ビジネスサポートポータルアカウントでログイン
侵入防御(DPI)イベント:プロトコルデコードの制約エラー / Protocol Decoding Constraint Error  

侵入防御(DPI)イベント:プロトコルデコードの制約エラー / Protocol Decoding Constraint Error

    • 更新日:
    • 15 Oct 2020
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • Trend Micro Virtual Patch for Endpoint All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • UNIX すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
侵入防御(DPI)イベントに「プロトコルデコードの制約エラー / Protocol Decoding Constraint Error」が発生します。このイベントが発生した場合の対応方法を教えてください。
詳細
Public

発生理由

侵入防御の機能によって通信プロトコルを解析(デコード)する際に、解析に失敗した場合に発生します。これは通常次のいずれかの場合に発生します。

  1. プロトコル上不正なデータが含まれている場合
  2. ルールの解析対象とは別のプロトコルの通信を検査しようとしている場合(例えば、SMBではない通信をSMBプロトコルとして検査しようとしている場合)

解析に失敗するとパケットデータの検査を継続できず、攻撃パケットを検出できない可能性があるため、このイベントが記録されてパケットがブロックされます。

なお、本イベントが発生した場合、単一のパケットに対して「ログ」と「リセット」の二つのイベントが発生します。「リセット」のイベントには実際のパケットデータが記録され、「ログ」のイベントにはデバッグ情報が記録されます。このデバッグ情報は、このイベントが製品の想定外のデータを受信した際に起こるものであるために記録されます。

回避方法

A) 上記1.の場合

通信が発生したコンピュータを調査して不正な通信が行われた原因を特定し、問題を解決してください。

B) 上記2.の場合

イベントが発生した通信ポートをアプリケーションの種類から削除して、該当の通信を解析しないように設定してください。

この設定を行うと、削除したポートには本イベントだけでなく対応するアプリケーションの種類に紐づく全てのルールでの検査が行われなくなります。
  1. 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
  2. 「ポート」の設定で「継承」をオフにして、検査を回避したいポートを削除します。なお、「ポート」の設定がポートリストで設定されている場合は、該当のポートリストからポートを削除します。

C) 暫定回避をしたい場合

原因の調査過程などで、暫定的にこのイベントを発生させないようにしたい場合は、以下の手順でプロトコルの解析を無効にすることができます。

プロトコルの解析を無効にした場合、プロトコル解析機能に依存する侵入防御ルールでは攻撃パケットの検出ができなくなります。調査や対応が完了した際には必ずプロトコルの解析を有効にしてください。
  1. 設定を行いたいコンピュータまたはポリシーの詳細から[侵入防御(Deep Packet Inspection)]メニューを開き、イベントが発生したポートに割り当てられているルールを右クリックし、[アプリケーションの種類プロパティ]を開きます。
  2. [設定]タブで「継承」をオフにして、「Enable Decoder」をオフにします。

問題の報告

正常な通信に対してこのイベントが発生している場合は、ルールでのプロトコル解析に問題がある可能性があります。下記リンク先に記載の調査に必要な情報を取得してご報告ください。

DPI (侵入防御) イベントに関する調査に必要となる情報一覧

Premium
Internal
Partner
評価:
カテゴリ:
動作トラブル
Solution Id:
1103787
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド