侵入防止の管理

デフォルトの侵入防止設定はクライアントコンピュータをさまざまな脅威から保護します。デフォルトの設定はネットワークに合わせて変更できます。
サーバーで
Symantec Endpoint Protection
を実行すると、侵入防止はサーバーのリソースや応答時間に影響を与えることがあります。詳細については、次を参照してください。
Linux クライアントは侵入防止をサポートしません。
侵入防止の管理
タスク
説明
侵入防止について学習する
侵入防止がネットワーク攻撃とブラウザ攻撃を検出して遮断する方法を学習します。
侵入防止を有効にする
クライアントコンピュータを安全に保つために、侵入防止を有効にする必要があります。
  • ネットワーク侵入防止
  • ブラウザの侵入防止 (Windows コンピュータのみ)
    検出項目をログに記録して遮断しないようにブラウザの侵入防止を設定することもできます。クライアントのセキュリティプロファイルのレベルが低下するのでこの設定の使用は一時的にしてください。たとえば、クライアントで遮断されたトラフィックの問題を解決する間のみログのみのモードを設定します。攻撃ログを確認し、トラフィックを遮断するシグネチャを識別して除外したら、ログのみのモードを無効にします。
グループまたはクライアントで
[ネットワーク脅威防止を有効にする]
コマンドを実行するときには、両方の種類の侵入防止に加えて、ファイアウォールも有効にすることができます。
例外を作成して、シマンテック社のネットワーク侵入防止シグネチャのデフォルトの動作を変更する
シマンテック社のデフォルトのネットワーク侵入防止シグネチャのデフォルトの動作を変更するには、例外を作成すると便利です。一部のシグネチャはデフォルトでトラフィックを遮断し、他のシグネチャはデフォルトでトラフィックを許可します。
ブラウザの侵入防止シグネチャの動作を変更することはできません。
次の理由から、いくつかのネットワークシグネチャのデフォルトの動作を変更すると効率的な場合があります。
  • クライアントコンピュータでの消費量を減らす。
    たとえば、トラフィックを遮断するシグネチャの数を減らしたい場合があります。ただし、攻撃シグネチャが脅威を示していないことを確認してから、攻撃シグネチャを遮断から除外してください。
  • シマンテック社がデフォルトでは遮断する一部のネットワークシグネチャを許可する。
    たとえば、無害なネットワーク活動が攻撃シグネチャと一致する誤認を減らすため、例外を作成したい場合があります。ネットワーク活動が安全であることがわかっている場合には、例外を作成できます。
  • シマンテック社が許可する一部のシグネチャを遮断する.
    たとえば、シマンテック社はピアツーピアアプリケーション用のシグネチャを含めて、デフォルトではトラフィックを許可しています。そうする代わりに、トラフィックを遮断する例外を作成できます。
  • 監査シグネチャを使い、特定の種類のトラフィックを監視する(Windows のみ)
    監査シグネチャでは、インスタントメッセージアプリケーションからのトラフィックなど、特定の種類のトラフィックを
    [ログに記録しない]
    ことがデフォルトの動作になっています。ログを表示し、ネットワークのこのトラフィックを監視できるように、トラフィックをログに記録する例外を作成できます。その後、その例外を使ってトラフィックを遮断したり、トラフィックを遮断するファイアウォールルールを作成したり、トラフィックをそのままにしたりできます。
    トラフィックのアプリケーションルールを作成することもできます。
アプリケーション制御を使って、ユーザーが各自のコンピュータでピアツーピアアプリケーションを実行しないようにできます。
ピアツーピアのトラフィックを送受信するポートを遮断する場合は、ファイアウォールポリシーを使います。
クライアントコンピュータでブラウザシグネチャを無視する例外を作成する
(Windows のみ)
Windows コンピュータのブラウザの侵入防止からブラウザシグネチャを除外する例外を作成できます。
ネットワーク内のブラウザでブラウザの侵入防止が原因の問題が起きている場合は、ブラウザシグネチャを無視したいことがあります。
ネットワーク侵入防止スキャンから特定のコンピュータを除外する
ネットワーク侵入防止から特定のコンピュータを除外すると便利な場合があります。たとえば、社内ネットワークの一部のコンピュータはテスト目的でセットアップされている可能性があります。それらのコンピュータとの間で送受信されるトラフィックは、
Symantec Endpoint Protection
では無視したい場合があります。
コンピュータを除外するときには、ファイアウォールが提供するサービス拒否の保護とポートスキャンの保護からも、それらのコンピュータを除外します。
侵入防止の通知を設定する
デフォルトでは、クライアントコンピュータに侵入の試みについてのメッセージが表示されます。メッセージをカスタマイズすることもできます。
カスタム侵入防止シグネチャを作成する (Windows のみ)
独自の侵入防止シグネチャを記述し、特定の脅威を識別することができます。独自のシグネチャを記述するときには、シグネチャによって誤認が発生する可能性を減らすことができます。
たとえば、Web サイトを遮断してログに記録するためにカスタム侵入防止シグネチャを利用できます。
カスタム IPS シグネチャを使うには、ファイアウォールをインストールして有効にする必要があります。
侵入防止を監視する
ネットワーク内のクライアントコンピュータで侵入防止が有効になっていることを定期的に確認してください。