IPSポリシーについて
侵入防御システム(IPS)ポリシーにより、IPS対応デバイスを通過するネットワークトラフィックに対して、さまざまな攻撃検出および防止技術を選択的に適用できます。ポリシーオプションには2種類あります。
グループポリシー—デバイスのグループに設定をプッシュする場合、このオプションを選択します。グループポリシーのルールを作成できます。
グループポリシーのデバイス割り当て中は、現在のドメインと子ドメイン(親表示が有効になっている)のデバイスのみが表示されます。親の表示が無効になっている子ドメイン内のデバイスはリストにありません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、子ドメインの親ビューが無効になっている場合、その子ドメインには表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが子ドメインに表示されます。D1とグローバルドメインの両方のデバイスが割り当てられているグループポリシーがグローバルドメインにある場合、グローバルドメインのこのグループポリシーのみが、D1ドメインデバイスのみとともにD1ドメインに表示されます。グローバルドメインの他のデバイス(デバイス例外ポリシー)は、D1ドメインには表示されません。
子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、すべてのデバイスポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショットの管理、スナップショットポリシー、ポリシーロックの取得も許可されていません。同様に、グローバルドメインからD1ドメインのデバイス例外ポリシーに対してこれらのアクションを実行することはできません。現在のドメインのグループポリシーに優先順位を付けることができます。他のドメインのグループポリシーはリストされていません。
デバイスポリシー—デバイスごとに固有のIPSポリシー設定をプッシュする場合、このオプションを選択します。デバイスIPSポリシー用のデバイスルールを作成できます。
Security Directorは、論理システムまたはテナントシステムを他のセキュリティデバイスと同様に表示し、論理システムまたはテナントシステムのセキュリティ設定の所有権を取得します。Security Directorでは、各論理システムまたはテナントシステムは固有のセキュリティデバイスとして管理されます。
デバイスポリシーへのデバイス割り当て中は、現在のドメインのデバイスのみが表示されます。
Security Directorがルート論理システムを検出した場合、ルートLSYSはデバイス内の他のすべてのユーザーLSYSとTSYSを検出します。
IPSポリシーはルールベースで構成され、各ルールベースには一連のルールが含まれています。ゾーン、ネットワーク、アプリケーションに基づいてトラフィックのセクションに一致するポリシールールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防アクションを実行できます。
IPSルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出することで、攻撃からネットワークを保護します。ステートフルシグネチャとプロトコルの異常に基づいて攻撃を検知します。
除外ルールベースは、IPSルールベースと連携して機能します。除外ルールを作成する前に、IPSルールベースにルールが必要です。トラフィックがIPSルールベースのルールに一致する場合、IPSポリシーは、指定されたアクションを実行するか、イベントのログレコードを作成する前に、トラフィックを除外ルールベースと一致させようとします。IPSポリシーが、送信元または宛先のペアと、除外ルールベースで指定された攻撃オブジェクトに一致するトラフィックを検出した場合、そのトラフィックを自動的に攻撃検出から除外します。
以下の条件で除外ルールベースを設定します。
IPSルールが、誤検知または無関係なログレコードを生成する1つ以上の攻撃オブジェクトを含む攻撃オブジェクトグループを使用する場合。
特定の送信元、宛先、または送信元と宛先のペアを IPS ルールの一致から除外する場合。これにより、IPSが不要なアラームを生成するのを防ぎます。
1つ以上のルールベースにルールを追加してIPSポリシーを作成した後、ポリシーを公開または更新できます。IPSポリシーが割り当てられているセキュリティデバイスのリストを表示することもできます。このリストは、デバイスごとに割り当てられているすべてのIPSポリシーとルールの詳細を表示するのに役立ちます。