概要
侵入防御機能の動作確認方法を教えてください。
詳細
カスタムルールを作成することで、安全に侵入防御の動作確認を行うことが可能です。
本テストは、侵入防御ルール/機能が正しく動作するかどうかを確認するための手順となります。個別の侵入防御ルールのテスト方法は、攻撃方法を教えることと同義になるため、セキュリティリスクの観点からご案内することはできません。
以下は動作確認の方法です。
- 管理コンソールにログオンします。
- [Policies/ポリシー]タブをクリックし、[Common Objects/共通オブジェクト]-[Rules/ルール]-[Intrusion Prevention Rules/侵入防御ルール]を選択します。
- [New/新規]-[New Intrusion Prevention Rule.../新規侵入防御ルール...] をクリックします。
- General/一般 タブに以下を設定します。
- Name/名前: 任意の名前(例. Hello World ) を設定します。
- Application Type/アプリケーションの種類:"Web Server Common" を選択します。
ヒント
保護対象のWebサーバが一般的なhttpポートを利用していない場合、"Web Server Common" ポートリストを編集するか、新規にアプリケーションの種類を作成します。詳細は以下の製品Q&Aを参照してください。
保護対象のWebサーバがhttps接続のみを許可している場合、アプリケーションの種類は"Web Server IIS HTTPS"を選択し、443以外のポートを利用している場合には"SSL"ポートリストを編集します。また、事前にWebサーバの秘密鍵をインポートしておく必要があります。秘密鍵のインポート方法は以下の製品Q&Aを参照してください。また、保護対象サーバがWebサーバでは無い場合においても、アプリケーションの種類を保護対象のプロトコルに設定し、そのプロトコル上で[Signature/シグニチャ]として登録されたキーワードを保護対象のサーバに送信すれば同様の検証が可能です。
- パケット内の文字列「Hello」を検出するように設定します。
Rues/ルール タブをクリックし、以下を設定します。- Signature/シグニチャ: Hello を設定します。
- Action/処理: "Log Only/ログのみ" を選択します。
- OK をクリックします。
- [Computers/コンピュータ]タブから、テストを実施したい対象コンピュータをダブルクリックします。
- [Intrusion Prevention/侵入防御]を選択し、[General/一般]タブから[Assigned Intrusion Prevention Rules/割り当てられた侵入防御ルール]欄の[Assign/Unassign... / 割り当て/割り当て解除...]をクリックします。
- 新規作成した侵入防御ルールにチェックを入れて[OK]をクリックします。
- [Save/保存]をクリックします。
-
Webサーバへ、キーワード "Hello" を含むリクエストを送信します。
ヒント
保護対象のWebサーバが、ログイン画面や検索窓等の文字入力フォームを保有していれば、その入力フォームへ "Hello"を入力するのが最も簡単な方法です。
入力フォーム等を実装していないWebサーバに対しては、ブラウザから"http://{WebサーバのIP}/Hello"のようにアクセスすれば、コンテンツが存在しないのでブラウザ上では404エラーが発生するものの、侵入防御イベントとして検知されます。
- [Events/イベント]タブからHello World のイベントが存在するかどうかご確認ください
イベントが存在しない場合は、 [Get Events/イベントを取得] をクリックし、表示されるかどうかご確認ください。
<Welcome Pageをご活用ください!>
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!
