Managed Host-based Security Package¶
概要¶
概要¶
Managed Host-based Security Package は、Enterprise Cloud 2.0/Enterprise Cloud 1.0/Enterprise Cloud for ERP、SD-Exchangeに接続されるホスト上(SD-Exchangeに接続されるオンプレミス環境、AWSなどで稼働するホスト)で利用することができる 統合的なセキュリティ機能 を提供します。
ホスト上のオペレーションシステム(OS)にAgentをインストールしていただき、インターネット上の管理サーバーと接続することで利用することができます。
(以下、Managed Host-based Security Package を本メニューと記載します。)
特長¶
本メニューは、以下の特長を持つメニューです。
- ホスト上のセキュリティ対策に必要なセキュリティ機能をオールインワンで提供ホストのセキュリティ対策に必要な機能をオールインワンで提供します。お客さまは資産を所有することなく、初期投資や最低利用期間なしで必要な時に利用することができます。● 不正プログラム対策 (ウイルス感染からの防御)● 侵入防御 (脆弱性を利用した攻撃の検知/防御)● ファイアウォール (通信の制御)● Webレピュテーション (不正なWebサイトへの通信をブロック)● 変更監視 (ファイルやレジストリなどの変更を監視)● セキュリティログ監視 (重要なセキュリティイベントの可視化)
- セルフオペレーションによる即時設定変更お客さまにて Enterprise Cloud 2.0 ポータルの セキュリティコントロールパネル を操作いただくことで、設定変更をオンラインで行うことが可能です。
- 管理サーバー設備は弊社マネージドサービスによる安心・安全運用グローバルレベルのセキュリティ運用体制を持つセキュリティオペレーションセンター(SOC)が、本メニューで提供する管理サーバーの運用監視を行います。
利用できる機能¶
機能一覧¶
本メニューは、以下の機能を提供します。
| 機能 | 説明 |
|---|---|
| 不正プログラム対策 | ホストがウイルスに感染することを防止します。ウイルスがホストに侵入しようとした際に検出するリアルタイム検索や、お客さまの指定された日時で設定されたスケジュール検索により、ホストをウイルス感染から保護します。 |
| 侵入防御 | 仮想パッチ(脆弱性ルール)によって、脆弱性に対する攻撃からホストを保護します。対応している脆弱性は、Windows、Linuxなど主要なサーバOSや、Apache、BIND、Microsoft SQL、Oracleなど100以上のアプリケーションに対応しています。 |
| 3. ファイアウォール | IPアドレスやMACアドレス、プロトコルなどを指定してホストの通信制御を行う機能です。 |
| Webレピュテーション | ホストが不正なURLへアクセスすることをブロックします。Webアクセスの際に、インターネット上のトレンドマイクロ社サーバーのデータベースを確認してアクセスを制御する機能です。これにより、不正プログラムの侵入、情報漏えいなどを防ぐことができます。 |
| 変更監視 | 予め指定したファイルやレジストリ、待機中ポートなどを監視して変更があった場合にアラートが発令される機能です。ルールに基づかない不正な変更の監視に利用することができ、改ざん検知などにも応用することができます。 |
| セキュリティログ監視 | OSやアプリケーションなどで生成されたログとイベントを監視し、予め決められた閾値によりアラートが発令される機能です。例えば、Windowsイベントログに短い間に複数のログイン失敗のイベントが上がった場合にアラートを上げるなどの対応が可能です。 |
| コントロールパネル | Enterprise Cloud 2.0 ポータルの セキュリティコントロールパネル から申し込みや各機能の設定を行う機能です。 |
各機能の説明¶
本メニューで提供する機能について説明します。
1. 不正プログラム対策¶
不正プログラム対策 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| 検索の種類 | 検索のタイミングは、以下の種類があります。
● リアルタイム検索
ファイルに対して操作が行われるたびに検索します。
● 手動検索
任意のタイミングで検索することが可能です。
● 予約検索
指定された日時に自動的に検索が実行されます。
|
| 検索設定 | 検索を行うディレクトリ、ファイルを指定します。 |
| 検索除外設定 | 検索を除外するディレクトリ、ファイル、およびファイル拡張子の指定が可能です。 |
| 処理 | 不正プログラムが検出された場合の処理を選択します。
● トレンドマイクロ推奨
実行する処理を自動的に決定します。
● カスタム処理
実行する処理を任意に指定します。
実行する処理の種類は、以下の通りです。
● 放置
感染ファイルには何も行わず、ログに記録します。
● 駆除
感染ファイルから感染部分だけを除去します。
● 削除
感染ファイルごと削除します。
● アクセス拒否(リアルタイム検索のみ)
感染ファイルを操作しようとすると、すぐにその処理をブロックします。
● 隔離
ホスト上の隔離ディレクトリにファイルを移動します。
|
| スマートスキャン | ローカル上の最小限のパターンファイルと、インターネット上にあるトレンドマイクロ社サーバーの完全なパターンファイルを利用して、危険の有無を判定します。 |
| 検索の制限 | 検索するファイルの最大サイズを指定することが可能です。(このサイズを超えるファイルは検索されません。) |
注釈
- トレンドマイクロの推奨処理は、個々の不正プログラムの検出を適切に処理するように、アクションは継続的に調整されます。トレンドマイクロの推奨処理検索はウイルスパターンのアップデートと同時にアップデートされます。
- 手動検索または予約検索で「アクセス拒否」オプションが選択された不正プロクラム検索設定が使用されている場合、「放置」処理が適用されます。
- スマートスキャンがオンの場合、ローカル上のサイズが小さなパターンファイルで検査し、「危険の可能性あり」とみなされたファイルは、インターネット上のトレンドマイクロ社サーバーにアクセスして、サーバー上の完全なパターンファイルと照合して、危険の有無を判定します。この方法では、ローカルのパターンファイルのサイズが小さく抑えられ、Agentで必要なアップデートのサイズおよび数も削減されます。
- 検索の制限の値に0を設定すると、最大サイズがないことを意味し、すべてのファイルが検索されます。
2. 侵入防御¶
侵入防御 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| 動作設定 | 攻撃パケットを検出した場合の動作は、以下の選択が可能です。
● 防御:攻撃パケットを破棄
● 検知:攻撃パケットの検知のみ、破棄しない
|
| ルール設定 | 現在割り当てられている侵入防御ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。 |
| 推奨設定 | 推奨される侵入防御ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 本機能が有効な状態でも、ソフトウェア自体の潜在的な問題は残ったままとなります。また、本機能はネットワーク経由の脆弱性に対する通信を検出するため、ローカル上で完結する攻撃手段や、ネットワーク経由であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。正式なメーカー対応パッチの適用と併用して、本機能をご利用ください。
- 動作設定において、防御を選択した場合、全てのルールが遮断されるものではなく、一部ルールによっては検知のみのものも含まれます。
3. ファイアウォール¶
ファイアウォール 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| ステートフル設定 | ステートフルインスペクションとして動作させることが可能です。 |
| ルール設定 | 現在割り当てられているファイアウォールルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
ルールに指定可能な項目の概要は、以下の通りです。
● 処理(許可、バイパス、拒否、強制的に許可)
● 優先度(0[最低]〜4[最高])
● パケット方向(受信/送信)
● フレームの種類(IP、ARPなど)
● プロトコル(ICMP、TCP、UDP、TCP+UDPなど)
● パケット送信元(IPアドレス、MACアドレス)
● パケット送信先(IPアドレス、MACアドレス)
処理の内容は、以下の通りです。
● 許可
ルールと一致するトラフィックの通過を許可します。
● バイパス
ルールと一致するトラフィックの通過を許可(バイパス)します。侵入防御およびファイアウォール機能での検査を行いません。ステートフル機能が動作しないため、双方向(受信・送信)のバイパスルールを設定する必要があります。
● 拒否
ルールと一致するトラフィックの通信を破棄します。
● 強制的に許可
他のルールで拒否されるトラフィックの通過を強制的に許可します。侵入防御の検査を行います。
|
注釈
- ホストに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。有効な許可ルールが受信/送信に関わらず、1つでも設定された場合、許可ルールの条件を満たしていないかぎり、それぞれの方向で許可されたもの以外の通信は全て拒否されます。
- ルール設定の優先度は、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」を選択した場合、0[最低]〜4[最高]の優先度が設定できます(「許可」ルールでは0のみが設定できます。)。優先度の低いルールよりも先に優先度の高いルールが適用されます。例えば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。
- バイパスを利用しているルールと同じ条件で、優先度が上位にある別の許可・拒否ポリシーがルールが存在する場合は、上位ルールで処理されるため、バイパスされません。バイパスさせる場合は、許可・拒否ルールよりも優先度を高く設定する必要があります。
- 1台以上のホストに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。
4. Webレピュテーション¶
Webレピュテーション 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| セキュリティレベル設定 | 既知の不正なWebアドレスまたはその疑いがあるWebアドレスは、次のリスクレベルに分類されます。
● 危険
不正、脅威の既知の発信源であると確認されたページ
● 非常に不審
不正、脅威の発信源である可能性が疑われたページ
● 不審
スパムメールに関連付けられている、または感染している可能性のあるページ
高、中、低のいずれかのセキュリティレベルを選択し、どのリスクレベルのURLをブロックするか決定します。
● 高:危険/非常に不審/不審 をブロック
● 中:危険/非常に不審 をブロック
● 低:危険 をブロック
|
| 除外設定 | 許可するURL、ブロックするURLが指定可能です。 |
注釈
- セキュリティレベルによって、URLへのアクセスを許可するかブロックするかが決定されます。例えば、セキュリティレベルを[低]に設定すると、Webの脅威であることが判明済みのURLのみをブロックします。セキュリティレベルを[中]や[高]に上げるほど、Webの脅威の検出率が向上しますが、誤判定の可能性も増加します。
- 除外設定で、[許可]リストは[ブロック]リストよりも優先されます。[許可]リスト内のエントリと一致するURLは、[ブロック]リストと照合されません。
5. 変更監視¶
変更監視 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| ベースライン構築 | 変更監視 の比較対象となる元の状態を記録します。 |
| 検索設定 | 適用されたルールの設定内容とベースラインの情報をもとに変更を検出します。
● リアルタイム検索
指定された変更をリアルタイムで検索します。
● 手動検索
任意のタイミングで検索することが可能です。
● 予約検索
指定された日時に自動的に検索が実行されます。
|
| ルール設定 | 現在割り当てられている 変更監視 ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
変更監視 ルールの作成は、インストール済みのソフトウェア、実行中のサービス、プロセス、ファイル、ディレクトリ、待機中のポート、レジストリキー、およびレジストリ値の検索が可能です。
|
| 推奨設定 | 推奨される 変更監視 ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 前回の検索後に、監視対象の項目に対して複数回の変更が行われた場合は、最新の変更のみが検出されます。
6. セキュリティログ監視¶
セキュリティログ監視 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。
セキュリティログ監視は、リアルタイムで監視します。
|
| ルール設定 | 現在割り当てられている セキュリティログ監視 ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
セキュリティログ監視 ルールの作成は、ファイルパスや検索条件を指定して作成することが可能です。
|
| 推奨設定 | 推奨される セキュリティログ監視 ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 一部のセキュリティログ監視ルールは、正常に機能するため、ホスト上での設定を必要とします。このようなルールをホストに割り当てるか、ルールが自動的に割り当てられると、設定が必要であることを通知するアラートが発令されます。
7. コントロールパネル¶
コントロールパネル 機能では、主に以下の操作が可能です。
詳細は、Enterprise Cloud 2.0 チュートリアルを参照してください。
| 項目 | 説明 |
|---|---|
| オーダー | セキュリティメニューの申し込みが可能です。 |
| オペレーション | 本メニューの設定/管理を行うことが可能です。 |
● オーダー/Order
オーダーから操作可能な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| 新規 | 新規に利用を開始します。 |
| 機能変更 | 利用メニューを変更することが可能です。 |
| 数量変更 | 本メニューの数量を変更することが可能です。 |
| 解約 | 本メニューの全ての利用を終了します。 |
● オペレーション/Operation
オペレーションから操作可能な主な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| コンピュータ | 各種セキュリティ機能の設定を実施することが可能です。 |
| ポリシー | ルールや設定をまとめて定義し、複数のコンピュータに同じ設定を割り当てることが可能です。 |
| アラート | 管理者への注意喚起が必要な事象が発生した場合にアラートが発令されます。 |
| レポート | 各種レポートを出力することが可能です。 |
| 管理 | 予約タスクの設定(例えば、セキュリティアップデートや予約検索などのスケジュール化)、パターンファイルやルールの管理などを行うことが可能です。 |
注釈
- セキュリティコントロールパネル 上で閲覧可能な本メニューに関するログの期間は、4週間です。取得ログの完全性を保証するものではありません。必要に応じて、お客さまにて定期的にログをエクスポートするなどの対応をお願いします。
- 複数のリージョン/テナントで利用される本メニューを一元管理(ホスト型セキュリティのOperation画面を1つで管理)されたい場合は、1つのリージョン/テナントで本メニューをお申し込みいただき、利用される総数量分をオーダーの上、ご利用ください。(ただし、料金情報もオーダーされたテナントにて表示されます。)
メニュー¶
申し込み方法¶
Enterprise Cloud 2.0 をご契約いただいたお客さまは、本メニューを申し込むことが可能です。
申し込み種別、申し込み方法、納期は、以下の通りです。
| 申込種別 | 内容 | 申込方法 | 納期 |
|---|---|---|---|
| 新規 | 初回申し込み | Enterprise Cloud 2.0 ポータル の セキュリティコントロールパネル 経由で、お客さま自身の操作により申し込み | 即時 |
| 機能変更 | 利用メニューの変更 | 同上 | 同上 |
| 数量変更 | 利用数量の変更 | 同上 | 同上 |
| 解約 | 利用廃止 | 同上 | 同上 |
注釈
- Enterprise Cloud 2.0 の1テナントに対して、ホスト型セキュリティのいずれか1つのメニューをご利用いただくことが可能です。
- Managed Anti-Virus
- Managed Virtual Patch
- Managed Host-based Security Package
- 1回のオーダー処理が完了するまで、次のオーダーを行うことはできません。
- 機能変更(メニュー変更)は、現在利用されているメニューの数量全てを、他のホスト型セキュリティのメニューへ変更するオーダーです。
- Managed Host-based Security Package → Managed Anti-Virus
- Managed Host-based Security Package → Managed Virtual Patch
- 解約される場合は、Agentと管理サーバーとの接続を切断の上、Agentのアンインストールを実施された後に、オーダーにて解約処理してください。
- 解約後 2週間以内は、同一テナント上でホスト型セキュリティのメニューを新規利用することはできません。
ご利用条件¶
ご利用条件¶
本メニューのご利用条件は、以下の通りです。
1. システム要件¶
本メニューを利用するためには、ホスト上のOSにAgentをインストールしていただく必要があります。Agentの導入に必要なホストのシステム要件は、以下の通りです。
| 項目 | 内容 |
|---|---|
| メモリー | 512MB以上 |
| ディスク容量 | 500MB以上
|
| OS | Windows:
注釈
Linux:
注釈
|
| [1] | Relay機能…トレンドマイクロ社サーバーからパターンファイルやルールなどをダウンロードし、Agentをインストールしたホストに配信する機能 |
2. 通信要件¶
● Agent通信要件
本メニューのAgentの通信要件は、以下の通りです。
ホストにインストールされたAgentは、インターネット経由で管理サーバーと接続する必要があります。同様に、一部の機能利用時にトレンドマイクロ社のサーバーと接続する必要があります。
ファイアウォール等の通信制御を行う機器を利用している場合は、適切に管理サーバーとAgent、ならびにトレンドマイクロ社のサーバーへの通信許可設定を実施してください。
管理サーバーおよびトレンドマイクロ社のサーバーと通信するために、名前解決が必要です。Agentをインストールするホスト上で名前解決ができるよう設定を実施してください。
本サービスで利用しているAgentは、プロキシサーバーを利用して管理サーバーと接続が出来ます。プロキシサーバーを利用する場合は、Relay機能を有効にしたAgentをお客さま環境内に準備する必要があります。
- Relay機能を有効にしたAgentは、管理サーバーとトレンドマイクロ社のサーバーに接続します。必ず、管理サーバーとトレンドマイクロ社のサーバーに接続ができるよう設定を実施してください。
- Agentがお客さま環境内のRelayと通信する場合、Agentがインストールされたホスト上で、お客さま環境内のRelay機能を有効にしたホストの名前解決ができるよう設定を実施してください。
- Agentがお客さま環境内のRelayと通信する場合、サービス提供しているRelayと異なるポートを利用して通信します。
Agentは管理サーバーやRelayサーバーと通信する際に暗号化通信を利用します。通信ポートからはHTTP/HTTPSを利用するように見えますが、TCPの暗号化通信を利用しますので以下の点にご注意ください。
- 暗号化通信制御を行う機器を利用している場合、管理通信が利用できない可能性があります。
- アクセス制御を行う機器を利用している場合、Agentの仕様により通信ができない可能性があります。
この様な通信制御を行う機器を利用している場合は、管理サーバーのアドレス(FQDN/IPアドレス)除外や暗号化通信の許可を必ず行ってください。これら通信制御を行う機器を利用する環境で発生した問題は、お客さまにて切り分け調査を実施してください。
| 通信内容 | 宛先(通信先) | 宛先ポート番号 |
|---|---|---|
| 管理サーバーとの接続 |
|
TCP 80、443 |
Relay機能を有効にしたホストとの接続
※ お客さま環境内に準備された場合
|
|
TCP 4122 |
| トレンドマイクロ社サーバーとの通信 | |
|---|---|
| 機能 | 宛先URL |
| スマートスキャン(不正プログラム対策) | https://ds96-jp.icrc.trendmicro.com:443 |
| Webレピュテーション | http://ds96-jp.url.trendmicro.com:80 |
セキュリティアップデート※
(コンポーネントのアップデート)
|
※ Relay機能をご利用の場合に必要です。
● メール通信要件
本メニューのメール通知の通信要件は、以下の通りです。
- メール通知を行いたい場合は、セキュリティコントロールパネル からお客さま管理のSMTPサーバーを指定する必要があります。ご利用されるSMTPサーバーにて、接続制限を実施されている場合は、以下のアドレス帯からの接続を許可してください。
- 管理サーバーアドレス帯:210.161.150.240~248
- お客さまのSMTPサーバーの待ち受けポート番号は、以下の指定が可能です。
- tcp 25または587
料金¶
月額費用¶
本メニューは、利用時間にかかわらず、月額定額料金です。
月の途中でメニュー変更または数量変更された場合は、その料金月に利用したメニューおよび数量に基づく月額料金を比較して、最も高い料金を月額料金として適用します。
サービス提供の品質¶
サポート範囲¶
● 管理サーバー
本メニューの管理サーバーにて提供する機能および設備は、サポート範囲内となります。
● Agent
ホスト上にインストールされたAgentの動作や仕様に関して、利用許諾内容の範囲内でサポートを行います。
(利用許諾内容は、Agentのインストール時に表示されます。)
注釈
- 設定値や運用方法などコンサルティングが必要な問い合わせについては、サポート対象外となります。
運用¶
本メニューは、Enterprise Cloud 2.0 に標準で定められた運用品質に準じます。
● 管理サーバー
本メニューは、管理サーバーにおける以下の運用を実施します。
| 項目 | 説明 |
|---|---|
| セキュリティパッチ適用 | 影響度に応じてセキュリティパッチを適用 |
| プロダクトライフサイクル管理 | バージョンアップ作業の実施 |
| 監視・保守 | 稼働監視および故障対応の実施 |
注釈
- Agentに関する運用は、お客さまにて実施願います。
- Agentのインストール、管理サーバーへの接続などの導入時作業および設定変更
- Agentのバージョンアップ作業
- Agentの監視(常時起動していることの確認)
- ホスト上での故障時の切り分け対応 など
制約事項¶
本メニューの制約事項は、以下の通りです。
共通¶
- Agentをインストールするには、対象のホストに管理者としてログインする必要があります。
- Agentをインストールするホストは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、Agentの有効化に失敗する場合があります。
- Webレピュテーション、ファイアウォール、侵入防御の機能を有効化した場合は、対象ホストにネットワークドライバがインストールされるため瞬断が発生します。詳細は、こちら を参照してください。
- Agentは、4118ポートを使用します。このポート番号は変更不可のため、Agentをインストールするホストでは他のアプリケーションと重複しないことを確認の上、利用してください。
- Agentがインストールされたホストにおいて、トレンドマイクロ社以外の製品との競合テストなどを含めた動作テストは実施していません。そのため、個別のソフトウェアとの共存についての回答はできかねます。お客さまの環境において動作確認をお願いします。また、他のトレンドマイクロ社製品との共存についても、詳細な条件がございます。詳しくは、トレンドマイクロ製品・他社製品と共存した場合の動作について を参照してください。
- AgentがProxyサーバー経由で管理サーバーと接続する場合、ProxyサーバーにおいてHTTPのCONNECTメソッド:80ポートの利用を可能にしてください。
- 本メニューでは、以下のようなケースの場合に、当社の判断にて利用を制限もしくは停止する場合があります。
- お客さまの利用が、他のお客さまの利用に影響を及ぼす場合
- お客さまの利用が、申し込み利用数と実際の利用数が一致しない場合 など
- 本メニューが提供する各機能やログについて、完全性、正確性、お客さまへの利用目的への適合性を有していることについて保証するものではありません。また、機能を構成するソフトウェアの開発元または販売元より提供されるパターンファイルやルールなどの妥当性を保証するものではありません。
- 本メニューの機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- 本メニューの提供を通じて得られた設定情報
- 本メニューの機能によって得られた情報
- 本メニューの機能とお客さま環境との相性により起こり得る不具合、またはお客さまが弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
不正プログラム対策 の制限事項¶
- 不正プログラム対策では、以下のファイルは検査対象外です。
- パスワードによって保護されたファイル
- サポートされていない形式で圧縮されたファイル
- 壊れたファイル
- 暗号化されたファイル
- 最大6回以上圧縮されたファイル
- 解凍後のサイズが設定値を超えるファイル
- 以下の用途のサーバーは、適切に設定しない場合、ホストのパフォーマンスが低下する可能性があります。適切に検索除外設定されることをお勧めします。
- ネットワーク上のディレクトリをマウントしているサーバー
- データベースやActive Directoryなど、頻繁にI/Oが発生するサーバー
- ビッグデータを扱うサーバー
- メールサーバー(POPサーバー、IMAPサーバーなど)
侵入防御 および ファイアウォール の共通制限事項¶
- 最大TCP接続数または最大UDP接続数を上回る通信が実施された場合、その通信をブロックします。接続数は同時接続数です。値を増やすことで、通信の評価をするために必要なホスト上のメモリリソース消費量が増えるため、十分な検証の上、設定をチューニングしてください。
- TCPの最大接続数:30,000(初期値)
- UDPの最大接続数:30,000(初期値)
- RFCに準拠しない通信や不正な操作が疑われる通信の場合、通信を遮断する場合があります。
- IPヘッダが無い場合
- 送信元および送信先IPが同じ場合
- URIに使用できない文字が使用されている場合
- 分離記号「/」が多い(100以上)場合
- ルートの上に「../../」が使われている場合 など
侵入防御 の制限事項¶
- 暗号化された通信は検査対象外です。
- 適用されるルールに紐付く「アプリケーションの種類」は、監査対象となる単一ポートに対して8種類(送受信別)を超えた場合にルールの更新が行えない状態となります。この状態になると、Agentは最新ルールを適用できないため、新しい脅威に対応することができません。各メーカー提供のパッチを適用(本各対処の実施)するか、侵入防御で適用されているルール数の割り当てを解除するなどの対応を実施してください。
- 以下の用途のサーバーは、お客さまにおいて適切な評価と設定値の検討を行った上でご利用ください。
- 通信量の多いサーバー
- リアルタイム性を要求されるサーバー(VoIPサーバー、ストリーミングサーバーなど)
ファイアウォール の制限事項¶
- 1台のホスト上で複数のファイアウォール機能を有効にした際に、お互いの機能が競合し、予期しない動作を引き起こす可能性があります。このため、OS標準のファイアウォール機能について、以下のように自動的に無効化されます。
- Windows版のインストールおよびアップグレード時に、Windowsファイアウォールを無効化することはありませんが、ファイアウォール機能を有効化し、かつ1つ以上のファイアウォールルールが割り当てられた際に無効化します。(その後、ファイアウォール機能をオフにすると、Windowsファイアウォールが有効化されます。)
- Linux版のインストール中にLinuxのiptablesが無効になることはありませんが、ファイアウォール、あるいは侵入防御機能を有効化した場合、iptablesが無効になります。Agentを無効化した場合には、iptablesは有効化され設定も元に戻ります。
- ルール処理には、「ログのみ」がありますが、通常時は設定しないでください。「ログのみ」は、ホストが送受信している通信内容をログとして保存する設定ですが、大量のログ情報を記録するため、管理サーバーおよびホストのリソースを圧迫する恐れがあります。そのため、「ログのみ」の設定は、故障時の切り分けなど調査目的の利用以外は設定しないでください。