ビジネスサポートポータルアカウントでログイン
侵入防御(DPI)イベント:リージョンサイズの超過 / リージョンが大きすぎます / Region Too Big  

侵入防御(DPI)イベント:リージョンサイズの超過 / リージョンが大きすぎます / Region Too Big

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Trend Micro Deep Security の侵入防御(DPI)イベントに「リージョンサイズの超過 / リージョンが大きすぎます / Region Too Big」が発生します。このイベントが発生した場合の対応方法を教えてください。
詳細
Public

発生理由

侵入防御機能によって検査しているパケットデータ内の特定の領域のサイズが、最大サイズ(7570バイト)を超えた場合に発生します。これは通常次のいずれかの場合に発生します。
  1. HTTPリクエストのURI部分が非常に長い場合
  2. HTTPではない別プロトコルの通信を、HTTPとして検査しようとしている場合
  3. SSL設定を行っていない状態で、HTTPSの通信を検査しようとしている場合
Deep Securityはこのような場合に正常にパケットデータの検査を継続できず、攻撃パケットを検出できない可能性があるため、このイベントが記録されてパケットがブロックされます。

なお、本イベントが発生した場合、単一のパケットに対して「ログ」と「リセット」の二つのイベントが発生します。「リセット」のイベントには実際のパケットデータが記録され、「ログ」のイベントにはデバッグ情報が記録されます。このデバッグ情報は、このイベントが製品の想定外のデータを受信した際に起こるものであるために記録されます。

回避方法

通信が正常なものであることが確認でき、この検出を回避したい場合は、以下の設定を行ってください。

A) 上記1.または2.の場合

イベントが発生した通信ポートを、アプリケーションの種類から削除して該当の通信をHTTPとして検査しないように設定してください。

  1. 設定を行いたいコンピュータの詳細から[侵入防御]メニューを開き、対象のポートに割り当てられているHTTP検査のためのルール(通常は「1000128 - HTTP Protocol Decoding」)を右クリックし、[アプリケーションの種類プロパティ]を開きます。
  2. 「ポート」の設定で、HTTPとしての検査を回避したいポートを削除します。
    なお、「ポート」の設定が「Web Server Common」のようなポートリストで設定されている場合は、該当のポートリストからポートを削除します。
この設定を行うと、削除したポートには本イベントだけでなく対応するアプリケーションの種類(Web Server Commonなど)に紐づく全てのルールでの検査が行われなくなります。

B) 上記3.の場合

対象コンピュータの詳細から[侵入防御]→[詳細]→[SSL設定の表示]を開き、[新規]をクリックしてSSL設定を追加してください。

なお、SSL通信を復号化して検査を行わない場合は、上記A)の方法でSSLで使用されているポートを削除してください。

 

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1102243
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド