ビュー:
侵入防御ルールが新規に割り当てられる場合には以下の3つがあります。
本製品Q&Aでは以下の 1, 2 について、一定期間「検出のみ」モードで割り当て、その後「防御」モードでの運用に変更する方法を説明します。
  1. 「推奨設定の検索」を実施し、推奨された侵入防御ルールを自動または手動で割り当てる
  2. セキュリティアップデートを実施し、ルールアップデートの結果を自動または手動で割り当てる
  3. 任意の侵入防御ルールを選定し、手動で割り当てる

前提:侵入防御ルールの動作仕様

前提として侵入防御ルールは以下の仕様で動作します。
  • 対象ポリシーまたはコンピュータの「侵入防御の動作」(※1)を「防御」に設定している場合、 自動適用された侵入防御ルールは、各ルールのモード(※2)により動作します。
  • 対象ポリシーまたはコンピュータの「侵入防御の動作」(※1)を「検出」に設定している場合、 自動適用された侵入防御ルールは、各ルールのモードに関係なく、「検出のみ」モードにより動作します。
 
※1) 対象ポリシーまたはコンピュータの詳細を開き、[侵入防御]→ [一般]タブ→「侵入防御の動作:」欄から設定・確認できます。
また、ヘルプセンターの「侵入防御の設定」にも記載がございますのでご確認ください。
DS10.0~12.0は こちら/ DS20.0はこちら/ Clouud One - Workload Securityはこちら
 
※2) 各ルールのモードは、対象の侵入防御ルールをダブルクリックし、 [侵入防御ルールプロパティ]タブの「詳細:」→「モード:」欄から 設定・確認できます。
また、ヘルプセンター「侵入防御ルールの設定:ルールの動作モードをオーバーライドする」にも記載がございますのでご確認ください。
DS10.0~12.0はこちら/ DS20.0はこちら/ Clouud One - Workload Securityはこちら

「推奨設定の検索」の結果、新規で適用する侵入防御ルールの設定

自動的に適用する場合

「推奨設定の検索」の結果として割り当てが推奨される侵入防御ルールを自動で割り当てる場合、割り当てられるルールが全て「検出のみ」 モードになるようにするためには、対象ポリシーまたはコンピュータ自体の 「侵入防御の動作」を「検出」モードに設定する必要があります。
 
「推奨設定の検索」の結果を自動的に適用する方法は、ヘルプセンター「推奨設定の検索の管理と実行:推奨設定を自動的に適用する」をご確認ください。
DS10.0~12.0はこちら/ DS20.0はこちら/ Clouud One - Workload Securityはこちら
 
対象ポリシーまたはコンピュータ自体の「侵入防御の動作」を「検出」モードに設定する方法は、上記 ※1 をご確認ください。

手動で適用する場合

「推奨設定の検索」の結果として割り当てが推奨される侵入防御ルールを手動で割り当てる場合、 割り当て時に「検出のみモード」を選択することで、推奨される侵入防御ルールを「検出のみ」モードで適用することができます。

下記の方法で動作モードの変更を行う操作は、[プロパティ (グローバル)]単位での編集になります。すなわち、 グローバルに (すべてのポリシーとコンピュータに対して) 侵入防御ルールの動作モードを編集することとなります。

一部のコンピュータまたはポリシーに対してのみ動作モードを変更したい場合は、上記 ※2 をご参照ください。

  1. DSM管理コンソールから、任意のコンピュータまたはポリシーの詳細→[侵入防御]→[現在割り当てられている侵入防御ルール]→[割り当て/割り当て解除...]を開きます。
    (※一部のコンピュータまたはポリシーの詳細で編集しても、[プロパティ (グローバル)]単位で変更が反映されます。)
    または、DSM管理コンソールの[ポリシー]タブ→[共通オブジェクト]→[ルール]→[侵入防御ルール]を開きます。
  2. 対象のルールを選択します。
  3. 右クリックして[処理]→[検出のみモード]をクリックします。
 
なお、「推奨設定の検索」の結果を手動で割り当てる方法は、ヘルプセンター「推奨設定の検索の管理と実行:検索結果を確認して手動でルールを割り当てる」をご確認ください。
DS10.0~12.0はこちら/ DS20.0はこちら/ Clouud One - Workload Securityはこちら

ルールアップデートの結果、新規で適用する侵入防御ルールの設定

自動的に適用する場合

ルールアップデートの結果、アップデートされた侵入防御ルール(新規または一部がアップデートされたルール)を自動で割り当てる場合、割り当てられるルールが全て「検出のみ」 モードになるようにするためには、対象ポリシーまたはコンピュータ自体の 「侵入防御の動作」を「検出」モードに設定する必要があります。
 
ルールアップデートの結果を自動的に適用する方法は、ヘルプセンター「侵入防御ルールの設定:アップデートされた必須ルールを自動割り当てする」をご確認ください。
DS10.0~12.0はこちら/ DS20.0はこちら/ Clouud One - Workload Securityはこちら
 
対象ポリシーまたはコンピュータ自体の「侵入防御の動作」を「検出」モードに設定する方法は、上記 ※1 をご確認ください。

手動で適用する場合

ルールアップデートの結果を手動で適用する場合、適用時に[検出のみモードでのアップデートの適用]にチェックを入れることで、アップデートのあった侵入防御ルールを「検出のみ」モードで適用することができます。
  1. セキュリティアップデートを実施します。
  2. ダウンロードしたルールアップデートをポリシーに手動で適用するため、DSM管理コンソールから[管理]→[アップデート]→[セキュリティ]→[ルール]に進みます。
  3. 現在適用されているルールアップデートよりも新しいものを選択し、右クリック→[適用]を選択します。
  4. [検出のみモードでのアップデートの適用]にチェックを入れ、[完了]を選択します。


    以下のように「xxx以降に追加された侵入防御ルールは現在検出のみモードです。[防御モードで適用]」というメッセージが表示されます。また、適用済みチェックに「i」マークが付きます。
  5. 正常なトラフィックが誤って検出されない (誤判定されない) ことを確認された後、「防御」モードに変更します。