シグネチャの種類

IPS ルールのポリシーには、次の 3 種類のシグネチャがあります。

ホスト シグネチャ

ホスト ベースの侵入防止シグネチャ (HIPS) は、システム操作を行う動作への攻撃を検出および防止するもので、ファイルレジストリサービスHTTP などの種類に関するルールを含みます。これらのシグネチャは、Host Intrusion Prevention のセキュリティ エキスパートによって開発され、製品に含まれています。

各シグネチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っていれば、管理者は、シグネチャの重大度レベルを変更したり、エージェント グループに対してシグネチャを無効にしたりできます。

ホスト ベースのシグネチャは、呼び出されると IPS イベントを生成し、それらのイベントは [IPS イベント] タブに表示されます。

カスタム ホスト シグネチャ

カスタム シグネチャは、ニーズに合わせて保護を追加するために作成できる、ホスト ベースのシグネチャです。たとえば、重要なファイルを使用して新しいディレクトリを作成する場合に、カスタム シグネチャを作成してそのディレクトリを保護できます。

ネットワーク シグネチャ

ネットワーク ベースの侵入防止シグネチャ (NIPS) は、ホスト システム上に到達する既知のネットワーク ベースの攻撃を検出および防止します。

ネットワーク ベースのシグネチャは、コンソールでホスト ベースのシグネチャと同じシグネチャ リストに表示されます。独自のアイコンが [種類] 列に表示されます。ネットワーク ベースのシグネチャは、[Signature Properties General (シグネチャのプロパティ (全般)] ダイアログ ボックスに [ネットワーク IPS] として指定されます。

各シグネチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っていれば、管理者は、シグネチャの重大度レベルを変更したり、シグネチャを無効にしたりできます。

有効なポリシーによってシグネチャが [ログ] または [防止] のリアクションに関連している場合でも、ネットワーク ベースの各シグネチャには、ログの記録を無効にするオプションがあります。ただし、[防止リアクション] の場合、イベントのログは記録されなくても操作は防止されます。

ネットワーク ベースのシグネチャに対して例外を作成することはできますが、オペレーティング システム ユーザ、プロセス名などの追加パラメータ属性を指定することはできません。詳細には IP アドレスなどのネットワーク特有のパラメータが含まれており、それらのパラメータを指定できます。

ネットワーク ベースのシグネチャによって生成されたイベントは、[IPS イベント] タブにホスト ベースのイベントと共に表示され、ホスト ベースのイベントと同じ動作が示されます。

 

ネットワーク ベースのカスタム シグネチャはサポートされていません。

Copyright © 2005 McAfee, Inc. All Rights Reserved.