2.1.9.5. 侵入防御

2.1.9.5.1. 侵入防御の割り当てルール数

侵入防御で割り当て可能なルール数は、サーバーリソースによって異なります。
侵入防御は、ネットワーク型セキュリティ( Managed UTM )のIDS/IPS機能と異なり、管理対象ホストのリソースを利用して通信の監査を実施します。適用ルール数が多すぎると、管理対象ホストで処理を行っている各種サービスの性能劣化(遅延)が発生する可能性があります。
その為、『推奨設定の検索』実施後の結果で『割り当て解除を推奨』と判断されたルールについては、割り当ての解除を実施することを提案します。

2.1.9.5.2. アプリケーションの種類に関する注意事項

適用されるルール数に関しては、管理対象ホストで利用可能なリソースによって変動しますが、各ルールの管理グループである【アプリケーションの種類】に関しては、上限値が存在します。
【アプリケーションの種類】には、各ルールの監査対象となるポート番号や、ルールが動作するために必要となる基本情報が含まれており、各ルールはそれぞれの 【アプリケーションの種類】に紐づけて管理されています。

適用されるルールに紐づく【アプリケーションの種類】は、監査対象となる単一ポートに対して8種類(送受信別)を超えた場合にルールの更新が行えない状態となります。この状況になると、Agentは最新のルールを適用する事ができないために、新しい脅威に対応する事ができません。
単一のポートに対する【アプリケーションの種類】が8種類を超える場合は、各アプリケーションベンダーから提供されるパッチを適用していただくか、 侵入防御で適用しているルールの除外設定が必要になります。

2.1.9.5.3. 侵入防御ルールのカスタマイズ(誤検知などの通信断時)

ルールカスタマイズは基本的にポリシー単位で実施することを推奨しますが、緊急時対応や単体のサーバーでの問題が確認された場合には、対象となるコンピュータのみに設定を行うことが可能です。

誤検知が発生した場合、そのイベント情報を参照することで、どのルールが誤適用されているか判別できます。その場合、誤適用されているルールをルールカスタマイズにて除外する設定を行います。
誤った除外設定を行わないためにも、「発生イベント情報」、「除外するルール」の内容の正当性を十分ご確認いただいた後にカスタマイズを実施してください。