Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS ポリシーについて

侵入防御システム(IPS)ポリシーを使用すると、IPS 対応デバイスを通過するネットワーク トラフィックに対して、さまざまな攻撃検出および防御技術を選択的に適用できます。ポリシー オプションには 2 つのタイプがあります。

  • [グループ ポリシー(Group Policy)]:デバイスのグループに設定をプッシュする場合は、このオプションを選択します。グループ ポリシーのルールを作成できます。

    グループ ポリシーのデバイス割り当て中に、現在のドメインと子ドメイン (親の表示が有効になっている) のデバイスのみが一覧表示されます。親ビューが無効になっている子ドメイン内のデバイスはリストされません。グローバルドメインのすべてのグループポリシーが子ドメインに表示されるわけではありません。グローバルドメインのグループポリシー(すべてのデバイスポリシーを含む)は、その子ドメインの親ビューが無効になっている場合、子ドメインには表示されません。子ドメインのデバイスが割り当てられているグローバルドメインのグループポリシーのみが、子ドメインに表示されます。グローバルドメインにグループポリシーがあり、D1ドメインとグローバルドメインの両方のデバイスが割り当てられている場合、グローバルドメインのこのグループポリシーのみが、D1ドメインデバイスとともにD1ドメインに表示されます。Globalドメインの他のデバイス、つまりDevice-Exceptionポリシーは、D1ドメインには表示されません。

    子ドメインからグローバルドメインのグループポリシーを編集することはできません。これは、「すべてのデバイス」ポリシーにも当てはまります。ポリシーの変更、ポリシーの削除、スナップショット、スナップショット・ポリシーの管理、ポリシー・ロックの取得もできません。同様に、グローバルドメインからD1ドメインのDevice-Exceptionポリシーに対してこれらのアクションを実行することはできません。現在のドメインからグループポリシーに優先順位を付けることができます。他のドメインのグループポリシーはリストされません。

  • [Device Policy]:デバイスごとに一意の IPS ポリシー設定をプッシュする場合は、このオプションを選択します。デバイスIPSポリシーのデバイスルールを作成できます。

    Security Director は、論理システムまたはテナント システムを他のセキュリティ デバイスと同様に認識し、論理システムまたはテナント システムのセキュリティ設定の所有権を取得します。Security Director では、各論理システムまたはテナント システムが一意のセキュリティ デバイスとして管理されます。

    デバイスポリシーのデバイス割り当て中に、現在のドメインのデバイスのみが一覧表示されます。

手記:

Security Director がルート論理システムを検出すると、ルート LSYS はデバイス内の他のすべてのユーザ LSYS と TSYS を検出します。

IPS ポリシーはルールベースで構成され、各ルールベースには一連のルールが含まれます。ゾーン、ネットワーク、アプリケーションに基づいて、トラフィックの一部を一致させるポリシールールを定義し、そのトラフィックに対してアクティブまたはパッシブな予防措置を講じることができます。

IPS ルールベースは、攻撃オブジェクトを使用して既知および未知の攻撃を検出することにより、ネットワークを攻撃から保護します。ステートフル、シグネチャ、プロトコルの異常に基づいて攻撃を検知します。

除外ルールベースは、IPS ルールベースと連携して機能します。除外ルールを作成する前に、IPS ルールベースにルールが必要です。トラフィックが IPS ルールベースのルールに一致する場合、IPS ポリシーは、指定されたアクションを実行したり、イベントのログ レコードを作成したりする前に、トラフィックを除外ルールベースと照合しようとします。IPS ポリシーは、送信元または宛先のペアと、除外ルールベースで指定された攻撃オブジェクトに一致するトラフィックを検出すると、そのトラフィックを攻撃検出から自動的に除外します。

次の条件で除外ルールベースを構成します。

  • IPS ルールが、誤検知または無関係なログ レコードを生成する 1 つ以上の攻撃オブジェクトを含む攻撃オブジェクト グループを使用する場合。

  • 特定の送信元、宛先、または送信元と宛先のペアを IPS ルールの一致から除外する場合。これにより、IPS が不要なアラームを生成するのを防ぎます。

1 つ以上のルールベースにルールを追加して IPS ポリシーを作成した後、ポリシーを公開または更新できます。また、IPS ポリシーが割り当てられているセキュリティ デバイスのリストを表示することもできます。このリストは、デバイスごとに割り当てられたすべての IPS ポリシーとルールの詳細を表示するのに役立ちます。

関連資料