この章では、Host Intrusion Prevention 6.0 の使用時に生じることがある実務的な質問の一部に回答します。
ポリシーとは何ですか?
ポリシーは、ポリシーのカテゴリに対応させてカスタマイズした、製品設定のサブセットです。各ポリシー カテゴリには、必要に応じた数の名前付きポリシーを作成でき、また変更、削除できます。
McAfee の既定のポリシーとは何ですか?
インストール時に、各ポリシー カテゴリには名前が付けられたポリシーが少なくとも 1 つ含まれています (McAfee 既定)。McAfee の既定のポリシーを編集したり、名前を変更したり、削除したりすることはできません。
ユーザが新しいポリシーを割り当てたノードの下にあるディレクトリのノードには、どのような影響がありますか?
特定のポリシー カテゴリに対して継承が有効にされているすべてのノードは、親ノードに適用されたポリシーを継承します。
ポリシーが変更された場合、そのポリシーが適用されているノードにはどのような影響がありますか?
あるポリシーが適用されているすべてのノードは、次回のエージェントとサーバ間通信のとき、またはエージェント起動呼び出しを実行することで、そのポリシーに対する変更をすべて受け取ります。ポリシーはそのうえ、ポリシーの適用間隔ごとに適用されます。
割り当てた新しい Host Intrusion Prevention ポリシーが、適用されていないのはなぜですか?
ポリシーの新しい割り当ては、割り当てを行った後、次のエージェントとサーバ間通信、またはエージェント起動呼び出しを実行するまで適用されません。また、クライアント UI がパスワードでロック解除されている場合、新しいポリシーの割り当ては適用されません。
IPS およびファイアウォール ポリシーの管理を、地理的に異なる場所にいる別の管理者に委任することができますか?
はい。Host Intrusion Prevention では、IPS やファイアウォールのような製品機能の、すべてまたは一部の管理責任を委任することができます。ある機能に含まれるより小さな単位での役割、たとえばエージェントの管理や例外の作成はサポートされていません。
ルート ディレクトリの 1 つ下のレベルであるサイト レベルでユーザ権利を割り当てると、それらの権利はそのサイトの下にあるすべてのノードに継承されます。サイト レベルの下のノードでは、明示的なユーザアクセス許可がサポートされていません。地理的な場所で管理を委任するには、サイト ノードで 1 つの地理的な場所を割り当ててから、適切なユーザ権利を適用します。
同じセキュリティ設定を異なるシステムに適用することができますか?
コンソール ツリーでは、ノードが階層構造で編成されます。ポリシーはノードで割り当てるため、サイト レベルのノードは通常、[All Servers (すべてのサーバ)]、[All Desktops (すべてのデスクトップ)]、[IIS Servers (IIS サーバ)]、[SQL Servers (SQL サーバ)] など、プロファイルに基づいたグループを表しています。このグループのパターンは、各サイト ノードの下にレプリケートできます。
ePolicy Orchestrator では、特定のノードには依存せず、すべてのノード間で共有することができるポリシーを作成できます。ノードにポリシーを割り当てると、そのポリシーは、他のポリシーによって変更されなければ、ノードの子に自動的に継承されます。IIS サーバ ポリシーのように、各プロファイルに合わせたポリシーを作成し、そのポリシーを IIS サーバのような対応するノード グループそれぞれに適用することができます。
新しい Host Intrusion Prevention エージェントを備えたコンピュータを、正しいセキュリティ ポリシーが割り当てられる適切なプロファイル グループに配置します。この方法が不可能な場合、個々のノード レベルでポリシーを変更することによって、各エージェントのポリシーを設定できます。継承されたポリシーのほとんどは、そのポリシーに強制継承が割り当てられている場合以外は変更できます。
|
ePolicy Orchestrator のツリー ノードが Host Intrusion Prevention には適さない構造の製品をサポートするために既に編成されていると、ツリーを再編成することが難しい場合があります。再編成を行うと、既存のポリシーの割り当てを壊すおそれがあるため、該当する製品すべての知識と、それらに対するアクセス許可が必要になります。 |
特定のノードまたはエージェントに適用されるポリシーを表示または編集することは可能ですか?
はい。Host Intrusion Prevention ポリシーには、IPS ルールや IPS 保護のような特定のカテゴリがあり、それぞれが特定の設定を提供します。各 Host Intrusion Prevention 機能の下で、選択したノードのカテゴリを [ポリシー] タブで確認できます。各カテゴリには、割り当てられているポリシーの名前が 1 つ以上表示されます。IPS 保護などのほとんどのカテゴリでは 1 つのポリシーが表示され、IPS ルールや信頼できるアプリケーションのカテゴリでは、1 つ以上のポリシー インスタンスが表示されます。これらの各ポリシーの詳細を表示するには、ポリシーの名前をクリックします。
どのようにして、使用できるすべてのポリシーと、それらが割り当てられているノードを表示しますか?
ePolicy Orchestrator ツリーには、[Policy Catalog (ポリシー カタログ)] ノードがあり、各カテゴリに含まれるすべてのポリシーのリストが、それらの割り当て数と共に表示されます。割り当て数の値をクリックすると、ポリシーが直接割り当てられているすべてのノードのリストが表示されます。この数には、ポリシーが継承されたノードは含まれていません。
エージェントが発生させた IPS イベントはどのようにして表示しますか?
ePolicy Orchestrator に専用のイベント ビューアは用意されていないため、イベントは Host Intrusion Prevention の、[IPS Rules (IPS ルール)] ポリシー内の [IPS Events (IPS イベント)] タブで処理されます。選択したノードに関連付けられているイベントのリストを表示するには、[ポリシー] タブをクリックし、[IPS Events (IPS イベント)] リンクをクリックします。[IPS Events (IPS イベント)] タブには、特定の日数の間に、選択したノードに属するエージェントによって生成された IPS イベントを合わせたセットが表示されます。この表示は、新しいイベントが発生すると自動的に更新され、次の操作を行うことができます。
どのように IPS イベントに基づいて例外を作成しますか?
[IPS Events (IPS イベント)] タブでイベントを 1 つ選択し、[例外の作成] をクリックします。元のイベントに基づいてあらかじめ記入された [New Exception (新しい例外)] ダイアログ ボックスが表示されます。[New Exception (新しい例外)] ダイアログ ボックスのタブに、作成時にこの例外の配置先になる IPS ルールのポリシーのインスタンス リストが表示されます。
どのようにして、自動化された微調整の仕組みによって e IPS ルールのポリシーを修正しますか?
Host Intrusion Prevention では適応モード オプションが提供されており、エージェントはユーザの操作なしで、ブロックされても悪意がなかった動作の実行は許可するクライアント ルールを自動的に作成できます。エージェントが一定の間適応モードになっていた後で、管理者は次のことを行えます。
IPS ポリシーのカスタム シグネチャはどのように作成しますか?
カスタム シグネチャは IPS ルールのポリシーの一部で、プロファイルの特定のセキュリティ ニーズに合うように作成することができます。簡単なシグネチャ用にカスタム シグネチャのウィザードを利用できますが、詳しい知識があるユーザは、カスタム シグネチャの標準モードとエキスパート モードを使用できます。
既存の例外とカスタム シグネチャは、どのように再編成して新しいポリシーにするのですか?
管理者が、いくつかのエージェントで誤検出を数個見つけ、それらのために例外を作成したとします。これらの誤検出イベントは孤立しているように思われたため、最初はさまざまなポリシーの中に例外を配置します。例外を見直してみると、専用のポリシーに分離することができる新しいパターンを見つけることができます。
これらの例外を新しいポリシーに再編成するには、新しい IPS ルールのポリシーを作成し、それを適切なノードの IPS ルールのポリシー リストに追加します。そのノードに割り当てられている、さまざまなポリシーの例外を、リストですべて表示します。適切な例外を 1 つ以上選択し、それらを新しいポリシーに移動します。
この新しいポリシーは次に、新しく識別されたプロファイルに適合する他のエージェントに個々に適用するか、グループとして適用することができます。
特定のプロファイルに合致する既存のポリシーはどのようにして見つけますか?
一般的に、1 つの組織は IPS ルールのポリシーを複数用意し、IIS サーバや SQL サーバのようなエージェントのプロファイルごとに、1 つのポリシーを使用します。複数の管理者がシステムの異なる部分を管理し、しばしば異なる時間帯に勤務することが一般的だと想定すると、適切に管理された少数のポリシーを備える必要があります。これによって、管理者がすばやく現在のポリシーの編成を理解し、探しているポリシーを見つけることに役立ちます。
IPS 例外検索を使用すると、属性に基づいて例外を検索し、プロセス内でそれらの親ポリシーを見つけることができます。この検索では、次のことが可能です。