IPS ルールのポリシーには、次の 3 種類のシグネチャがあります。
ホスト シグネチャ
ホスト ベースの侵入防止シグネチャ (HIPS) は、システム操作を行う動作への攻撃を検出および防止するもので、ファイル、レジストリ、サービス、HTTP などの種類に関するルールを含みます。これらのシグネチャは、Host Intrusion Prevention のセキュリティ エキスパートによって開発され、製品に含まれています。
各シグネチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っていれば、管理者は、シグネチャの重大度レベルを変更したり、エージェント グループに対してシグネチャを無効にしたりできます。
ホスト ベースのシグネチャは、呼び出されると IPS イベントを生成し、それらのイベントは [IPS イベント] タブに表示されます。
カスタム ホスト シグネチャ
カスタム シグネチャは、ニーズに合わせて保護を追加するために作成できる、ホスト ベースのシグネチャです。たとえば、重要なファイルを使用して新しいディレクトリを作成する場合に、カスタム シグネチャを作成してそのディレクトリを保護できます。
ネットワーク シグネチャ
ネットワーク ベースの侵入防止シグネチャ (NIPS) は、ホスト システム上に到達する既知のネットワーク ベースの攻撃を検出および防止します。
ネットワーク ベースのシグネチャは、コンソールでホスト ベースのシグネチャと同じシグネチャ リストに表示されます。独自のアイコンが [種類] 列に表示されます。ネットワーク ベースのシグネチャは、[Signature Properties General (シグネチャのプロパティ (全般)] ダイアログ ボックスに [ネットワーク IPS] として指定されます。
各シグネチャには、説明と既定の重大度レベルがあります。適切な特権レベルを持っていれば、管理者は、シグネチャの重大度レベルを変更したり、シグネチャを無効にしたりできます。
有効なポリシーによってシグネチャが [ログ] または [防止] のリアクションに関連している場合でも、ネットワーク ベースの各シグネチャには、ログの記録を無効にするオプションがあります。ただし、[防止リアクション] の場合、イベントのログは記録されなくても操作は防止されます。
ネットワーク ベースのシグネチャに対して例外を作成することはできますが、オペレーティング システム ユーザ、プロセス名などの追加パラメータ属性を指定することはできません。詳細には IP アドレスなどのネットワーク特有のパラメータが含まれており、それらのパラメータを指定できます。
ネットワーク ベースのシグネチャによって生成されたイベントは、[IPS イベント] タブにホスト ベースのイベントと共に表示され、ホスト ベースのイベントと同じ動作が示されます。