IPS による保護のポリシー設定
[IPS による保護] のポリシーでは、シグネチャの重大度レベルに対して保護のリアクションを設定します。これらの設定では、攻撃や怪しい動作が検出されたときに、どのような動作を行うかをエージェントに指示します。各シグネチャには、次の 4 つの重大度レベルの 1 つが設定されます。
- [高] (赤色) - 明確に識別できるセキュリティ上の脅威や悪意のあるアクションのシグネチャ。これらのシグネチャは、よく知られた不正特有のものであり、実際は、ほとんど動作に関連しません。すべてのシステムで、これらのシグネチャを防止してください。
- [中] (オレンジ色) - アプリケーションがエンベロープ外部で動作する場合の動作のシグネチャ。重要なシステム、Web サーバ、および SQL サーバでは、これらのシグネチャを防止してください。
- [低] (黄色) - アプリケーションおよびシステム リソースがロックされ、変更できない場合の動作のシグネチャ。これらのシグネチャを防止すると基本システムのセキュリティが向上しますが、追加の微調整が必要になります。
- [情報] (青色) - アプリケーションおよびシステム リソースが変更され、害のないセキュリティ リスクを示すかまたは重要なシステム情報にアクセスしようとする可能性がある場合の動作のシグネチャ。このレベルのイベントは、正常なシステム動作中に発生し、通常は攻撃を示すものではありません。
これらのレベルは、システムに対する潜在的な危険度を示すものであり、これにより、異なるレベルの潜在的な有害性に対して特定のリアクションを定義できます。すべてのシグネチャに対して、重大度のレベルとリアクションを変更できます。たとえば、怪しい動作が損傷の原因となる可能性がほとんどない場合、[無視] をリアクションとして選択できます。動作の危険度が高い場合は、[防止] をリアクションとして設定できます。
[IPS による保護] ポリシーには事前定義されたポリシーがいくつかあり、その中から選択できます。事前定義されたポリシーが、選択する必要なオプションの組み合わせでない場合は、新しいポリシーを作成して必要なオプションを選択してください。[IPS による保護] ポリシーのダイアログ ボックスでの選択は、選択されたポリシーによって異なります。
[IPS による保護] ポリシーを設定するには、次の操作を行います。
- IPS 機能を展開し、[IPS による保護] カテゴリのラインで、[編集] をクリックします。
- 事前定義されたポリシーを適用するには、ポリシー リストでそのポリシーを選択します。ポリシー名のアイコンをクリックすると、次のような設定を表示できます。
ポリシーの選択
|
内容
|
[(Basic Protection (基本的な保護)(McAfee 既定))]
|
重大度レベルが高のシグネチャを防止し、それ以外は無視します。
|
[(Enhanced Protection (拡張された保護))]
|
重大度レベルが高および中のシグネチャを防止し、それ以外は無視します。
|
[(最大限の保護)]
|
重大度レベルが高、中、および低のシグネチャを防止し、それ以外はログに記録します。
|
[(Prepare for Enhanced Protection (拡張された保護の準備))]
|
重大度レベルが高のシグネチャを防止し、中のシグネチャのログを記録し、それ以外は無視します。
|
[(Prepare for Maximum Protection (最大限の保護の準備))]
|
重大度レベルが高および中のシグネチャを防止し、低のシグネチャのログを記録し、それ以外は無視します。
|
[(警告)]
|
重大度レベルが高のシグネチャのログを記録し、それ以外は無視します。
|
- [適用] をクリックします。
IPS による保護のポリシーを新しく作成するには、次の操作を行います。
- [IPS Severity (IPS 重大度)] カテゴリのラインで [編集] をクリックし、ポリシー リストで [新しいポリシー] を選択します。
- [新しいポリシーの作成] ダイアログ ボックスで、複製するポリシーを選択し、新しいポリシーの名前を入力して [OK] をクリックします。
|
事前設定ポリシーの詳細についてはを表示するには、ポリシーのダイアログ ボックスの最下部にある [複製] をクリックして、新しい複製ポリシーを作成します。新しいポリシーの名前を入力し、ポリシーを直ちに現在のノードに割り当てるかどうかを指定します。
|
[IPS による保護] ダイアログ ボックスが表示されます。
- 重大度レベルごとに、次のようなリアクションの種類を選択します。
項目
|
オプション名
|
高
|
イベントを許可し、ログを記録しない場合は、[無視] を選択します。
イベントを許可し、ログを記録する場合は、[ログ] を選択します。
イベントを防止し、ログを記録する場合は、[Prevent (防止)] を選択します。
|
中
|
イベントを許可し、ログを記録しない場合は、[無視] を選択します。
イベントを許可し、ログを記録する場合は、[ログ] を選択します。
イベントを防止し、ログを記録する場合は、[Prevent (防止)] を選択します。
|
低
|
イベントを許可し、ログを記録しない場合は、[無視] を選択します。
イベントを許可し、ログを記録する場合は、[ログ] を選択します。
イベントを防止し、ログを記録する場合は、[Prevent (防止)] を選択します。
|
情報
|
イベントを許可し、ログを記録しない場合は、[無視] を選択します。
イベントを許可し、ログを記録する場合は、[ログ] を選択します。
|
- [適用] をクリックして [閉じる] をクリックします。
- [IPS による保護] カテゴリの行で [適用] をクリックします。
|
ポリシーは、グローバル管理者のみが ePolicy Orchestrator のポリシー カタログ ページでのみ削除できます。
|
Copyright © 2005 McAfee, Inc. All Rights Reserved.