[適応モード] と [学習モード]

保護設定をさらに調整する手段として、Host Intrusion Prevention エージェントでは、正当な動作をブロックしてしまうサーバで指示したポリシーに対して、クライアント側で例外ルールを作成できます。クライアント ルールは、エージェントが [適応モード] または [学習モード] に配置されている場合に作成できます。[適応モード] は、IPS、ファイアウォール、およびアプリケーション ブロック機能で使用でき、ユーザと対話せずにクライアント ルールを作成できます。[学習モード] は、ファイアウォール、およびアプリケーション ブロック機能で使用でき、クライアント ルールを作成するかどうかをユーザがシステムに指示する必要があります。

どちらのモードでも、イベントはまず、バッファ オーバーフローのようなもっとも悪質な攻撃について解析されます。その動作が業務に必要な通常のものであるとみなされると、Host Intrusion Prevention エージェントがクライアント ルールを作成し、ルールがなければブロックされるはずの操作が可能になります。[適応モード] または [学習モード] にエージェントを配置することで、設定の微調整が行えます。Host Intrusion Prevention では、このクライアント ルールの任意のもの、あるいはすべてを利用でき、または何も利用しないことも可能で、それらをサーバに委ねられたポリシーに変換できます。[適応モード] および [学習モード] はいつでも終了して、システムの侵入防止保護をより厳しくできます。

大規模な組織では、業務の途絶を回避することがセキュリティへの配慮に優先する場合が多々あります。たとえば、クライアント コンピュータの中には定期的に新しいアプリケーションをインストールする必要のあるものがありますが、それらの調整を行う時間も人員も足りないかもしれません。Host Intrusion Prevention では、IPS 保護のために特定のエージェントを [適応モード] に配置できます。それらのコンピュータは、新しくインストールされたアプリケーションをプロファイルし、発生したクライアント ルールをサーバに送信します。管理者はこれらのクライアント ルールを既存のポリシーまたは新しいポリシーに追加してからそのポリシーを他のコンピュータに適用し、新しいソフトウェアを処理することができます。

Copyright © 2005 McAfee, Inc. All Rights Reserved.