS」を選択して展開します。

d [すべてのポリシーをエクスポート] をクリックします。

付録 B － トラブルシューティング全般的な問題

151McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

7 [ファイアウォール ポリシー] タブをクリックして [ファイアウォールを有効にする]

チェックボックスの選択を解除して、次の手順に進みます。

ブロックされたホスト ポリシーのテスト

1 [アクティビティ ログ] タブをクリックしてログをクリアします。

2 [ブロックされたホスト] タブをクリックして、ブロックされたホストをすべてリストか

ら削除します。

3 システムをテストし、問題が再現されるかどうか確認します。問題が発生する場合には、

ブロックされたホストが原因で問題が発生している可能性があります。

問題の原因が特定できない場合には、McAfee サポートに連絡し、問題の説明してください。

また、このプロセスで取得したデータを送付してください。

Host IPS ログ

ログ ファイルの場所

クライアントのオペレーティング システムによって、ログ ファイルの保存場所が異なりま

す。

• Windows XP、Windows 2003 － C:\Documents and Settings\All Users\Application

Data\McAfee\Host Intrusion Prevention

• Windows Vista、Windows 2008、Windows 7 － C:\ProgramData\McAfee\Host Intrusion

Prevention

ロギングを有効にする方法

Host IPS ロギングは、Host IPS クライアント コンソールまたは ePolicy Orchestrator コ

ンソールの Host IPS クライアント UI ポリシーから設定できます。

クライアントからロギングを有効にするには、次の手順に従います。

1 トレイ アイコンから Host IPS コンソールを開きます。管理者パスワードまたは期限付

きパスワードを使用して、ユーザ インターフェースのロックを解除します。

2 [ヘルプ]、[トラブルシューティング] の順に選択します。

3 必要なロギング設定を選択します。

• デバッグ － すべてのメッセージを記録します。

• 情報 － 情報、警告、エラー メッセージを記録します。

• 警告 － 警告とエラー メッセージを記録します。

• エラー － エラー メッセージを記録します。

• 無効 － メッセージを記録しません。

ファイアウォール ロギングと IPS ロギングは別々に制御されます。クライアント コン

ソールがロックされ、次のポリシー施行が実行されるまで、これらのロギングは有効で

す。

注意: HKLM\Software\McAfee\HIP レジストリ キーに DWORD 'debug_enabled' 値を追加する

と、ロギングをローカルで設定できます。10 進数の 1 は、冗長デバッグ ロギングを有効に

します。ローカルのレジストリ キーを使用してデバッグ ロギングの設定を変更すると、

ePolicy Orchestrator で設定したポリシーが上書きされます。

ePolicy Orchestrator からロギングを有効にするには、次の手順に従います。

付録 B － トラブルシューティングHost IPS ログ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)152

1 Host IPS の [全般] で、クライアントに適用するクライアント UI ポリシーを編集しま

す。

2 [トラブルシューティング] タブをクリックします。

3 必要なロギング設定を選択します。

• デバッグ － すべてのメッセージを記録します。

• 情報 － 情報、警告、エラー メッセージを記録します。

• 警告 － 警告とエラー メッセージを記録します。

• エラー － エラー メッセージを記録します。

• 無効 － メッセージを記録しません。

ファイアウォール ロギングと IPS ロギングは別々に制御されます。これらのロギング

設定は、次のポリシー施行時に適用されます。

Host IPS コンポーネントとログ ファイル

Host IPS コンポーネントの基本的なログ ファイルは HipShield.log です。ログ ファイル

の最大サイズは 128 MB です。バックアップは 1 つ作成されます。

ログ ファイルの再利用は、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP レジストリ キーの

DWORD 項目(log_rotate_size_kb と log_rotate_count) で制御します。log_rotate_count

キーによって、保存されるバックアップ ログ ファイルの数が決まります。

entrylog_rotate_size_kb は、バックアップ ログ ファイルのサイズ (KB 単位) です。0 に

設定すると、ログの再利用は無効になります。

log_rotate_size_kb に設定されたサイズを超えると、ファイルを閉じ、ファイル名の最後に

.1 というサフィックスが付きます。同じ名前のファイルが存在していると、サフィックスが

1 つづ増えます。バックアップ ファイルの最大数になると、最も古いファイルが削除されま

す。

注意: McAfee サポートに報告するインシデント データを収集する場合、debug_enabled レ

ジストリを作成して値を 1 に設定することをお勧めします。このレジストリ値を使用する

と、シグネチャ プロパティのログ ステータスの設定に関係なく、Host IPS とネットワーク

IPS のすべてのイベントが HIPShield.log に記録されます。サービスを停止して、古いログ

ファイルを削除し、サービスを再起動してログを再生成します。これにより、ログ ファイル

のサイズが最小になります。

HipShield.log の内容

Host IPS コンポーネントを実行すると、実行されるビルドとセッションのタイムスタンプが

分かるバナー ステートメントが表示されます。HipShield ログの各項目は、タイムスタンプ

の後にデータの種類 (情報、デバッグ、エラー) が記録されます。HipShield のデータは特

別で、Host IPSコンポーネントによって異なります。

重要な領域は次のとおりです。

• 「In install modules new」で始まる行は、Host IPS コンポーネントの開始時にファイ

ルがコピーされたことを表します。ファイルのコピーに失敗すると、Host IPS コンポー

ネントは開始しません。

• 「Scrutinizer initialized successfully」で始まる行は、Scrutinizer の初期化で Host

IPS コンポーネントの読み込みに成功していることを意味します。これは、前述のファイ

ルが正しくコピーされているかどうかによって異なります。

• 「New Process: Pid=」で始まる行は、Host IPS コンポーネントでプロセス作成の監視が

可能になったことを意味します。

• 「IIS - Start」で始まる行は、IIS による監視が開始したことを意味します。

付録 B － トラブルシューティングHost IPS ログ

153McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• 「Scrutinizer started successfully ACTIVATED status」で始まる行は、Scrutinizer

が正常に開始したことを意味します。

• 「Hooking xxx」で始まる行は、プロセス フックの処理中であることを意味します。xxx

は、フックされているプロセスの PID (プロセス ID) です。

• 「Processing Buffer xxx.scn」で始まる一連の行は、スキャン ファイル xxx.scn の処

理結果を報告しています。xxx は、EnterceptMgmtServer のような名前です。スキャン

ファイルのスキャン エラーがここで報告されます。

• 「signature=111 level=2, log=True」という形式の行は、個々のシグネチャが読み込ま

れたことを意味しています。シグネチャ ID とレベルで、このシグネチャでロギングが有

効かどうか分かります。

注意: デバッグを有効にした場合にのみ Shield.db と except.db がログと同じディレクト

リに作成されます。これらのファイルには、AgentNT.dll がコンテンツを処理した後のカー

ネルに送信されるルールと例外のダンプが記録されます。

ファイアウォール コンポーネントとログ ファイル

ファイアウォール コンポーネントの基本的なログ ファイルと内容は次のとおりです。

記録されるデータ説明名前

メインのサービス ログFireSvc.log • デバッグ レベルのロギング

• 出力に一致する場所

• TrustedSource 接続評価の出力

• エラー/警告

McAfee Agent プラグイン

ログ

HipMgtPlugin.log • デバッグ レベルのロギング

• ポリシー施行のタイミング統計

• エラー/警告

トレイ ログFireTray.log/McTrayHip.log • デバッグ レベルのロギング

• エラー/警告

クライアント UI ログFireUI.log • デバッグ レベルのロギング

• エラー/警告

これらのログ ファイルには、デフォルトの最大サイズの 100MB になるまでデータが記録さ

れます。ログ ファイルのサイズを変更するには、次のレジストリ 値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize

ログ サイズを設定するには、次の手順に従います。

1 HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP レジストリ キーを選択して、右ペインの空

白部分を右クリックし、[新規]、[Dword 値] の順に選択します。

2 新しい値に「MaxFwLogSize」という名前を設定します。

3 MaxFwLogSize を右クリックして [変更] を選択します。

4 ログ サイズに必要な値に変更します。値は KB 単位で入力します。

5 [OK] をクリックして、レジストリ エディタをクリックします。

注意: MaxFwLogSize レジストリ キーによって、FireSvc.log、HipMgtPlugin.log、

FireTray.logand FireUI.log のサイズを制御できます。前述のレジストリ キーに値を作成

して割り当てると、これらのログ ファイルの最大サイズが設定されます。

付録 B － トラブルシューティングHost IPS ログ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)154

Clientcontrol.exe ユーティリティこのコマンドライン ユーティリティを使用すると、クライアント コンピュータへの Host

Intrusion Prevention の配布にサードパーティ ソフトウェアを使用している場合に、自動

アップグレードやその他のメンテナンス タスクを行うことができます。このインストールと

メンテナンス スクリプトを実行すると、IPS 保護を一時的に無効にしてロギング機能を有効

にできます。

機能とセットアップ

このユーティリティを使用すると、管理者は、McAfee Host IPS クライアントに次の操作を

実行できます。

• Host IPS サービスの開始

• Host IPS サービスの停止 (管理者または期限付きのパスワードが必要)

• ログ設定の変更 (管理者または期限付きのパスワードが必要)

• Host IPS エンジンの開始と停止 (管理者または期限付きのパスワードが必要)

• 書式設定されたテキスト ファイルへのアクティビティ ログのエクスポート

• クライアント コンピュータのレジストリに登録されている NaiLite ライセンス データ

の表示

• 書式設定されたテキスト ファイルへの設定情報のエクスポート

• デフォルト ポリシー設定での設定情報の置換

• レジストリからの IPS 起動時保護ルールのエクスポート

このユーティリティは、次の場所にある ClientControl.log にアクティビティを記録しま

す。C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion

Prevention。Windows Vista、Windows 2008、Windows 7 の場合には、

C:\ProgramData\McAfee\Host Intrusion Prevention。

ロギングを有効にするには、レジストリの HKLM\Software\McAfee\HIP を変更し、DWORD タ

イプ FwLogLevel を追加して、値を 0x7 に設定します。

Host IPS サービスの停止

ユーザにサービスを停止する管理者権限がある場合、/stop パラメータを指定すると、Host

IPS サービスを停止できます。ユーザにコンピュータでサービスを停止する権限がある場合、

次の処理が実行されます。

• Host IPS サービスが無効になります。[IPS ポリシー] タブの [Host IPS] チェックボッ

クスの選択が自動的に解除されます。

• Host IPS サービスは停止しません。ClientControl.log に項目が作成されます。

• 次のポリシー施行間隔で McAfee Agent がポリシーを施行します。

• 保護を無効にする必要がある作業を行っているときに (Windows パッチの適用など) McAfee

Agent がポリシーを施行すると、施行されたポリシーによって操作がブロックされる可能

性があります。

Host IPS サービスの停止に成功しても、ポリシー設定によっては、次のエージェント/サー

バ間通信 (ASCI) で McAfee Agent がサービスを再起動する場合があります。この処理を回

避するには、次の手順に従います。

1 ePolicy Orchestrator で Host Intrusion Prevention の全般ポリシーを開きます。

2 [詳細設定] タブを選択します。

3 [製品の整合性確認を実行する] の選択を解除します。

付録 B － トラブルシューティングClientcontrol.exe ユーティリティ

155McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

4 エージェント ウェークアップ コールを実行します。

コマンドライン構文

表記規則:

• [ ] は必須を意味します。

• [xxx, ...] は 1 つ以上を意味します。

• < > はユーザが入力するデータを意味します。

主な引数:

次の引数は呼び出し時に 1 回だけ使用できます。

• /help

• /start

• /stop

• /log

• /engine

• /export

ただし、ログ設定を変更する場合には、複数のログ オプションを指定できます。

/help コマンドを使用してユーティリティを実行すると、最新のヘルプ情報と補足情報が表

示されます。

使用方法:

clientcontrol [arg]

引数の定義:

• /help

コマンドライン構文と説明を表示します。

• /start

サービスを開始します。

• /stop <パスワード>

サービスを停止します。

• /log <パスワード> [ログの種類] [ログ オプション]

ログを生成します。ログ オプションは順番に処理されます。

ログの種類は次のとおりです。

• 0 = HIPS (HipShield.log を作成)

• 1 = Firewall (FireSvc.log を作成)

ログ オプションは次のとおりです。

• 0 = オフ

• 1 = エラー

• 2 = 警告

• 3 = 情報

• 4 = デバッグ

• 5 = セキュリティ違反 (IPS のみ)

• /engine <パスワード> [エンジンの種類] [エンジン オプション]

付録 B － トラブルシューティングClientcontrol.exe ユーティリティ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)156

エンジンをオフまたはオンにします。

エンジンの種類は次のとおりです。

• 0 = すべて

• 1 = バッファ オーバーフロー

• 2 = SQL (サーバのみ)

• 3 = レジストリ

• 4 = サービス

• 5 = ファイル

• 6 = HTTP (サーバのみ)

• 7 = Host IPS API

• 8 = 不正利用

• 9 = プログラム

• 10= フック

エンジン オプションは次のとおりです。

• 0 = オフ

• 1 = オン

• /export /s <エクスポート ソース ファイルのパス> <イベント ログ エクスポート ファ

イルのパス>

書式設定されたテキスト ファイルにイベント ログをエクスポートします。ソース ファ

イルのパスはオプションです。ソース ファイルがない場合には /s を付けないでくださ

い。

• /readNaiLic

NaiLite ライセンス データを表示します。

• /exportConfig <エクスポート ファイルのパス> <設定タイプ>

書式設定されたテキスト ファイルに設定情報をエクスポートします。

設定情報の種類は次のとおりです。

• 0 = すべて

• 1 = アプリケーション保護

• 2 = ブロックされたホスト

• 3 = ファイアウォール

• 4 = Host IPS カスタム シグネチャ

• 5 = IPS 例外

• 6 = 設定

• 7 = 信頼できるアプリケーション

• 8 = 信頼できるネットワーク

• 9 = ネットワーク IPS シグネチャ

• 10 = Host IPS シグネチャ

• 11 = Host IPS エンジン

• 12 = ログオン セッション

• 13 = DNS ブロック ルール

付録 B － トラブルシューティングClientcontrol.exe ユーティリティ

157McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

• /defConfig <パスワード>

クライアント デフォルト ポリシーでアプリケーション保護、ファイアウォール、信頼で

きるアプリケーションの設定を置換します。

• /bootTimeRules <パスワード> <エクスポート ファイルのパス>

書式設定されたテキスト ファイルに IPS 起動時ルールをエクスポートします。

注意:

• 引数、パスワード、その他の必須パスワードの間には 1 つ以上のスペースを入れてくだ

さい。

サンプル ワークフロー

McAfee Host IPS で保護されているコンピュータへのパッチの適用

1 コマンド シェルを開きます。

2 clientcontrol.exe /stop <パスワード> を実行します。

3 メンテナンス作業を実行します。

4 clientcontrol.exe /start を実行します (Host IPS サービスを再起動します)。

テキスト ファイルへの Host IPS アクティビティ ログのエクスポート

1 コマンド シェルを開きます。

2 clientcontrol.exe /export <エクスポート ファイルのパス> を実行します。

3 エクスポートされたログ ファイルを別のコンピュータにコピーし、データの収集と分析

を行います。

トラブルシューティングでのロギング機能の有効化

1 コマンド シェルを開きます。

2 clientcontrol.exe /log <パスワード> [ログの種類] [ログ オプション, ...] を実行します。

3 ログ項目を生成する作業を実行します。

4 HipShield.log または FireSvc.log で関連する情報を確認します。

トラブルシューティングでの特定の Host IPS エンジンの無効化

1 コマンド シェルを開きます。

2 clientcontrol.exe /<パスワード> [エンジンの種類] [エンジン オプション] を実行します。

3 ログ項目と対応を生成する作業を実行します。

4 HipShield.log または FireSvc.log で関連する情報を確認します。

付録 B － トラブルシューティングClientcontrol.exe ユーティリティ

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)158

索引

記号[ブロックされたホスト] タブ、作業 99

CClientControl ユーティリティ

コマンドライン構文 155

サービスの停止 155

トラブルシューティング 155

機能とセットアップ 155

DDNS ブロック ルール

作成と編集 75

HHost IPS

[侵入情報] タブ 94

アラートへの対応 94

ポリシーおよびポリシーのカテゴリ 9

ポリシーの種類 8

基本的な保護と詳細な保護 7

機能 7

機能とカテゴリ 9

権限セット 25

動作とダッシュボード 13

保護を設定および調整する方法 19

Host IPS カタログ

エクスポート 76

コンテンツ 62

フィルタリング 76

依存関係 62

使用 76

説明 62

追加 76

編集 76

Host IPS の調整

イベントの分析 17

デフォルト ポリシー 18

ポリシーの管理 10

使用方法プロファイル 10

手動と自動 19

信頼できるアプリケーション ポリシー 85

適応モードと学習モード 21

Host IPS プロパティ変換タスク 26

IIP アドレス

Host IPS の通知およびパラメータ 27

ステートフルなファイアウォール、IPv4 と IPv6 64

ファイアウォール ルール 97

ブロックされたホストの監視 99

ルール グループ 59

IP アドレス (続き)場所別グループ 59

信頼できるネットワークの設定 84

IPS イベント

概要 51

管理 52

処理 51

信頼できるアプリケーション、作成 51

説明 35

例外、作成 51

IPS オプション ポリシー

概要 31

事前設定ポリシー 37

処理 36

設定 37

説明 8

適応モード 36

IPS ルールのポリシー

ワイルドカード 45

アプリケーション保護ルール 35, 46, 48

アプリケーション保護ルール、設定 39

イベント、作業 51

イベントのログ 35

シグネチャ、処理 42

シグネチャ、設定 39

概要 31

設定 39, 48

説明 8

定義 39

例外、設定 39

例外の管理 50

例外ルール 49

IPS 保護

無効 36

有効 36

IPS 保護ポリシー

概要 31

重大度レベル、設定 37

処理 37

処理、設定 38

設定 38

説明 8

IPS、Host IPS

権限 25

LLinux クライアント 105, 106, 108

インストール ファイルの確認 108

トラブルシューティング 106, 108

ポリシーの施行 105

概要 105

注意事項 106

停止と再起動 108

159McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

MMcAfee デフォルト ポリシー

DNS ブロック 72

Host IPS 9

IPS オプション 36

IPS ルール 39

IPS 保護 37

クライアント UI 80

ファイアウォール オプション 69

ファイアウォール ルール 72

信頼できるアプリケーション 85

信頼できるネットワーク 84

McAfee 推奨事項

HIPS エンジンを無効にする場合の McAfee サポートへの問い合

わせ 93

Host IPS クライアントの論理的なグループ分け 20

Host IPS のデフォルト ポリシーの調整 18

Host IPS の条件によるシステムのグループ化 10

イベントの影響を緩和する IPS 保護の使用 10

段階的な Host IPS の配備 20

NNIPS (ネットワーク侵入防止のシグネチャ) 99

SSolaris クライアント

インストール ファイル 104

クライアントの実行状況の確認 105

トラブルシューティング 103

バッファ オーバーフローの防止 102

ポリシーの施行 102

概要 102

停止と再起動 105

TTrustedSource

Host IPS ファイアウォール オプション ポリシー 71

よくある質問 71

機能 71

定義 71

WWindows クライアント

[IPS ポリシー] タブ 96

[アクティビティ ログ] タブ 101

[アプリケーション保護] タブ 100

[ファイアウォール ポリシー] タブ 97, 98

[ブロックされたホスト] タブ 99, 100

IPS ポリシー、作業 96

IPS ポリシー、編集 96

IPS ポリシーの例外ルール 96

アラート 93

トラブルシューティング 92, 93

ファイアウォール ルール リスト 97

ファイアウォール ルール、作成と編集 98

概要 88

Windows クライアント コンソール

インターフェースのロックの解除 90

クライアント別のカスタマイズ 91

システム トレイ アイコンのメニュー 88

開く方法 90

概要 88

あアクションの許可およびブロック

ステートフル ファイアウォール フィルタ 65

ネットワーク通信、ファイアウォール ポリシー 97

アクティビティ ログ、Host IPS

[アクティビティ ログ] タブの操作 101

IPS ロギング オプション 92

オプションのカスタマイズ 101

ファイアウォール ロギング オプション 93

項目の削除 101

表示 101

アプリケーション保護ルール

IPS ルールのポリシー 35, 39, 49

プロセス、許可またはブロック 46

概要 46

作成 49

処理 46

設定 48

説明 35

アラート、Host IPS

Windows クライアント 93

クライアントのオプションの設定 91

スプーフィング検出 95

ファイアウォール 94

学習モードと不明なネットワーク トラフィック 68

侵入アラート 94

対応 94, 95

いイベント、Host IPS

IPS ルールのポリシー 39

シグネチャの違反 35

ファイアウォール、アクティビティ ログ 101

ログおよび [IPS イベント] タブ 35

解析と調整 10

管理 52

処理 51

侵入アラート、対応 94

通知 27

動作ルール 34

例外 35

うウェークアップ コール

Host IPS クライアントの更新 30

えエンベロープとシールド 32

かカスタム シグネチャ

Linux 136

Linux で有効なディレクティブ 144

Linux と Solaris の概要 136

Linux、UNIX_apache (HTTP) 140

Linux、UNIX_file (Files) 137

Linux、UNIX_misc 142

Solaris 136

Solaris で有効なディレクティブ 144

Solaris、UNIX_apache (HTTP) 140

Solaris、UNIX_bo 142

Solaris、UNIX_file (Files) 137

Solaris、UNIX_GUID 143

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)160

索引

カスタム シグネチャ (続き)Solaris、UNIX_map 143

Solaris、UNIX_misc 142

Windows で有効なディレクティブ 133

Windows の概要 116

Windows、Buffer Overflow 117

Windows、Files 118

Windows、Hook 121

Windows、Illegal 122

Windows、Illegal API Use 122

Windows、Isapi 123

Windows、Program 126

Windows、Registry 127

Windows、Services 130

Windows、SQL 132

Windows、プラットフォームごとのディレクティブ 133

オプションのセクション 113

セクションでの値の変数 114

ルールの構造 110

ワイルドカード 114

共通セクション 111

くクエリ、Host IPS

カスタム、パラメータ 14

レポート 10

情報の管理 13

定義済みとカスタム 14

動作の追跡 14

クライアント

Host IPS クライアントのデータの解析 21

Host IPS の調整 21

Host IPS の命名規則 20

Linux (「Linux クライアント」を参照) 105

Solaris (「Solaris クライアント」を参照) 102

Windows (「Windows クライアント」を参照) 88

グループのクエリ 14

タスクまたはエージェント ウェークアップ コールによる更新

30

作業、Host IPS 20

クライアント UI ポリシー

[全般] タブ、設定 81

オプション 91

トラブルシューティング 82

トレイ アイコンの制御、設定 81

パスワード 81

概要 79

設定 80

説明 8

定義 80

クライアント ルール

ファイアウォール 69, 77

Host IPS クエリ 14

IPS 39

IPS ルールのポリシー、概要 54

ファイアウォール 69, 77

作成、適応モードおよび学習モード 10

例外の作成 35

グループ、Host IPS

ファイアウォールの作成、場所別 75

ポリシーの割り当て 9

ポリシーの削除と継承 17

ポリシーの適用方法 9

継承 9

設定条件 10

グループ、Host IPS (続き)通知 27

グローバル管理者

権限セットの割り当て 25

こコマンドライン オプション

ClientControl.exe、自動更新 92

Linux クライアントが実行されているかどうかの確認 108

Linux クライアントの停止と再起動 108

Solaris クライアント、再起動 105

Solaris クライアントの実行状況の確認 105

Solaris クライアントの停止 105

コンプライアンス

Host IPS のダッシュボードを表示するように設定 18

さサーバ タスク、Host IPS

イベント ログを削除 26

クエリのエクスポート 26

クエリを実行 26

プロパティ変換 26

ポリシーをエクスポート 26

リポジトリのプル 26

脅威イベント ログを削除 26

更新のチェックイン 29

配備の管理 25, 26

しシールドとエンベロープ

IPS 動作ルール 34

シグネチャ

HIPS、説明 33

Host IPS とネットワーク IPS 27

Host IPS ポリシーの調整 10

Host IPS、例外 94

IPS ルールのポリシー 39

IPS ルールのポリシーの設定 43

NIPS、説明 33

アラートと NIPS シグネチャ 94

ウィザードを使用した作成 45

エキスパート向けの方法での作成 44

カスタム 42

カスタム Host IPS の作成 44

デフォルトの Host IPS 42

ネットワーク 42

ホスト 42

種類 42

重大度レベル 37, 42

処理 42

定義 33

標準方法での作成 44

例外 35

例外ルール リスト 96

シグネチャの重大度レベル

種類 42

システム コールの遮断 32

システム トレイ アイコン

Host IPS 機能の無効化 81

クライアントのオプションの設定 91

システム管理

Host IPS イベントの通知 27

Host IPS のサーバ タスク 25, 26

Host IPS 保護の更新 28

索引

161McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

すステートフル ファイアウォール

ステートフル フィルタの機能 65

パケット検査、機能 66

プロトコル追跡 67

スプーフィング検出アラート 95

たダッシュボード

Host IPS の情報の管理 13

クエリと Host Intrusion Prevention 10

コンプライアンスと Host IPS の問題の表示 18

デフォルトの Host IPS モニタ 13

とトラブルシューティング、Host IPS

ClientControl ユーティリティの使用 155

hipts ツール 103, 106

Host Intrusion Prevention がインストールされたアプリケー

ションの障害 146

Host IPS エンジンの無効化 93

IP 以外のトラフィックのブロック 146

Linux クライアント 105, 106

Solaris クライアント 103

Windows クライアント 92

オプション 92

クライアント UI 82

サービスの実行状況の確認 146

ファイアウォール ロギング、オプションの設定 93

ログの使用 152

問題の原因となるコンポーネントの隔離 146

ねネットワーク アダプタ

接続を許可する条件 59

ネットワーク侵入防止のシグネチャ 33

はパスワード

hipts トラブルシューティング ツールの使用 103

Windows クライアント コンソールのロックの解除 90

クライアント UI ポリシー 81

パッケージ

Host IPS のコンテンツ更新 28

バッファ オーバーフロー

IPS 動作ルール 34

Solaris クライアントの保護 102

信頼できるアプリケーション ポリシーの設定 85

ひヒント

通知の使用 27

ふファイアウォール DNS ブロック ポリシー

概要 56

説明 8

定義 72

ファイアウォール オプション ポリシー

TrustedSource 71

概要 56

処理 69

ファイアウォール オプション ポリシー (続き)設定 70

説明 8

ファイアウォール ポリシー、Host IPS

機能の概要 56

ファイアウォール ルール

作成と編集 74

ファイアウォール ルール ポリシー

ワイルドカード 78

クライアント ルール、管理 77

グループ、作成 74

設定 73

ファイアウォール ルールのポリシー

概要 56

説明 8

定義 72

ファイアウォール、Host IPS

ステートフル パケット検査 64, 66

DNS ブロック ルール 75

アクション、許可およびブロック 65

アラート 94

オプションのカスタマイズ 98

クエリ 14

クライアント ルール 14, 69

ステートフル パケット フィルタ 64

ステートフル パケット検査 64, 66

ステートフル フィルタ、機能 65

ステートフルなプロトコル追跡 67

ファイアウォール オプション、設定 70

ファイアウォール ルール 74

ファイアウォール ルール グループ、作成 74

ファイアウォール ルール リスト、順序付け 57

ファイアウォール ルール、設定 73

ファイアウォール ルールの機能 57

ファイアウォールのルール 10, 72

ルール グループ 59

ルール グループ、場所別 59

ルール、許可およびブロック 57

ルールのリスト 73, 97, 98

ロギング オプション 93

概要 56

学習モードと適応モード 68

権限 25

場所別グループ 75

状態テーブル 64

説明 8

ファイアウォール保護

無効 69

有効 69

フィルタ

Host IPS のイベントとクエリ 10

ファイアウォール ステートフル フィルタの機能 65

フィルター

Host IPS の動作のクエリ 14

プロトコル

追跡、ステートフル ファイアウォール 67

ほポート

FTP 接続とステートフル パケット検査 66

ファイアウォールと状態テーブルのエントリ 64

ブロックされたトラフィックとファイアウォール ルール 68

接続とファイアウォール アラート 94

ホスト侵入防止のシグネチャ 33

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)162

索引

ポリシー カタログ

Host IPS ポリシーの管理 17

Host IPS ポリシーの所有 8

カスタム ファイアウォール ポリシー、作成 69, 72

クライアント UI 80

信頼できるアプリケーション 85

信頼できるネットワーク 84

ポリシー、Host IPS

移行 23

IPS オプションの設定 37

アラートへの対応 95

クライアント ルール、例外の作成 10

デフォルト、基本的な保護 7

デフォルトの調整 18

ファイアウォール (「ファイアウォール、ホスト IPS」を参照)

8

ファイアウォール DNS ブロック 72

ファイアウォール オプション 69, 70

ファイアウォール ルール 72, 73

ポリシー カタログ 17

ポリシーのカテゴリ 9

ポリシーの適用方法 9

ポリシーの表示 17

割り当て 19

割り当てられた所有者 9

管理 17

機能の概要 8, 31

継承 10

使用方法プロファイルと調整 10

事前設定保護 10

場所 17

新規作成 19

定義 9

複数のインスタンス 40, 86

無効、クライアント例外 10

ポリシーの割り当て

Host IPS 9

ファイアウォール保護の有効化 69

変更 19

ポリシーの管理

[ポリシー] タブ、Host IPS 17

Host IPS のイベントおよびクライアント ルールの分析 17

Host IPS の調整 10, 19

Host IPS ポリシーの追跡 10

Host IPS ポリシーへのアクセス 17

Linux クライアント 105

ポリシーの施行

Host IPS 9

Host IPS クライアントと ePO 7

Linux クライアント 105

Solaris クライアント 102

まマルチインスタンス ポリシー

よくある質問 40

配備での使用 40

有効なポリシー 40

割り当て 40, 86

ゆユーティリティ

ClientControl.exe、自動更新 92

よよくある質問

適応モード 22

マルチインスタンス ポリシー 40

るルール グループ、Host IPS

ファイアウォール ルール グループ、作成 74

ルール リスト

Host IPS のファイアウォール ルール 98

Host IPS の例外 96

ルールの構造

カスタム シグネチャ 110

ろログ

FireSvc.log 152

HipShield.log 152

IPS の機能 152

トラブルシューティングでの使用 152

ファイアウォールの機能 152

有効化 152

ログ ファイル、Host IPS

IPS の動作 92

Linux クライアント、インストール履歴 108

Solaris クライアント、インストール履歴 104

クライアント UI のトラブルシューティング 82

トラブルシューティング 103, 106

ファイアウォールの動作 93

わワイルドカード

IPS ルール 45

ファイアウォール ルール 78

カスタム シグネチャ 114

索引

163McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)

McAfee Host Intrusion Prevention 8.0 製品ガイド (ePolicy Orchestrator 4.0 用)164

索引