ビジネスサポートポータルアカウントでログイン
「1000128 - HTTP Protocol Decoding」ルールで発生するイベント  

「1000128 - HTTP Protocol Decoding」ルールで発生するイベント

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
侵入防御(Deep Packet Inspection)ルール「1000128 - HTTP Protocol Decoding」を使用した際に発生するイベントについて教えてください。
詳細
Public

Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

Trend Micro Deep SecurityのDPIイベントには、「特定のDPIルールにより発生するイベント」と「プロトコルデコードエンジンで発生するイベント」の二種類があります。

特定のDPIルールにより発生するイベントは、 特定の攻撃や脆弱性を防御するために作成されたDPIルールによって発生するイベントです。これらのイベントの理由[Reason]には、該当ルール名が表示されます。
(例:1000439 - Microsoft IIS Source Code Disclosure Vulnerability )


プロトコルデコードエンジンで発生するイベントは、特定のプロトコルをデコード/解析する過程で、リソースや負荷の面での制限や、そのプロトコルでの一般的な攻撃方法に該当した場合などに発生するイベントです。これらのイベントの理由[Reason]には、ルール名ではなく事前に定義されたキーワードが表示されます。
「1000128 - HTTP Protocol Decoding」はHTTPプロトコルのデコードエンジンであり、このルールで発生するイベントはこちらの種類のものになります。

「1000128 - HTTP Protocol Decoding」で発生するイベントには次のようなものがあります。詳細についてはそれぞれの製品Q&Aを参照してください。
UTF8の暗号化が不正です
Invalid UTF8 encoding
二重デコードの攻撃コード
Double Decoding Exploit
16進の暗号化が不正です
Invalid Hex Encoding
走査が不正です
Invalid Traversal
URIに使用できない文字
Illegal Character in URI
UTF8シーケンスが不完全です
Incomplete UTF8 Sequence
no end protocol
 
  
また、Trend Micro Deep Security 9.5 Service Pack 1 以降より、本ルールについて
「検出のみ」と設定することが可能です。設定手順は以下の通りです。
 
    1. Web管理コンソールにログインします。
       
    2. [Deep Packet Inspection]→[DPI Rules / DPIルール]→[Web Application Protection]で「1000128 - HTTP Protocol Decoding」 ルールのプロパティを開きます。
       
    3. [Configuration / 設定]タブを選択し、「DPI Engine behaviour when URI constraint is encountered:」 から以下のどちらかを選択します。
       
      ------------------------------------------------------------
      ・Detect Only (Deep Security Agent 9.5 Service Pack 1 onwards only)
      ・Prevent
      ------------------------------------------------------------

「検出のみ」モードに設定後もルールの表示上は「防御」となります。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1311149
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド