Apex One の仮想パッチとは?
各ソフトウェアベンダーが提供する本来のセキュリティパッチを早急に適用する事が難しい環境へ、暫定的なセキュリティを担保するためのソリューションです。ルールに基づいて脆弱性を突く攻撃パケットを検知し、ブロックすることにより、お客様の環境を保護します。
Apex One の仮想パッチは、Trend Micro Virtual Patch for Endpoint(以下、VP) の後継製品となります。
仮想パッチの新規導入手順を教えて下さい。
新規導入手順については、以下製品Q&A をご確認ください。
- 製品Q&Aについて:[Apex One] 仮想パッチの概要、および有効化手順について
仮想パッチのバージョンアップ手順を教えてください。
上記、新規導入手順を対象のマシンに対して実施する事で、既存のVPエージェントはアンインストールされ、新規に仮想パッチエージェントが有効化されます。
VPエージェントに割り当てていた、各種設定やログ等は引き継ぎされませんので、ご注意ください。
VPとの大きな違いはなんですか?
仮想パッチでは、Apex Oneおよび、Apex Central への統合化が進められたため、VPで存在していた4,000を超えるIPSルールを、分析に基づきEndpoint Solutionにフォーカスした200ほどに絞る事が可能になりました。
そのため、[推奨検索設定]を使用する必要がなくなりました。
仮想パッチのIPSルールは、Apex Central の[ポリシー]>[ポリシーリソース]>[IPSルール]でご確認いただけます。
モードについて教えてください。
仮想パッチでは、[パフォーマンス優先]と[セキュリティ優先]のモードが選択可能です。
- [パフォーマンス優先]モード : 一部のIPSルールが自動で選択されます。
- [セキュリティ優先]モード : すべてのIPSルールが選択されます。
いずれかのモードを選択する事でIPSルールが自動で選択されますが、手動でIPSルールの有効/無効を変更する事も可能です。
ネットワークエンジンの検出モードについて教えてください。
VPと同様に、ネットワークの検出モードを選択できます。
- [インライン]モード : 実際に検出が行われます。
- [タップ(検出のみ)]モード : 実際の検出は行われず、ログのみ出力されます。
初めて、仮想パッチを有効にする場合には、ネットワークエンジンを[タップ]に設定し、 ログから設定が実際の通信に与える影響を確認したのちに、[インライン]に変更する事をお勧めします。
仮想パッチのログはどこで確認できますか。
仮想パッチの検出ログは、Apex Central の[レポート]>[ログ]>[ログクエリ]にて[IPS]を選択する事によりご確認いただけます。
Apex One や、仮想パッチエージェントのUI上ではログの確認はできず、また、検出時のポップアップ等も表示されません。
IPSルールの更新頻度について教えてください。
IPSルールは基本的に、毎週アップデートされます。(緊急時はその限りではありません。)