ビジネスサポートポータルアカウントでログイン
新規で適用する侵入防御ルールを「検出のみ」モードで割り当て、一定期間経過後に「防御」モードに変更して運用したい  

新規で適用する侵入防御ルールを「検出のみ」モードで割り当て、一定期間経過後に「防御」モードに変更して運用したい

    • 更新日:
    • 30 Dec 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • OS:
    • Linux すべて
    • Windows すべて
概要
新規で適用する侵入防御ルールを「検出のみ」モードで割り当て、一定期間経過後に「防御」モードに変更して運用したいです。
詳細
Public
侵入防御ルールが新規に割り当てられる場合には以下の3つがあります。
本製品Q&Aでは以下の 1, 2 について、一定期間「検出のみ」モードで割り当て、その後「防御」モードでの運用に変更する方法を説明します。
  1. 「推奨設定の検索」を実施し、推奨された侵入防御ルールを自動または手動で割り当てる
  2. セキュリティアップデートを実施し、ルールアップデートの結果を自動または手動で割り当てる
  3. 任意の侵入防御ルールを選定し、手動で割り当てる

前提:侵入防御ルールの動作仕様

前提として侵入防御ルールは以下の仕様で動作します。
  • 対象ポリシーまたはコンピュータの「侵入防御の動作」(※1)を「防御」に設定している場合、 自動適用された侵入防御ルールは、各ルールのモード(※2)により動作します。
  • 対象ポリシーまたはコンピュータの「侵入防御の動作」(※1)を「検出」に設定している場合、 自動適用された侵入防御ルールは、各ルールのモードに関係なく、「検出のみ」モードにより動作します。

※1) 対象ポリシーまたはコンピュータの詳細を開き、[侵入防御]→ [一般]タブ→「侵入防御の動作:」欄から設定・確認できます。
また、Deep Security ヘルプセンター「侵入防御の設定」にも記載がございますのでご確認ください。

※2) 各ルールのモードは、対象の侵入防御ルールをダブルクリックし、 [侵入防御ルールプロパティ]タブの「詳細:」→「モード:」欄から 設定・確認できます。
また、「侵入防御ルールの設定:ルールの動作モードをオーバーライドする」にも記載がございますのでご確認ください。

「推奨設定の検索」の結果、新規で適用する侵入防御ルールの設定

自動的に適用する場合

「推奨設定の検索」の結果として割り当てが推奨される侵入防御ルールを自動で割り当てる場合、割り当てられるルールが全て「検出のみ」 モードになるようにするためには、対象ポリシーまたはコンピュータ自体の 「侵入防御の動作」を「検出」モードに設定する必要があります。

「推奨設定の検索」の結果を自動的に適用する方法は、「推奨設定の検索の管理と実行:推奨設定を自動的に適用する」をご確認ください。

対象ポリシーまたはコンピュータ自体の「侵入防御の動作」を「検出」モードに設定する方法は、上記 ※1 をご確認ください。

手動で適用する場合

「推奨設定の検索」の結果として割り当てが推奨される侵入防御ルールを手動で割り当てる場合、 割り当て時に「検出のみモード」を選択することで、推奨される侵入防御ルールを「検出のみ」モードで適用することができます。

下記の方法で動作モードの変更を行う操作は、[プロパティ (グローバル)]単位での編集になります。すなわち、 グローバルに (すべてのポリシーとコンピュータに対して) 侵入防御ルールの動作モードを編集することとなります。

一部のコンピュータまたはポリシーに対してのみ動作モードを変更したい場合は、上記 ※2 をご参照ください。

  1. DSM管理コンソールから、任意のコンピュータまたはポリシーの詳細→[侵入防御]→[現在割り当てられている侵入防御ルール]→[割り当て/割り当て解除...]を開きます。
    (※一部のコンピュータまたはポリシーの詳細で編集しても、[プロパティ (グローバル)]単位で変更が反映されます。)
    または、DSM管理コンソールの[ポリシー]タブ→[共通オブジェクト]→[ルール]→[侵入防御ルール]を開きます。
  2. 対象のルールを選択します。
  3. 右クリックして[処理]→[検出のみモード]をクリックします。

なお、「推奨設定の検索」の結果を手動で割り当てる方法については、「推奨設定の検索の管理と実行:検索結果を確認して手動でルールを割り当てる」をご確認ください。

ルールアップデートの結果、新規で適用する侵入防御ルールの設定

自動的に適用する場合

ルールアップデートの結果、アップデートされた侵入防御ルール(新規または一部がアップデートされたルール)を自動で割り当てる場合、割り当てられるルールが全て「検出のみ」 モードになるようにするためには、対象ポリシーまたはコンピュータ自体の 「侵入防御の動作」を「検出」モードに設定する必要があります。

ルールアップデートの結果を自動的に適用する方法は、「侵入防御ルールの設定:アップデートされた必須ルールを自動割り当てする」をご確認ください。

対象ポリシーまたはコンピュータ自体の「侵入防御の動作」を「検出」モードに設定する方法は、上記 ※1 をご確認ください。

手動で適用する場合

ルールアップデートの結果を手動で適用する場合、適用時に[検出のみモードでのアップデートの適用]にチェックを入れることで、アップデートのあった侵入防御ルールを「検出のみ」モードで適用することができます。
  1. セキュリティアップデートを実施します。
  2. ダウンロードしたルールアップデートをポリシーに手動で適用するため、DSM管理コンソールから[管理]→[アップデート]→[セキュリティ]→[ルール]に進みます。
  3. 現在適用されているルールアップデートよりも新しいものを選択し、右クリック→[適用]を選択します。
  4. [検出のみモードでのアップデートの適用]にチェックを入れ、[完了]を選択します。


    以下のように「xxx以降に追加された侵入防御ルールは現在検出のみモードです。[防御モードで適用]」というメッセージが表示されます。また、適用済みチェックに「i」マークが付きます。
  5. 正常なトラフィックが誤って検出されない (誤判定されない) ことを確認された後、「防御」モードに変更します。
Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1123805
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド