McAfee Host Intrusion Prevention 8.0 インストール ガイド 著作権 Copyright © 2010 McAfee, Inc. All Rights Reserved. このマニュアルのいかなる部分も、McAfee Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、送 信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。 商標 AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは米国法人 McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としていま す。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるもの です、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセ ンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフト ウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインス トールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお 返しいたします。 2 McAfee Host Intrusion Prevention 8.0 インストール ガイド 目次 McAfee Host Intrusion Prevention のインストール........................................5 コンポーネント............................................................................6 インストールの概要........................................................................7 このリリースの新機能......................................................................9 短期間で実装するためのベスト プラクティス..............................................11 1. 戦略の立案............................................................................13 2. パイロット環境の準備..................................................................16 3. インストールと設定....................................................................18 4. 最初の調整作業........................................................................20 5. 適応モードでの実行 (オプション)........................................................23 6. 調整の修正............................................................................25 7. 保守作業と展開........................................................................25 ePolicy Orchestrator へのインストール...................................................27 拡張ファイルのインストール...............................................................28 拡張ファイルの削除.......................................................................29 ポリシーの移行..............................................................................30 以前のバージョンからのポリシーの移行 .....................................................31 XML ファイルによるポリシーの移行..........................................................32 Windows クライアントのインストール.......................................................33 Windows クライアントの詳細...............................................................33 リモートからの Windows クライアントのインストール .........................................35 ローカルでの Windows クライアントのインストール............................................36 ポリシーと IPS コンテンツの適用...........................................................36 Windows クライアントの削除...............................................................37 Windows でのトラブルシューティングの方法..................................................37 Windows クライアントの停止...............................................................38 Windows クライアントの再起動..............................................................39 Solaris クライアントのインストール.......................................................40 Solaris クライアントの詳細...............................................................40 リモートからの Solaris クライアントのインストール..........................................42 ローカルでの Solaris クライアントのインストール............................................42 McAfee Host Intrusion Prevention 8.0 インストール ガイド 3 目次 ポリシーと IPS コンテンツの適用...........................................................43 Solaris クライアントの削除...............................................................43 Solaris でのトラブルシューティングの方法..................................................43 Solaris クライアントの停止...............................................................44 Solaris クライアントの再起動..............................................................44 Linux クライアントのインストール.........................................................45 Linux クライアントの詳細.................................................................45 リモートからの Linux クライアントのインストール............................................47 ローカルでの Linux クライアントのインストール..............................................48 ポリシーと IPS コンテンツの適用...........................................................49 Linux クライアントの削除.................................................................49 Linux でのトラブルシューティングの方法....................................................49 Linux クライアントの停止.................................................................50 Linux 4 クライアントの再起動...............................................................50 McAfee Host Intrusion Prevention 8.0 インストール ガイド McAfee Host Intrusion Prevention のインストー ル このガイドでは、管理対象環境に Host Intrusion Prevention 8.0 をインストールして開始 するために必要な情報を提供します。この製品の拡張ファイルはバージョン 4.0、4.5、4.6 の ePolicy Orchestrator サーバにインストールされます。クライアントは、Windows ワー クステーションとサーバ、Solaris サーバ、Linux サーバにインストールされます。 製品の機能 Host Intrusion Prevention は、Windows システム上で安定したエンドポイント ファイア ウォールを実現します。また、Windows と Windows 以外のワークステーション、ノート PC、 Web サーバやデータベース サーバなどの重要なサーバに管理性と拡張性に優れた侵入防止ソ リューションを提供します。このソリューションは、不要または有害なネットワーク トラ フィックをブロックし、実績豊富な特許取得済みの技術を利用してゼロデイ攻撃と既知の攻 撃を未然に防ぎます。Host Intrusion Prevention 8.0 では、ファイアウォールのみのバー ジョンと、ファイアウォールと IPS の両方を含むフルバージョンが利用できます。 管理の容易性と拡張性 Host Intrusion Prevention を管理する ePolicy Orchestrator は、ウイルス対策などの重 要なセキュリティ ソリューションのポリシーを配信し、実施しています。このマネージド アプローチにより、アプリケーション間の通信量が減少します。グローバルに事業展開する 多言語環境の企業でも、1 つのソリューションで最大 100,000 のクライアント システムに 配備できます。 セキュリティ Host Intrusion Prevention では、動作ルール、シグニチャ、ステートフルなシステム ファ イアウォールによって攻撃を阻止します。新しい脅威に対して緊急パッチを適用する頻度も 少なくなります。デフォルトの設定でも迅速で大規模な配備が可能です。事前に定義された ポリシーだけでなく、カスタム ポリシーを適用して、保護レベルを強化できます。 ePO データベースにはシグニチャなどのセキュリティ コンテンツ データが格納されていま す。このデータは、Host Intrusion Prevention ポリシーで使用されます。更新は、コンテ ンツ更新パッケージによって処理されます。このパッケージにはバージョン情報と更新スク リプトが含まれています。チェックイン時に、パッケージのバージョンがデータベース内の 最新コンテンツと比較されます。パッケージの方が新しい場合、コンテンツ データが抽出さ れ保存されます。この新しいコンテンツは、次回のエージェント/サーバ間通信時にクライア ントに送信されます。 注意: Host Intrusion Prevention のコンテンツ更新は、手動あるいはプル タスクによって 自動的に ePO リポジトリにチェックインされ、更新タスクによってクライアントに配信され ます。Host Intrusion Prevention クライアントは ePO サーバとの通信によってのみ更新を 取得します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 5 McAfee Host Intrusion Prevention のインストール コンポーネント 保護の仕組み ePolicy Orchestrator は、ePO エージェント経由で Host Intrusion Prevention クライア ントにポリシー情報を定期的に送信します。Host Intrusion Prevention クライアントはポ リシーを施行し、イベント情報を収集して McAfee Agent 経由で ePolicy Orchestrator に 送信します。 図 1: Host Intrusion Prevention による保護 目次 コンポーネント インストールの概要 このリリースの新機能 コンポーネント Host Intrusion Prevention を使用するには、いくつかのコンポーネントがインストールさ れ、機能している必要があります。 Host Intrusion Prevention コンポーネント: 6 McAfee Host Intrusion Prevention 8.0 インストール ガイド McAfee Host Intrusion Prevention のインストール インストールの概要 • ePolicy Orchestrator サーバとリポジトリ - この管理ツールでは、ソフトウェアのイ ンストールやポリシーの配備、動作の監視、レポートの作成を行います。また、コンテン ツとクライアントの更新を保存し、配布します。 • McAfee Agent - 管理対象システムにインストールされ、Host Intrusion Prevention ク ライアントと ePolicy Orchestrator サーバやデータベースとの間を仲介するエージェン トです。クライアントと ePO サーバの間でデータを送受信します。 • Host Intrusion Prevention 拡張ファイル - ePolicy Orchestrator コンソールでポリ シー管理のインターフェースとなります。 • Host Intrusion Prevention クライアント - ワークステーションやサーバ上にインス トールされ、侵入防止を行うメイン コンポーネントです。 • Host Intrusion Prevention コンテンツの更新 (IPS のみ) - シグニチャや信頼できる アプリケーションなどの更新されたセキュリティ コンテンツです。この更新は定期的に 配信され、IPS を最新の状態に保ちます。 インストールの概要 Host Intrusion Prevention は ePolicy Orchestrator 環境にのみインストールされます。 ePO サーバとデータベースが必要です。また、Host Intrusion Prevention をインストール する各クライアント システムに McAfee Agent がインストールされている必要があります。 この ePO 環境の設定要件と手順の詳細については、『ePolicy Orchestrator インストール ガイド』を参照してください。 ePO サーバとエージェントの準備ができたら、ePO に Host Intrusion Prevention 拡張ファ イルをインストールします。購入されたバージョン (ファイアウォールのみまたはファイア ウォールと IPS) と使用中の ePO のバージョンによって、インストールされる拡張ファイル が異なります。詳細については、「ePolicy Orchestrator へのインストール」を参照してく ださい。 最後に、Windows、Linux または Solaris が実行され、McAfee Agent がすでにインストール されているクライアント コンピュータに Host Intrusion Prevention をインストールしま す。詳細については、「Windows クライアントのインストール」、「Solaris クライアント のインストール」または「Linux クライアントのインストール」を参照してください。 注意: Host Intrusion Prevention のファイアウォール機能は Windows プラットフォーム上 でのみ機能します。 このリリースではアーキテクチャ上の変更が行われ、Host Intrusion Prevention 8.0 クラ イアントは Host Intrusion Prevention 8.0 拡張ファイルによってのみ管理されます。ただ し、バージョン 7.0 の拡張ファイルと同時にバージョン 8.0 拡張ファイルを保持し、バー ジョン 8.0 への移行準備が整うまで前のクライアント バージョンを管理できます。移行の 詳細については、「ポリシーの移行」を参照してください。 表 1: コンポーネントのバージョン ePolicy Orchestrator サーバ上 バージョ ン クライアント システム上 Host IPS 8.0 拡張ファイル Windows 4.0 パッ ファイアウォールのみ (ePO • チ 6 以降 4.0) Solaris – McAfee Agent 4.0 (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) McAfee Host Intrusion Prevention 8.0 インストール ガイド Linux – 7 McAfee Host Intrusion Prevention のインストール インストールの概要 ePolicy Orchestrator サーバ上 バージョ ン クライアント システム上 Host IPS 8.0 拡張ファイル Windows ファイアウォールと IPS (ePO 4.0) Solaris • Host IPS 8.0 クラ イアント • McAfee Agent 4.0 • (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) • Host IPS 8.0 クラ イアント • 4.5 ファイアウォールのみ (ePO • 4.5) ファイアウォールと IPS (ePO 4.5) Host IPS 8.0 クラ イアント • McAfee Agent 4.0 • (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) • Host IPS 8.0 クラ イアント • 4.6 ファイアウォールのみ (ePO • 4.6) ファイアウォールと IPS (ePO 4.6) • Host IPS 8.0 クラ イアント • McAfee Agent 4.0 • (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) • Host IPS 8.0 クラ イアント McAfee Host Intrusion Prevention 8.0 インストール ガイド McAfee Agent 4.0 (パッ チ 3 以降) または McAfee Agent 4.5 for Linux (パッチ 1 以降) Host IPS 8.0 クライア ント Host IPS 8.0 クライアント – McAfee Agent • 4.0 (パッチ 3 以降) また は McAfee Agent 4.5 • for Solaris (パッチ 1 以 降) McAfee Agent 4.0 (パッ チ 3 以降) または McAfee Agent 4.5 for Linux (パッチ 1 以降) Host IPS 8.0 クライア ント Host IPS 8.0 クライアント – McAfee Agent 4.0 (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) • 8 McAfee Agent • 4.0 (パッチ 3 以降) また は McAfee Agent 4.5 • for Solaris (パッチ 1 以 降) – McAfee Agent 4.0 (パッチ 3 以降) ま たは McAfee Agent 4.5 for Windows (パッチ 1 以降) • Linux – McAfee Agent • 4.0 (パッチ 3 以降) また は McAfee Agent 4.5 • for Solaris (パッチ 1 以 降) Host IPS 8.0 クライアント McAfee Agent 4.0 (パッ チ 3 以降) または McAfee Agent 4.5 for Linux (パッチ 1 以降) Host IPS 8.0 クライア ント McAfee Host Intrusion Prevention のインストール このリリースの新機能 このリリースの新機能 このリリースでは、いくつかの機能が新たに導入されています。また、機能強化や変更も行 われています。 IPS • IPS オプション ポリシーの新機能: • 起動時の保護:スタートアップ時に IPS サービスの開始前に保護を開始します。 • IPS ルール ポリシーの新機能: • ネットワーク IPS シグネチャで IP アドレスを使用して除外対象を設定できます。 • IPS シグネチャとファイアウォール ルールの両方で、信頼できるネットワークを設定 できます。 • アプリケーションを確認するときに、パスだけでなく、パス、ハッシュ、デジタル署 名、シグネチャと除外リストのファイルの説明も使用されるようになりました。 ファイアウォール • ファイアウォール オプション ポリシーの新機能: • TrustedSource の評価とブロック:ファイアウォール ルールと McAfee TrustedSource の評価に従って、受信トラフィックと送信トラフィックを許可または拒否します。 • IP スプーフィング対策:ローカルの IP アドレスがローカル システムの IP アドレス でない場合、あるいはローカルの MAC アドレスが VM ゲストの MAC アドレスでない場 合、ファイアウォール ルールによって送信トラフィックをブロックします。 • ブリッジド VM サポート:ローカルの MAC アドレスがローカル システムの MAC アドレ スに一致していない場合でも、サポートされる VM ソフトウェアの MAC アドレスであ れば、ファイアウォール ルールによってトラフィックを許可します。 • 起動時の保護:ファイアウォール サービスが開始するまで、ファイアウォール ルール によってすべての受信トラフィックをブロックします。 • 追加のファイアウォール ポリシー:ファイアウォール DNS ブロック機能は、ブロックさ れないドメイン名パターンを使用します。このポリシーは、ユーザ指定のドメイン名の DNS 解決をブロックするドメイン ルールに代わるものです。 • ファイアウォール ルール ポリシーの新機能: • 柔軟性を増したファイアウォール ルール:1 つのルールに複数のアプリケーション (以 前は 1 つ)、複数のネットワーク (以前は 1 つ)、ローカル ネットワークとリモート ネットワーク (以前はリモート ネットワークのみ)、VPN メディア タイプ、有線と無 線を記述できるようになりました。 • 接続別グループは、場所情報と接続スケジュールが記述された簡単なファイアウォール グループになりました。 • アプリケーションを確認するときに、パスだけでなく、パス、ハッシュ、デジタル署 名、ファイアウォール ルールのファイルの説明も使用されるようになりました。 全般 • アプリケーション ブロック オプションとアプリケーション ブロック ルール ポリシー が削除されました。この機能は、Host IPS ルール ポリシーの 2 つのコンテンツ シグネ チャ (6010 と 6011) に代わりました。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 9 McAfee Host Intrusion Prevention のインストール このリリースの新機能 • ファイアウォール隔離オプションと隔離ルール ポリシーが削除されました。スタートアッ プ隔離オプションはファイアウォール オプションのスタートアップ保護オプションに移 行しました。 • 新しい Host IPS カタログにより、ファイアウォール グループ、ルール、場所、実行ファ イル、ネットワークなど、ポリシー間で共通するポリシー コンポーネントを編成し、再 利用が可能になりました。 • 製品全体で標準のワイルドカード セットを使用しています。 • 共通フォルダにログを保存します。一部のログを簡素化し、読みやすくしています。 プラットフォーム サポート • 32 ビット/64 ビットの Windows プラットフォームに対する完全なパリティ アクセス • 追加:Windows 7、Linux SUSe10 SP3、SUSe 11、Solaris ゾーン サポート • 削除:Windows 2000、Solaris 8、SUSe Linux 9 SQL サポート • 追加:SQL 2005、SQL 2008 • 削除:SQL 2000 拡張ファイル/クライアント機能 • Host Intrusion Prevention 8.0 の 2 つのバージョン: ファイアウォールのみのバージョ ンと、ファイアウォールと IPS の両方を含むフルバージョン。 • ePolicy Orchestrator 4.0、4.5、4.6 と互換性のある Host IPS 拡張ファイル • 以前のバージョンの Host IPS がインストールされている ePolicy Orchestrator にも Host IPS 8.0 拡張ファイルをインストール可能 • Host IPS 8.0 拡張ファイルは Host IPS 8.0 クライアントのみを管理します。前のクラ イアント バージョンはサポートしていません。 • 初回インストール後にクライアントで IPS とファイアウォールの両方が無効になります。 ポリシー アプリケーションで有効にする必要があります。 • すべてのプラットフォームで、クライアントを再インストールせずに、ePolicy Orchestrator で評価版からライセンス版にアップグレードできます。 10 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 組織にとって McAfee Host Intrusion Prevention は非常に有効なソリューションです。緊 急性の高いパッチの適用頻度が少なくなり、ビジネスの継続性と従業員の生産性を維持しな がら、データの機密性を保護し、コンプライアンス対応の労力を軽減できます。このソリュー ションは、シグネチャと動作分析による侵入防止システム (IPS) とステートフルなファイア ウォールを提供し、既知の脅威と未知の脅威からすべてのエンドポイント (デスクトップ、 ノート PC、サーバなど) を保護します。 はじめに 業務の混乱を避けるため、ユーザやビジネスに不可欠なアプリケーションに関わるものは慎 重に配備する必要があります。ここでは、製品を段階的に導入します。業務の細部に合わせ てポリシーを調整し、ユーザの変更を最小限にしながら保護レベルを徐々に強化していきま す。このような堅実なアプローチでは、1 か月から 3 か月で製品を導入します。これによ り、最小の管理作業で最大の保護効果を得ることができます。 IPS とファイアウォールの両方を購入している場合には、法規制やリスク要因からファイア ウォールの配備が最重要課題になっていない限り、IPS 機能から始めることをお勧めします。 IPS 機能は、既知の脅威やゼロデイの脅威を阻止する重要な保護対策を提供します。McAfee が事前にポリシーを定義しているので、適切な時間と費用で McAfee Host Intrusion Prevention を実装し、システムを脆弱性や攻撃から保護することができます。 IPS 保護の導入に成功したら、ファイアウォールの導入に進みます。ポリシー、対応、ルー ルは異なりますが、ここで説明するパイロット戦略はファイアウォールの導入にも当てはま ります。 注意: ファイアウォールのみを購入している場合には、ファイアウォールの配備をすぐに開 始することも、ここで説明する戦略に従って配備することもできます。ファイアウォール ポ リシーの定義と使用方法については、製品ガイドまたはヘルプを参照してください。重要な 点は段階的に行うことです。次の順番で処理を行うことをお勧めします。 • ノート PC と標準デスクトップに対する IPS • 重要なサーバに対する IPS • パワー ユーザのデスクトップに対する IPS • ノート PC に対するファイアウォール • サーバに対するファイアウォール • パワー ユーザのデスクトップに対するファイアウォール 管理者の大半はここで説明する処理を実行できます。ヘルプが必要な場合には、McAfee パー トナーまたはサービス担当者に連絡してください。 推奨する段階は次の 7 つです。 1 戦略の立案 2 環境の準備 3 インストールと設定 4 初期調整 McAfee Host Intrusion Prevention 8.0 インストール ガイド 11 短期間で実装するためのベスト プラクティス 5 適応モード (オプション) 6 拡張保護と調整 7 保守作業と IPS の展開 デスクトップとサーバには同じ手順で実装を行いますが、ここではより慎重に作業を進めま す。まず、簡単な環境から始めて、基幹業務で使用されている複雑な環境 (パワー ユーザの デスクトップとサーバ) に進んでいくことにします。 タイミングと見込み プロジェクトを頓挫させず、リスクを回避しながら作業を進めるには、作業の完了までに 1 か月から 3 か月は必要になります。この期間でハンズオンでの作業は数日に過ぎませんが、 各段階で調整に必要な使用状況データを収集するため時間がかかります。 実装期間に大きな影響を及ぼすのがシステムの範囲とユーザの種類です。ユーザの種類が多 くなるほど、すべてのシステムに McAfee Host Intrusion Prevention を実装するまでの時 間は長くなります。保護機能は、ユーザの生産性やアプリケーションの機能を低下させずに 導入しなければなりません。重要なシステムとユーザのプロファイルを調整し、テストする 必要があります。 多くの環境では、配備、ブロック モードへの移行、ファイアウォールの使用には IT 管理部 門の承認が必要です。この承認に時間がかかる場合があります。 注意: このプロセスの詳細については、『McAfee Host Intrusion Prevention 8.0 製品ガイ ド』またはヘルプを参照してください。 表 2: 潜在的な危険と改善策 最優先で回避すること 推奨されるベスト プラクティス ログから情報を収集せずに重大度中と重大度高のシグネ 最初は重大度高のシグネチャだけをブロックします。こ チャをブロックする。 のレベルでは、最も重大な脆弱性に対する攻撃を阻止で きますが、誤検知が発生する場合があります。重大度中 のシグネチャは機能しますが、サポートへの問い合わせ を少なくするために調整が必要になります。 すべてのシステムが同じポリシーを使用することを前提 デスクトップを分類してアプリケーションと権限を評価 にする。 します。最も単純なシステムから始めて、大半のグルー プに当てはまる標準の使用方法プロファイルを作成しま す。検討後、ユーザと使用方法プロファイルを段階的に 追加します。 ユーザの操作性に対するテストをほとんど実行しない。 重要なユーザ グループを選択し、代表的なユーザでパイ ロット プロジェクトを行います。選ばれたユーザから フィードバックを受け取り、アプリケーションが正常に 機能しているかどうか確認します。ポリシーによって生 産性が阻害されていなければ、導入の範囲を広げます。 ユーザには良い第一印象を与える必要があります。 Host IPS を単発的に使用する。 ウイルス対策と異なり、保護の精度と効率を維持するに は定期的な監視と保守作業が必要です。ログを確認する 時間を取り、配備が完了したら週に 1 回以上ルールを更 新します。 IPS とファイアウォールを同時に有効にする IPS から始め、必要であればファイアウォールを追加し ます。ポリシーの作成方法を学習し、適切な保護タイプ を熟知すれば、変更と結果の関係をより簡単に理解でき ます。 Host IPS またはファイアウォール機能を適応モードで使 作成されたルールを監視する時間がある場合に、適応モー 用し続ける。 ドは期間限定で使用してください。 システムが侵入と検出したものをすぐにブロックする。 トラフィックが不正かどうか時間をかけて確認します。 パケット キャプチャ、ネットワーク IPS などを使用し てください。 12 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 1. 戦略の立案 1. 戦略の立案 2. パイロット環境の準備 3. インストールと設定 4. 最初の調整作業 5. 適応モードでの実行 (オプション) 6. 調整の修正 7. 保守作業と展開 1. 戦略の立案 調整プロセスの最初のステップは、システム保護戦略について検討することです。現実的な 目標を設定し、それに従ってパイロット環境を構築し、配備計画を立てます。 パイロットでの優先順位の定義 組織のセキュリティ目標をよく理解し、それに合わせてパイロット プロセスを調整します。 すぐに対策を講じなければならない問題が見つかるかもしれません。大まかな監視期間を設 定して、クライアント コミュニティで実際に何が起きているのか調査する場合もあります。 どの組織も、保護の強化と生産性の維持のどちらを優先させるのか難しい判断をしています。 最初の段階で優先順位を明確にすると、このプロセスを簡単に行うことができます。 次の質問について考えてみましょう。 • 監査で問題になったセキュリティ領域または最近発生したインシデントは何か • 最も脆弱なシステムはどれか • モバイル環境のノート PC を優先するか • 重要なユーザ コミュニティまたはシステム グループでの脆弱性の除去が法令で義務付け られているか 多くの場合、管理された企業環境内に存在するノート PC が最も脆弱な存在となります。こ れらのシステムは IPS の最初の対象となります。重要なサーバの保護強化を必要としている 企業もあります。このようなビジネスに不可欠なシステムは、パイロット環境で慎重に導入 作業を行う必要があります。主な目標が定まったら、以降のステップでその優先順位を付け ていきます。 パイロット環境の定義 少数のシステムを選択してテストを実施するパイロット環境を構築します。サブネットが 3 つでノード数が 100 くらいの環境を構築し、保護レベルを段階的に強化していきます。段階 的に展開していくことで、発生した問題の対応も容易になります。 システムを主な種類に分類してパイロット環境に追加します。実装の複雑さに応じて、Host IPS は次の環境をサポートします。 • 標準的なデスクトップまたはノート PC。この環境では、一般ユーザに管理者権限がなく、 システムでアプリケーションのインストールや削除を実行できません。複数のユーザ プ ロファイルを作成し、それぞれに標準のアプリケーション環境を定義することもできま す。 • パワー ユーザ向けに特化したデスクトップまたはノート PC。この環境では、特別なユー ザに管理者権限が設定され、固有のアプリケーションのインストールが許可されていま す。一般に、管理者やソフトウェア開発者がパワー ユーザになります。管理者権限が適 McAfee Host Intrusion Prevention 8.0 インストール ガイド 13 短期間で実装するためのベスト プラクティス 1. 戦略の立案 切に付与されていない場合もあります。管理者権限で制御する必要のないシステムではこ れらの権限を使用せず、調査と調整が必要なシステムの範囲を絞り込む必要があります。 • 専用のデータベース、Web、電子メール、その他のアプリケーションが実行されているサー バ。プリント サーバやファイル サーバも含まれます。 ラボ環境か本稼働環境か 多くの企業では、新しい製品をインストールする前にラボ環境でテストを行っています。本 稼動システムのイメージを作成し、これらのイメージを制限付きの環境でテストしてから配 備しています。 この方法で McAfee Host Intrusion Prevention を使用すると、ルールの最初のベースライ ンを短時間で設定できますが、ユーザの多様性には対応できないなため、全体的には有効と は言えません。テスト実施者がユーザの動作を真似しますが、正規の活動の細かい点までは 把握できません。ユーザやマルウェアは常に新しい使い方を見つけています。このような新 しい動作を例外として不用意に許可すると、すぐに対応が必要なイベントが生成されたり、 検出が回避される可能性があります。いずれの場合も、時間を浪費する結果となり、後で問 題が発生することになります。 学習の大半は、本稼働環境で動作中のシステムで発生します。厳選されたシステムと日々の 作業を実際に行うユーザで実際のテストを行うのが最も望ましい方法です。この方法では、 実際のユーザがシステムとアプリケーションを操作するので、最も信頼性の高いベースライ ンを設定することができます。また、変更による影響をフィードバックですぐに確認できま す。 この 2 つのモデルを組み合わせるのも良い方法です。ラボ環境でテストを行うことで、McAfee Host Intrusion Prevention のプロセスとポリシーをよく理解することができます。いくつ かの使用方法プロファイルをテストしたら、これらのプロファイルを本稼働環境のパイロッ トに移行します。ラボ環境でテストを実施しなかった活動やアプリケーションが本稼働環境 のパイロットで見つかる場合があります。慎重な対応を必要とする組織では、このように 2 段階のテストが最適です。 ヒント: 管理者はパイロット システムに物理的にアクセスする必要があります。無人の事務 所やホーム ユーザは最初のパイロット グループから除外します。 適切なユーザの選択 システムの種類を理解したら、パイロットでの使用方法プロファイルとシステムを特定しま す。最終的に対象となるユーザ コミュニティから複数の種類のユーザを選択します。これに より、正常なビジネス要件と使用状況を反映したルールとポリシーを作成できます。たとえ ば、標準的なコールセンターやヘルプデスクは、マネージャ、フロントライン サポート、 バックライン サポートから構成されます。McAfee Host Intrusion Prevention が全範囲で 使用できるポリシーを作成し、使用できるように、少なくとも 1 つ以上の使用方法プロファ イルを追加します。 導入戦略オプション 1:簡単な環境から始める 初期段階の保護を短時間で実装し、高度な保護レベルまでの移行をスムーズに行うため、標 準的なデスクトップとノート PC に基本的な保護を実装し、パワー ユーザ向けのデスクトッ プとサーバではロギング機能を有効にすることをお勧めします。 まず、IPS 保護を選択して IPS オプション ポリシーを適用し、次に基本的な McAfee デフォ ルト IPS ルール ポリシーを適用します。このポリシーは、重大度高のシグネチャを生成す る活動をブロックします。調整の必要はありません。イベントはほとんど生成されません。 この設定では、次の処理が行われます。 • 重大度高のシグネチャを生成する活動はブロックされますが、他のすべてのシグネチャは 無視されます。 14 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 1. 戦略の立案 • McAfee アプリケーションは、IPS 自己保護ルールを除き、すべてのルールで信頼できる アプリケーションとして扱われます。これらのアプリケーションは、例外イベントを生成 することなく実行されます。 • 定義済みのアプリケーションやプロセスは保護されています。 コンピュータの製造元やモデルは異なりますが、これらはほぼ同じカテゴリに分類されます。 IPS 機能では重大度高の問題を高い確率で阻止できます。たとえば、McAfee では、出荷時の 基本的な保護レベルで Microsoft の月次パッチの問題の 90% 以上に対応できます。デフォ ルトの保護レベルでも十分な効果が得られます。 この「簡単な環境から始める」戦略を強く推奨します。サーバは最も保護すべき重要なシス テムですが、最も複雑な場合もあります。配備はより慎重に行う必要があります。IPS ルー ルは、最終的には正規のアプリケーションを許可し、サーバのパフォーマンスや最適化が維 持されるように調整されます。稼働中のミッション クリティカルなシステムでルールを試行 錯誤で調整することは危険が伴います。 同様に、パワー ユーザのシステムでは、様々なアプリケーションが実行され、スクリプトの 実行権限などの特別な権限が設定される傾向があります。IPS を有効にすると、大量のイベ ントが生成されます。許可とブロックを適切に行うために、これらのイベントを十分に調査 する必要があります。パワー ユーザとサーバの場合、正規の使用方法を理解するまでに時間 がかかります。 監視とロギング パイロットでの検証で問題がなければ、システムの種類別にシグネチャをロギングではなく 実際に施行できます。正規の活動を学習すれば、ルールを調整してポリシーを修正できます。 このプロセスについては、このガイドの後半で説明します。 標準デスクトップで基本的な保護を有効にしたら、これらのシステムで重大度中の問題の記 録を開始できます。この監視で、制御を厳しくしたときに IPS 機能が検出する他のイベント を発見できます。ロギング モードでは、量と種類を確認できるので、システムの動作を把握 することができます。この最初の段階では、予期しない問題や混乱が発生しないように、ロ ギングを有効にすることをお勧めします。事業の区切りになるまでイベントの記録を継続す ると、アプリケーションと活動の全体を把握できます。少なくとも 1 が月以上、可能であれ ば四半期は記録を継続してください。この操作を自動的に実行するには、拡張保護の準備ポ リシーを使用します。この設定では、重大度高のシグネチャがブロックされ、重大度中のシ グネチャが記録されます。残りのシグネチャは無視されます。 他のシステム、サーバ、パワー ユーザのデスクトップの場合には、重大度中と重大度高のシ グネチャを監視し、記録します。重大度中と重大度高の両方を記録するデフォルトの設定は ありません。既存のポリシーを複製してカスタマイズする必要があります。重大度中と重大 度高のイベントだけを監視すると、無駄な情報を省き、適切なレベルの関連情報を取得する ことができます。特定のアプリケーションに合わせてサーバ プラットフォームが調整されて いたり、開発者が独自のツールや複雑なコンパイラを使用している場合もあります。 ヒント: 監視とロギングを有効にしても、システムやアプリケーションの操作に影響を与え てはなりません。しかし、McAfee Host Intrusion Prevention の稼動後は、ロギングのみの モードで実行されていても、システムを監視する必要があります。この製品は、アプリケー ションやオペレーティング システムで低レベルの通信を行うため、一部のアプリケーション のパフォーマンスに影響を及ぼす場合があります。 展開計画 パイロットでの検証で問題がなければ、システムの種類別にシグネチャをロギングではなく 実際に施行できます。正規の活動を学習すれば、ルールを調整してポリシーを修正できます。 このプロセスについては、このガイドの後半で説明します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 15 短期間で実装するためのベスト プラクティス 2. パイロット環境の準備 導入戦略オプション 2:デフォルトのポリシーを使用する 一部の環境では、McAfee のデフォルト設定を使用して、すべてのシステムに基本的な保護プ ロファイルを配備しています。この方法は、調整などをあまり行わずにコアとなる IPS 保護 機能を使用したい場合に最適です。製品購入の主な目的が IPS でなければ、最小限の作業で 配備を行い、大きな攻撃から保護された状態にすることができます。 オプションの選択 オプション 1 は、IPS によって最高の保護対策を実装することができます。オプション 2 では、信頼性の高い保護対策を簡単に実装できます。置かれているリスク状況に合わせて適 切なオプションを選択してください。 2. パイロット環境の準備 優先順位、対象、保護戦略を定義したら、技術的な前提条件を満たす環境を整え、インストー ルを実行する前にシステム上の問題をすべて解決しておく必要があります。このような準備 を行うことで、この機能に関係のない問題に悩まされることなく、IPS の配備作業に専念す ることができます。 McAfee ePolicy Orchestrator と McAfee Agent のインストールまたは更新 McAfee Host Intrusion Prevention をインストールする前に、ePolicy Orchestrator サー バをインストールし、管理対象のホストに McAfee Agent をインストールする必要がありま す。 McAfee Host Intrusion Prevention を正しく利用するには、ePolicy Orchestrator でポリ シーを扱う方法について理解しておく必要があります。ePolicy Orchestrator でポリシーを 作成する方法が分からない場合には、ePolicy Orchestrator のマニュアルを参照してくださ い。 ePolicy Orchestrator の役割 McAfee Host Intrusion Prevention では、ePolicy Orchestrator を使用して、事業やユー ザ環境の変化に合わせて組織固有のポリシーとルールを定期的に調整し、配備します。ePolicy Orchestrator の優れたインフラを利用することで、エラーの発生を抑え、矛盾のないポリ シー適用を行うことができます。また、状態をビジュアルに確認できるので、管理作業の効 率も向上します。 16 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 2. パイロット環境の準備 プロセスの概要: 図 2: ePolicy Orchestrator を使用した Host Intrusion Prevention のインストールとメ ンテナンス • ePO サーバが各ホストの McAfee Agent に接続し、管理対象システムに IPS クライアン トをインストールします。 • ePO コンソールで IPS ポリシーを作成し、保守します。 • ePO サーバがホスト システムのエージェントにポリシーを送信します。 • エージェントが IPS クライアントにポリシーを送信します。 • IPS クライアントがポリシーを施行し、イベント情報を生成します。この情報をエージェ ントに送信します。 • エージェントがイベント情報を ePolicy Orchestrator に転送します。 • ePO サーバは、指定された間隔またはオンデマンドで McAfee リポジトリからコンテンツ と機能の更新を取得します。エージェントは、これらの更新をサーバから取得し、IPS ク ライアントを更新します。 • ポリシーが変更されると、エージェントが更新後のポリシーを取得し、IPS クライアント を更新します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 17 短期間で実装するためのベスト プラクティス 3. インストールと設定 ePO サーバによる使用方法プロファイルとクライアントのセットアップ Web サーバ、ノート PC、キオスクなど、使用タイプにごとに異なる ePO 使用方法プロファ イルを作成します。最終的には、これらのプロファイルを特定の IPS ポリシーに関連付ける ことになりますが、例外を管理する前にこれらのプロファイルを設定しておくと便利です。 クライアントを論理的に分類します。クライアントは、ePO システム ツリーの階層に一致す る基準で分類できます。たとえば、最初のレベルを地理的な場所で分類し、次のレベルをオ ペレーティング システム プラットフォームや IP アドレスで分類します。システムの種類 (サーバかデスクトップ)、主要なアプリケーションの用途 (Web、データベースまたはメール サーバ)、戦略的な配置場所 (DMZ またはイントラネット) など、Host Intrusion Prevention の設定条件に従ってクライアントを分類してください。 ヒント: ePO サーバでは、システムに論理的なタグを設定できます。タグは、システムに手 動または自動的に適用されるラベルです。タグは、パイロット グループへのシステム分類 や、レポート生成の基準として使用できます。 名前付けの規則も重要です。誰もが簡単に理解できる規則を設定する必要があります。シス テム ツリー上でクライアントは名前で区別されます。また、特定のレポートやクライアント 上の動作で生成されるイベント データでも名前で区別されます。 パイロット システムの正常性の確認 クライアントが認識されたら、配備の妨げになるシステム問題が存在していないかどうか確 認する必要があります。ePO サーバやシステム イベント ログなど、関連するログ ファイル を調べます。不適切な設定やシステム異常を示すエラーや生涯を確認し、McAfee Host Intrusion Prevention をインストールする前に問題を修正します。調査する主な要素は次の とおりです。 • パッチ レベル - すべてのドライバとアプリケーションが最新の状態かどうか。古いメ ディア プレーヤーやオーディオ プレーヤー、Internet Explorer、ネットワーク カード のドライバには、配備失敗の原因となる問題が見つかっています。最新のパッチと HotFix を適用する必要があります。 • 互換性のないソフトウェア - ホスト上で他の侵入検知またはファイアウォールが動作し ていないかどうか。これらのアプリケーションは無効にするか、削除する必要がありま す。 • 管理者権限でのアクセス - システムにアクセスするには管理者権限が必要です。ユーザ に管理者権限があるかどうかも重要です。ユーザがテスト中に新しいアプリケーションを インストールしてしまうと、テスト プロセスに支障をきたす可能性があります。ユーザ から管理者権限を削除できない場合には、パワー ユーザと異なるプロファイルの環境に システムを配置してください。 • 組織の考慮事項 - 異なる言語が使用されていたり、場所固有のアプリケーションや社内 アプリケーションが実行されているシステムでは特別な配慮が必要です。このようなシス テムは、配備の第 2 段階まで保留にしておくか、動作を記録して分析する時間ができる まで特殊なアプリケーションを IPS の保護対象から除外してください。 3. インストールと設定 ePO サーバで、Host IPS の拡張ファイルをインストールします。このファイルは、Host IPS ポリシー管理のインターフェースとなります。Host IPS クライアントを ePO リポジトリに インポートします。 18 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 3. インストールと設定 McAfee Service Portal (https://mysupport.mcafee.com/Eservice/Default.aspx) でパッチ の有無と KnowledgeBase の記事を確認します。最新のコンテンツを http://www.mcafee.com/us/downloads/ からダウンロードします。 初期の保護レベルと応答の設定 保護レベルを定義するか、使用方法プロファイルと関連付けます。最も簡単なものから最初 に行うという方針の場合には、標準デスクトップの使用方法プロファイルに基本的な保護レ ベルを適用します。詳細については、製品ガイドの「IPS プロファイルの設定」または「ファ イアウォール ポリシーの設定」を参照してください。 ベースライン ポリシーの調整 (オプション) 配備を開始する前に、保護対策のデフォルトをすぐに変更する管理者もいます。危険度高の アプリケーション (サービスとして起動するアプリケーションやオープン ネットワークに接 続するポートなど) と社内アプリケーションは自動的に保護することができます。多くの場 合、社内に配備されたアプリケーションの多くは配備時に IPS から除外されます。特に、こ のようなアプリケーションがネットワーク接続を待機する場合には除外される頻度が高くな ります。内部ソフトウェアの開発者は、商用アプリケーションの開発者ほどプログラムの安 全性を重視していないようです。たとえば、Internet Explorer にリンクするプログラムの 誤動作によって Internet Explorer 保護シグネチャが生成される可能性があります。内部で 開発されたアプリケーションは攻撃の標的になることはないため実際の危険度は低くなりま す。 信頼できるネットワークのリストに脆弱性スキャナの IP アドレスを追加します。既存の ePolicy Orchestrator とセキュリティ ポリシーによって、個々の使用方法プロファイルで 疑いのない動作に対する処理 (禁止/許可) のガイドラインが提供される場合があります。最 終的には、適応モードを使用して、除外したアプリケーションのルールを個別に定義し、保 護対策を実装できます。このステップは、ベースラインの保護レベルが確立され、IPS シグ ネチャとポリシーに問題がなくなった後で実行してもかまいません。 ユーザへの通知と変更計画 IPS の保護を有効にする前に、新しい保護対策の導入をユーザに通知し、システムの変更が 発生する可能性があることを知らせる必要があります。この事前の通知により、ユーザの生 産性に対する影響を抑えることができます。特に、事務所の外でノート PC を使っているユー ザに対しては重要な作業となります。ユーザによる IPS ブロックの変更を許可する場合、管 理者はユーザに次の情報を提供する必要があります。 • 時間制限付きのパスワード • 機能を無効にする手順 • Host IPS の削除権限 (必要な場合) この回避策は不用意に行わないでください。これまでの準備が無駄になる可能性があります。 この中の 2 つはパイロットの後半で解決します。詳細については、製品ガイドの「クライア ント機能の定義」を参照してください。 ヘルプデスク チームの参加 ヘルプデスクに Host IPS の利用開始を通知します。ヘルプデスクでは、対応する問題を少 なくするために、IPS 開始時に発生する可能性がある兆候を認識できるように準備する必要 があります。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 19 短期間で実装するためのベスト プラクティス 4. 最初の調整作業 パイロット ホストへの Host IPS のインストール 最初は少ない数のクライアントをインストールし、問題がなければ、より多くのシステムに 展開していきます。1 つのシステムから始めて、次に 10、20、50 と増やしていき、最後は 100 システムでテストします。プロジェクトの流れは次のとおりです。 1 インストール対象のホストの電源を入れ、ネットワークに繋いで ePolicy Orchestrator に接続します。 2 ePO 配備タスクを実行して、パイロット グループ内のいくつかのホストに Host IPS エージェントをプッシュします。 3 インストールが成功したかどうか確認します。問題があれば、トラブルシューティング と調整を行います。 4 より多くのシステムにインストールします。 インストールの進行中に、パイロット システムで新しいソフトウェアが正常に動作している かどうか確認します。また、ePO ログを監視し、サーバ イベントやネットワーク パフォー マンスの低下を確認します。いくつか問題が発生するかもしれません。このような問題に対 処するために、パイロットを使った段階的な導入を行っています。以下の操作を実行します。 1 Host IPS サービス (FireSvc.exe、mfefire.exe、mfevtp.exe) とフレームワーク サー ビス (McAfeeFramework.exe) が開始しているかどうか確認します。 2 これは非常に重要です。会計処理、文書編集、電子メール、インターネット アクセス、 マルチメディア、開発ツールなど、簡単なアプリケーションを実行して、正常に動作す るかどうか確認します。可能であれば、ユーザに通常の作業を実行してもらいます。こ れにより、正しい操作が検出されるかどうか確認できます。 3 クライアントに問題がある場合には、IPS クライアント ログとクライアント オペレー ティング システムのログでエラーの詳細を確認できます。製品ガイドの「Host Intrusion Prevention クライアントの使い方」を参照してください。 4 パイロット グループ全体にインストールされるまで、この手順を繰り返します。 ヒント: インストール時またはポリシー変更時には、エンド ユーザが通常の作業を問題なく 実行できるかどうか確認してください。導入プロジェクトを成功させる上で、このテストは 非常に重要な作業となります。 4. 最初の調整作業 パイロット グループが稼働し始めたら状態の監視を行います。2 日から 7 日間はイベント を収集し、サポート対応の準備を行います。 毎日の監視作業 毎日数分間、IPS イベント ログを確認し、アクティビティの量と種類を監視します。この作 業を行うと、正常な運用レベルのガイドラインとアクティビティのパターンが分かります。 たとえば、毎日監視を行うことで、サーバの保守作業やアプリケーションの更新で定期的に 行われるプロセスと活動レベルが把握できます。この情報があれば、異常な動作や処理が発 生したときにすぐに認識することができます。 毎日確認作業を行うことで、新たに発生したイベントに対してルール、ポリシー、例外リス トの調整が簡単になります。Host IPS では、すべてのシステム コールと API コールを監視 し、不正な活動引き起こすコールをブロックするので、きめ細かい制御を行うことができま す。ネットワーク IPS システムと同様に、アプリケーション、ビジネス要件、ポリシー要件 の変更に合わせてルールの調整を行う必要があります。 20 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 4. 最初の調整作業 Host IPS では、活動の監視と分析、対応を行うだけでなく、ポリシーの変更と更新も行いま す。また、ユーザ権限の設定、サーバ タスク、通知、コンテンツ更新などのシステム タス クも実行します。IPS の機能を正常に保ち、効果的に実行するには、これらの作業を運用レ ベルで行う必要があります。 ログの確認 イベント ログ データを使用すると、情報とアプリケーションに対するアクセスの自由度と 保護レベルのバランスを考慮し、ポリシーを修正することができます。通常、このバランス はユーザの種類によって異なります。この段階では、ePO サーバを介して手動でポリシーを 調整します。ポリシーを自動的に調整する方法については、「5. 適応モードでの実行 (オプ ション)」を参照してください。 イベント情報にアクセスするには、ePO サーバで、[レポート]、[Host IPS 8.0]、[イベント] の順に選択します。ドルダウン機能により、イベントを発生させたプロセス、イベントの発 生時間、イベントを発生させたクライアントなどの詳細を確認することができます。誤検知 や重大度高のシグネチャなど、赤いフラグが付いているイベントを確認します。 正しいプロセスとサービスが実行されているかどうか確認します。予期したアプリケーショ ンが実行されているかどうか、また、予期しないアプリケーションが実行されないかどうか 確認する必要があります。内部で開発されたアプリケーションなど、正規の活動でもイベン トが記録されている可能性があります。これらの誤検知については次のステップで解決しま す。 ヒント: ログ データは繰り返しが多いため、異なるルールが必要となるイベントを見過ごす ことが少なくありません。大量のログを確認するときには、このようなエラーが発生しない ように、適宜休憩を入れてください。 保護調整の開始 イベント ログ データを使用して次のことを行います。 • ブロックする必要があるイベントに対する保護レベルを強化する。 • 正規のビジネス活動に対する誤検知をなくす。 次の操作を行います。 1 シグネチャに対する対応を編集する。クライアントの対処方法は次の 3 つです。 • 無視 - 何も行いません。イベントは記録されず、プロセスは阻止されません。 • ログに記録 - イベントはログに記録されますが、プロセスは阻止されません。 • 阻止 - イベントはログに記録され、プロセスは阻止されます。 重大度高のシグネチャには「阻止」を適用します。 2 例外を作成する。検出されたイベントの中で、正規の動作であり許可するイベントまた は許可してログに記録するイベントを特定します。 例外ルールは、特定の条件でセキュリティ ポリシーを無効にします。対応応答を「無 視」に設定すると、そのイベントはログに記録されません。たとえば、ポリシーで特定 のスクリプト処理が不正な動作と見なされても、エンジニアリング グループの一部のシ ステムでスクリプトの実行を必要とする場合があります。エンジニアリング システムが 正常に機能させるには、このようなシステムを例外に追加し、他のシステムではスクリ プトの実行を禁止します。これらの例外をサーバ指定ポリシーに追加し、エンジニアリ ング グループのみに適用されるようにします。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 21 短期間で実装するためのベスト プラクティス 4. 最初の調整作業 例外を作成すると、誤検知アラートを減らし、コンソールに不要なデータや無関係のデー タが表示されなくなります。不要な情報を排除することにより、毎日の監視作業で重要 なイベントをより速く確認することができます。 ヒント: 同じまたは類似した条件下で同様のすべてのシステムで機能するように、汎用 的な例外を作成します。 3 信頼できるアプリケーションを作成する。 信頼できるアプリケーションは、すべての IPS ルールとファイアウォール ルールで除 外されているアプリケーション プロセスです。信頼できるアプリケーションには、例外 の調整に意味のない誤検知が多いプロセスだけを指定します。信頼できるアプリケーショ ンは、使用方法プロファイルによって変わります。たとえば、テクニカル サポートで許 可されているソフトウェア アプリケーションが財務部門では禁止されていることがあり ます。この場合、テクニカル サポートでのみ、このアプリケーションを信頼できるアプ リケーションとして定義します。詳細については、製品ガイドの「信頼できるアプリケー ション ポリシーの設定」を参照してください。 4 クエリを実行する。 クエリを実行すると、特定の項目に関するデータを取得し、データのサブセットでフィ ルタリングすることができます。たとえば、指定した期間内に特定のクライアントが報 告した重大度高のイベントなどでフィルタリングできます。頻繁に生成されているシグ ネチャを探し、これらのシグネチャが毎日の正規のビジネス活動で、許可できるものか どうか確認します。このようなシグネチャに対しては重大度を低くします。デスクトッ プで発生する例外の一部は正規のアプリケーション誤動作です。このような動作を許可 する必要はありません。ユーザのアプリケーションが正常に機能していることを確認し て、ブロックを継続します。 ヒント: イベントが発生してブロックされても、ユーザやアプリケーションに操作に影響が ないように見える場合があります。たとえば、VMware エンベロープや Adobe アプリケーショ ンはよくこのような振る舞いを見せます。ユーザに影響がなければ、これらのイベントは無 視できます。攻撃を受ける可能性のあるクロスサイト スクリプティングなどの脆弱性は解決 する必要があります。 調整プロセス ユーザからクレームが届いた場合には、そのユーザに直接連絡し、アプリケーションが正常 に動作しているかどうか確認します。パイロットで調整を行う場合には、次の手順に従いま す。 22 1 ポリシーを編集する - ePolicy Orchestrator を使用して、ポリシーと対応を編集また は作成します。 2 ポリシーを選択して適用する - ePolicy Orchestrator を使用して、対象のシステムに ポリシーを適用します。この作業は手動で行います。 3 変更を有効にする - ePO コンソールで Host IPS ポリシーを変更した場合、次のエー ジェント/サーバ間通信時にこの変更が管理対象システム上で有効になります。デフォル トでは、この間隔は 60 分です。minutes.ポリシーをすぐに施行するには、ePO コンソー ルからエージェント ウェークアップ コールを送信します。 4 変更をテストする - 変更が正しく適用されているかどうか再度確認します。正規のビ ジネス活動が阻止されていないかどうか確認します。また、IPS ネットワーク トラフィッ クが最小限になっているかどうか、対象に対する誤検知が少なくなっているかどうかも 確認します。 5 ポリシーの適用範囲を拡大する - 新しいポリシーが正常に機能していれば、関連する システムにもポリシーを適用します。 6 毎日の監視作業を継続する McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 5. 適応モードでの実行 (オプション) IPS ポリシーの詳細については、製品ガイドの「IPS ポリシーの設定」を参照してください。 シグネチャ対応の設定や、イベントから例外と信頼できるアプリケーションを設定する方法 が記載されています。ファイアウォール ポリシーの詳細については、製品ガイドの「ファイ アウォール ポリシーの設定」を参照してください。 ダッシュボードとレポートの設定 これで、よく正確にイベントを把握できるようになりました。次に、ePO サーバを使用して、 IPS とファイアウォールの情報を管理しやすくします。 • ポリシーの対応状況、イベントの傾向、クエリの結果、問題などを簡単に確認できるよう に、ePO ダッシュボードを設定します。毎日の監視作業、週単位のレビュー、管理レポー トなど、用途別にダッシュボードを保存します。 • 特定のイベントが発生したときに特定の個人にアラートを送信するように通知機能を設定 します。たとえば、特定のサーバで重大度高のイベントが発生した場合に通知を送信する ように設定します。 • レポートを定期的に実行し、電子メールで関係者に送信するようにスケジュールを設定し ます。 ダッシュボードとレポートの詳細については、製品ガイドの「保護の管理」を参照してくだ さい。 監視の継続 少なくともさらに 2 週間は毎日イベントを監視し、ヘルプデスクの問い合わせ状況、異常 性、誤検知の数を確認します。ここでは、導入プロセスを慎重に行っているので、サポート への問い合わせや問題はそれほど多く発生しないはずです。また、調整が必要な個所も少な いはずです。 ユーザやマルウェアが IPS 保護を回避するような回避策は行わないでください。モジュール の無効化や Host IPS クライアントの削除は許可しないでください。 5. 適応モードでの実行 (オプション) ソフトウェアを配備してから一通りの業務が終了したら、カスタム ポリシーを作成して対象 を限定したルールを実装します。このようなポリシーは手動でも定義できますが、適応モー ドを使用すると、ホスト上の活動に基づいて IPS ルール ポリシーを作成できます。このモー ドでは管理者の作業は必要ありません。アプリケーションを実行すると、アクションを許可 するために例外が作成されます。適応モードの場合、不正な活動 (重大度高のシグネチャ) でなければ IPS イベントは生成されず、活動もブロックされません。例外は IPS クライア ント ルールとして ePO サーバに記録されるので、状況を監視できます。 パイロットで適応モードのホストを設定して、使用方法プロファイルまたはアプリケーショ ンごとに設定を調整します。IPS 機能では、選択したクライアント ルールをサーバ指定ポリ シーに変換できます。調整が完了したら、適応モードをオフにして、システムへの侵入を厳 しく制限します。 ロギング モードで実行すると、活動の頻度を確認できます。同様に、適応モードでは、活動 の範囲と種類を確認できます。この 2 つのツールを併用すると、組織の正規のビジネス活動 に適切なベースラインを設定することができます。パイロット サイクルでは確認できなかっ た不規則な活動が見つかった場合には、例外を確認し、必要に応じてルールを手動で作成し ます。たとえば、社内のアプリケーションを 4 か月に 1 回使用するユーザがいた場合、こ の活動がログに記録されず、適応モードのサイクルでも検出されない可能性があります。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 23 短期間で実装するためのベスト プラクティス 5. 適応モードでの実行 (オプション) デフォルトでは、適応モードは重大度高のシグネチャをすべてブロックします。したがって、 重大度中と重大度高のシグネチャを管理する場合に適応モードを使用します。これにより、 無駄な情報を排除し、活動状況を的確に把握できるようになります。 適応モードは効率的に例外ルールを作成します。ただし、特定のシステムで一部の活動が許 可されない場合があります。また、新しい保護を考慮していない場合もあります。このため、 適応モードは期間限定で使用する必要があります。作成された例外を確認し (各例外にはイ ンスタンスが 1 つだけ存在します)、適応モードで作成されたルールの中で使用できないルー ルを無効にします。 適応モードを適用する場合には、[クライアント ルールの保持] ポリシー オプションを選択 します。このオプションを選択しないと、ポリシー施行間隔ごとに新しいルールが削除され、 再学習が必要になります。適応モードをオフにして施行段階に移行する場合には、[クライア ント ルールの保持] オプションをオフにして、ePOで配信されるポリシーで施行されないルー ルを削除します。 適応モードの適用 1 適応モードは期限付きで適用します (1 週間から 4 週間)。 2 クライアント ルールを評価します。 3 不適切なルールを無効にします。 4 [IPS クライアント ルール] タブで、正規のクライアント ルールを他のクライアントの ポリシーに直接移動します。 5 適応モードをオフにします。 6 設定されている場合には、[クライアント ルールの保持] オプションをオフにします。 ヒント: 知らないうちに新しいルールが作成されないように、適応モードを必ずオフにして ください。 ベスト プラクティス • 正常な活動をすべて検出するために、少なくとも 1 週間はクライアントを適応モードで 実行します。バックアップやスクリプト処理など、スケジュールで実行される活動の回数 を選択します。 • クライアント ルールを ePO コンソールで管理し、通常表示、フィルタリング表示または 集計表示でルールを確認します。 • 自動的に作成されたクライアント ルールを使用して、より詳しいポリシーを新たに定義 するか、既存のポリシーに新しいルールを追加し、更新後のポリシーを他のクライアント に適用します。 • [クライアント ルールの保持] ポリシー オプションを選択します。選択しないと、ポリ シー施行間隔ごとにルールが削除されます。 • 作成された例外を確認します。ここで危険な活動を阻止できない場合には、適応モードを オフにします。 • 新しいアプリケーションの例外を作成するために、一時的に適応モードをオンにし、例外 をポリシーに追加します。 適応モードで IPS ポリシーを使用する方法については、製品ガイドの「IPS ポリシーの設 定」を参照してください。適応モードでファイアウォール ポリシーを使用する方法について は、製品ガイドの「ファイアウォール ポリシーの設定」を参照してください。 注意: 適応モードでは、正規の活動と正規外の活動の両方が許可されます。これらの活動を 受け入れるルールは、管理者の承認なしで作成されます。作成されたルールごとに記録され る例外イベントは 1 つだけです。ルールの作成後、同じ活動は報告されません。通知は 1 24 McAfee Host Intrusion Prevention 8.0 インストール ガイド 短期間で実装するためのベスト プラクティス 6. 調整の修正 回しか送信されないので、承認されないルールを排除するには確認と対応を慎重に行う必要 があります。 6. 調整の修正 ここまでで、活動に対するベースラインの応答が決まりました。次に、保護レベルを向上さ せ、施行します。この作業を行うには、IPS 保護 ポリシーで適切なカテゴリを選択します。 これらの調整作業は毎日の監視作業の中で行うことも、パイロット段階で繰り返し行うこと もできます。既存の保護レベルでシステムを正常に動作させるため、各段階の後で少なくと も 2 週間が経過してから変更の必要性を検討します。 最大の保護レベル IPS 保護ポリシーの 拡張保護カテゴリを使用すると、重大度高と重大度中のシグネチャが阻 止され、残りのシグネチャは無視されます。ポリシーの拡張保護の準備カテゴリでは、中間 段階として重大度中のシグネチャのロギングを先に実行します。ロギングを有効にすると、 保護レベルを強化したときに影響を受ける活動について詳しい情報が提供されます。これに より、精度の高いポリシー管理を行い、予期しない問題の発生を防ぐことができます。 業務が問題なく継続している場合には、保護設定を基本から拡張に変更します。ネットワー ク内の他のシステムにもこの作業を行います。ポリシーの最大保護カテゴリは保護された専 用の動作環境に最適です。最大保護では重大度低のシグネチャもブロックされるので、十分 なテストを行ったうえで慎重に配備する必要があります。最大保護を有効にする前に、試験 的に最大保護の準備カテゴリを使用すると、変更による影響を確認できます。 非常に慎重に導入作業を進めている場合、これまでに説明してきた手順に従ってパイロット と同じ保護レベルで変更を行うことができます。変更を検証するテストサイクルの前に回避 策と適応モードを有効にした場合には、テストサイクル終了後にこれらを無効にしてくださ い。 調整の継続 例外と発生した問題を確認します。最初の調整段階で説明した手順に従って、これらの例外 と問題を管理します。 • ヘルプデスクへの問い合わせを監視し、アクセスのブロック、誤検知、新しいアプリケー ションによるクレームや問題を確認します。このような問題は最小限に抑える必要があり ますが、常に新しい要件が発生します。 • 生成された例外を定期的に確認します。 • ポリシーを適宜調整します。ePO サーバからホスト システムにポリシーの更新を送信し ます。これらのポリシーを関連するシステムに適用する必要があります。 7. 保守作業と展開 前のステップまでで基本的な導入プロセスを概観しました。システムに中レベルの保護を実 施したら、高度な保護レベルに移行します。引き続き、定期的に監視を行い、ポリシーの更 新とシステムの保守作業を行う必要があります。ここでは、保護するシステムの拡大と保護 レベルの強化について検討します。このレベルでは、より強固なポリシーと Host IPS の機 能を実行します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 25 短期間で実装するためのベスト プラクティス 7. 保守作業と展開 保守作業 McAfee は、新しいシグネチャの更新を頻繁にリリースしています。また、機能の更新やパッ チも適宜提供しています。推奨されるベスト プラクティスは次のとおりです。 • 更新スケジュールを設定し、ePO サーバが定期的に McAfee リポジトリから更新を取得 し、クライアントが更新を利用できるようにします。 • 最初の導入時に調整が必要なカスタム アプリケーションの数が多い場合には、パイロッ ト グループのシステムのテスト用として Host IPS コンテンツをリポジトリの「評価バー ジョン」ブランチに配置します。パイロット グループが新しいコンテンツを認証したら、 コンテンツを「最新バージョン」ブランチに移動し、広範囲に配備することができます。 • Microsoft 製品を使用している場合には、毎月第 1 火曜日のパッチ リリースに合わせて コンテンツ ダウンロードのスケジュールを設定します。 • ルールを調整する時間やリソースがない場合があるため、新しいアプリケーションをイン ストールした後に適応モードでシステムのプロファイルを作成し、その結果作成されたク ライアント ルールをサーバに送信します。これらのクライアント ルールを既存のポリ シーまたは新しいポリシーに追加し、そのポリシーを他のコンピュータに適用し、新しい ソフトウェアを処理することができます。 • 変更管理とソフトウェア リリースのプロセスに IPS のテストを追加します。Microsoft のパッチ、サービスパックまたは製品の配備を準備するときに、パイロット環境の IPS システムでテストを行います。これにより、大量に配備する前に十分な調整を行うことが できます。 展開 組織によっては、次のいずれかのオプションで配備環境を展開できます。ユーザへの影響を 最小限にし、異常をすぐに診断できるようにするため、変更の導入を段階的に行う必要があ ります。誤った設定を行ったり、有効な保護オプションを見落とすよりも、慎重に作業を進 めるべきです。 次の手順で展開します。 • テスト済みの使用方法プロファイルを使用して、追加したシステムに同じ保護を配備しま す。大半のコンピュータは少数の使用方法プロファイルですむため、数千台のコンピュー タでも Host IPS を簡単に管理できます。少数のポリシー ルールを保守するだけですむ ため、大規模な配備の管理でも容易に行うことができます。 • パイロット環境に標準化されたデスクトップしかなく、ロギングを有効にして適応モード で実行している場合には、このプロセスをパワー ユーザとサーバにも行います。 • 新しい使用方法プロファイルとユーザ コミュニティを追加します。 • ファイアウォール ルールを実装します。パイロット プロセスに従います。ルールと学習 モードの詳細については、製品ガイドを参照してください。 26 McAfee Host Intrusion Prevention 8.0 インストール ガイド ePolicy Orchestrator へのインストール このバージョンの Host Intrusion Prevention を使用するには、購入したセキュリティ対策 と実行中の ePolicy Orchestrator のバージョンに応じて、ePolicy Orchestrator に 1 つ 以上の拡張ファイルをインストールする必要があります。 必要な拡張ファイルは次のとおりです。 表 3: ファイアウォール機能のみ McAfee ePO のバー ファイル名 ジョン 必要な拡張ファイル 機能 4.0 HOSTIPS_8000.zip Host Intrusion Prevention 8.0.0 ファイアウォール機能 help_epo_103x.zip ePO ヘルプ Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ HOSTFW_8000_45.zip Host Intrusion Prevention 8.0.0 ファイアウォール機能 Host IPS の詳細拡張ファイル 自動応答機能* 4.5 ヘルプ コンテンツ:hip_800_help Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ 4.6 HOSTFW_8000_46.zip Host Intrusion Prevention 8.0.0 ファイアウォール機能 Host IPS の詳細拡張ファイル 自動応答機能* ヘルプ コンテンツ:hip_800_help Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ * Host Intrusion Prevention 8.0.0 拡張ファイルがインストールされている場合にのみ有 効 表 4: IPS とファイアウォール機能 McAfee ePO のバー ジョン ファイル名 必要な拡張ファイル 4.0 HOSTIPS_8000.zip Host Intrusion Prevention 8.0.0 ファイアウォール機能 HostIPSLicense.zip Host IPS ライセンスの延長 IPS 機能* help_epo_103x.zip ePO ヘルプ Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ HOSTIPS_8000_45.zip Host Intrusion Prevention 8.0.0 ファイアウォール機能 4.5 4.6 HOSTIPS_8000_46.zip 機能 Host IPS の詳細拡張ファイル 自動応答機能* Host IPS ライセンスの延長 IPS 機能* ヘルプ コンテンツ:hip_800_help Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ Host Intrusion Prevention 8.0.0 ファイアウォール機能 McAfee Host Intrusion Prevention 8.0 インストール ガイド 27 ePolicy Orchestrator へのインストール 拡張ファイルのインストール McAfee ePO のバー ジョン ファイル名 必要な拡張ファイル 機能 Host IPS の詳細拡張ファイル 自動応答機能* Host IPS ライセンスの延長 IPS 機能* ヘルプ コンテンツ:hip_800_help Host Intrusion Prevention 8.0 の情報を含む ePO ヘルプ * Host Intrusion Prevention 8.0.0 拡張ファイルがインストールされている場合にのみ有 効 ePolicy Orchestrator 4.5 と 4.6 の場合には、1 つの拡張ファイルに複数の .zip ファイ ルが含まれています。これらは別々の拡張ファイルとしてインストールされます。それぞれ の機能は前述のとおりです。Host Intrusion Prevention 8.0 がインストールされた ePolicy Orchestrator 4.0 をバージョン 4.5 または 4.6 にアップグレードするには、 Host IPS の 詳細拡張ファイル (HostIpsAdv.zip) と Help コンテンツ拡張ファイル (help_hip_800.zip) の 2 つの拡張ファイルをインストールする必要があります。この操作を行うには、該当する バージョンの ePolicy Orchestrator に Host Intrusion Prevention の拡張ファイルをイン ストールします。あるいは、拡張ファイルを開いて、インストールされていない拡張ファイ ルをインストールします。拡張ファイルの ZIP ファイルの内容は次のとおりです。 表 5: ZIP 形式の複数の拡張ファイルのコンテンツ HOSTFW_8000_45.zip HOSTFW_8000_46.zip HOSTIPS_8000_45.zip HOSTIPS_8000_46.zip • HOSTIPS_8000.zip • HOSTIPS_8000_Lite.zip • HOSTIPS_8000.zip • HOSTIPS_8000_Lite.zip • HostIpsAdv.zip • HostIpsAdv.zip • HostIPSLicense.zip • HostIPSLicense.zip • help_hip_800.zip • help_hip_800.zip • HostIpsAdv.zip.zip • HostIpsAdv.zip • help_hip_800.zip • help_hip_800.zip 目次 拡張ファイルのインストール 拡張ファイルの削除 拡張ファイルのインストール Host Intrusion Prevention をインストールするには、ePolicy Orchestrator に製品の拡張 ファイルを追加します。Host IPS 拡張ファイルを更新または置換する場合にも、このプロセ スを実行します。 操作を始める前に Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場合には、 Host Intrusion Prevention 7.0.5 拡張ファイルに更新してから Host Intrusion Prevention 8.0 拡張ファイルをインストールしてください。これにより、バージョン 8.0 ポリシーのイ ンストールと移行が正常に行われます。 タスク 28 1 ePolicy Orchestrator 4.0 の場合には、[設定]、[拡張ファイル] の順に移動します。 ePolicy Orchestrator 4.5 以降の場合には、[ソフトウェア]、[拡張ファイル] の順に 移動します。 2 [拡張ファイルをインストール] をクリックします。 McAfee Host Intrusion Prevention 8.0 インストール ガイド ePolicy Orchestrator へのインストール 拡張ファイルの削除 3 [拡張ファイルのインストール] ダイアログ ボックスで、必要な Host IPS 拡張ファイ ルの ZIP ファイルへのパスを選択して、[OK] をクリックします。 注意: このプロセスは、完了までに数分がかかる場合があります。 4 拡張ファイルがインストールされてサマリ画面が表示されたら、[OK] をクリックしま す。 5 手順 2 から手順 4 を繰り返して、必要な拡張ファイルをインストールします。 • ePolicy Orchestrator 4.0 では、Host Intrusion Prevention 8.0.0 と Host IPS ライセンスの延長 (インストールされている場合) が 管理対象製品 リストに表示さ れます。 • ePolicy Orchestrator 4.5 と 4.6 では、Host Intrusion Prevention が 管理対象 製品 リストに表示され、インストールされている製品拡張ファイルが右ペインに表 示されます。 拡張ファイルの削除 ePolicy Orchestrator サーバから Host Intrusion Prevention 8.0 を削除するには、拡張 ファイルを削除します。 注意: 拡張ファイルを削除すると、すべてのポリシーとポリシー割り当てが削除されます。 McAfee サポートの指示がない限り、この操作をトラブルシューティング目的で行わないでく ださい。 • ePolicy Orchestrator 4.0:[設定]、[拡張ファイル] の順に移動し、[管理対象製品] リ ストで [Host Intrusion Prevention 8.0.0] (または [Host IPS ライセンスの延長]) を 選択して [削除] をクリックします。 • ePolicy Orchestrator 4.5 以降:[ソフトウェア]、[拡張ファイル] の順に移動し、[管理 対象製品] リストで [Host Intrusion Prevention] を選択します。左側のページで、イ ンストールされている拡張ファイルの [削除] リンクをクリックします。 注意: 複数の Host Intrusion Prevention 8.0 拡張ファイルがインストールされている場合 には、次の順番で削除してください。 1 Host IPS ライセンスの延長 2 Host IPS の詳細拡張ファイル 3 Host Intrusion Prevention 8.0.0 Host IPS ライセンスの延長を削除して再度インストールすると、ホストとネットワークの両 方の IPS が無効になります。これらの IPS は、IPS オプション ポリシーを使用して手動で 有効にする必要があります。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 29 ポリシーの移行 バージョン 6.1 または 7.0 ポリシーを 8.0 形式に変換しないと、McAfee Host Intrusion Prevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで実行できませ ん。Host Intrusion Prevention 8.0 では、ePolicy Orchestrator の [自動処理] の下にあ る Host IPS ポリシー移行ツール 機能を使用すると、ポリシーを簡単に管理できます。移行 中にポリシーが変換され、移動されます。ポリシーを移行すると、ポリシー カタログで該当 する Host IPS 8.0 製品機能とカテゴリの下に表示され、ポリシー名の後に [6.1] または [7.0] という文字列が続きます。 次の場合を除き、すべてのポリシーが変換され、対応するバージョン 8.0 ポリシーに移行さ れます。 • アプリケーション ブロック オプション ポリシーは移行されません。バージョン 8.0で は、これらのポリシーは削除されました。 • アプリケーション ブロック ルール ポリシーは IPS ルール ポリシーに移行され、「ア プリケーション フックと呼び出し保護 <名前> [6.1 または 7.0]」という名前に変わり ます。バージョン 8.0 では、これらのポリシーは削除されています。これらのポリシー が IPS ルール ポリシーに移行されると、アプリケーション保護ルール リストは空にな ります。例外リストには、「アプリケーション フックで信頼できる」と設定されたデフォ ルトの信頼アプリケーションの例外が残ります。移行後のポリシーを使用するには、マル チインスタンス ポリシー設定で個人用のデフォルト IPS ルールを割り当てる必要があり ます。このポリシーは、コンテンツの更新により最新のアプリケーション保護リストを使 用します。 注意: アプリケーション ブロック ルール ポリシーでフックがブロックされるアプリ ケーションは移行されません。このアプリケーションは、移行後に IPS ルール ポリシー のアプリケーション保護ルールに手動で追加する必要があります。 • ファイアウォール隔離オプション ポリシーは移行されません。バージョン 8.0では、こ れらのポリシーは削除されました。 • ファイアウォール隔離ルール ポリシーは移行されません。バージョン 8.0では、これら のポリシーは削除されました。 • IPS クライアント ルールとファイアウォール クライアント ルールは移行されません。 注意: 継承が無効になっている場合を除き、ポリシー割り当ては移行時に自動的に実行され ます。ポリシーを移行した後は必ずポリシー割り当てを確認してください。 移行シナリオ バージョン 8.0 へのポリシーの移行は、6.1 と 7.0 のポリシーの場合と似ています。これ は、すべてのプラットフォームに該当します。 移行前の Host Intrusion Prevention のバージョン... バージョン 8.0 への移行方法... 6.1 30 • Host IPS 8.0 拡張ファイルを ePolicy Orchestrator にインストールします。 McAfee Host Intrusion Prevention 8.0 インストール ガイド ポリシーの移行 以前のバージョンからのポリシーの移行 移行前の Host Intrusion Prevention のバージョン... バージョン 8.0 への移行方法... 7.0.x • Host IPS 8.0 の移行機能を実行して 6.1 のポリシー を 8.0 のポリシーに移行します。移行後のポリシーと ポリシー割り当てを確認します。 • Host IPS 8.0 クライアントを配備し、Host IPS 6.1 クライアントと入れ替えます。 • 最新のコンテンツを Host IPS 8.0 クライアントに配 備します。 • Host IPS 8.0 拡張ファイルを ePolicy Orchestrator にインストールします。 • Host IPS 8.0 の移行機能を実行して 7.0 のポリシー を 8.0 のポリシーに移行します。移行後のポリシーと ポリシー割り当てを確認します。 • Host IPS 8.0 クライアントを配備し、Host IPS 7.0 クライアントと入れ替えます。 • 最新のコンテンツを Host IPS 8.0 クライアントに配 備します。 ヒント: Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場 合には、Host Intrusion Prevention 7.0.5 拡張ファイルに更新してから Host Intrusion Prevention 8.0 拡張ファイルをインストールしてください。これにより、バージョン 8.0 ポリシーのインストールと移行が正常に行われます。 目次 以前のバージョンからのポリシーの移行 XML ファイルによるポリシーの移行 以前のバージョンからのポリシーの移行 Host Intrusion Prevention 8.0 のインストール後に McAfee Host Intrusion Prevention 6.1 または 7.0 拡張ファイルが存在している場合、最も簡単な方法は既存のすべてのポリ シーを直接移行する方法です。 タスク 1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。 2 ePO ポリシー カタログ内の Host IPS 6.1 ポリシー または ePO ポリシー カタログ内 の Host IPS 7.0 ポリシー の [アクション] で 移行 をクリックします。 3 ポリシーの移行が完了したら、[閉じる] をクリックします。 バージョン6.1 または 7.0 の IPS、ファイアウォール、全般機能ポリシー がバージョ ン 8.0 に変換され、名前の後に [6.1] または [7.0] が付きます。アプリケーション ブロック ルールのポリシーは、アプリケーション フック保護 [6.1]または [7.0] の IPS ルール ポリシーに変換されます。 注意: ポリシー移行を再度実行すると、同じ名前で移行されたポリシーは上書きされま す。このプロセスは必須です。既存の 6.1 または 7.0 ポリシーはすべて移行されます。 移行するポリシーを選択する場合には、XML ファイルを使用して移行プロセスを実行し てください。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 31 ポリシーの移行 XML ファイルによるポリシーの移行 XML ファイルによるポリシーの移行 McAfee Host Intrusion Prevention 6.1 または 7.0 の拡張ファイルがインストールされて いない場合、1 つのポリシーを選択して XML ファイルをエクスポートすると、XML ファイル を使用して移行ができます。また、ポリシーを選択して移行する場合にも同じ操作が実行で きます。このプロセスでは、最初に 6.1 または 7.0 ポリシーを XML 形式にエクスポートし ます。次に、XML ファイルの内容を変更し、McAfee Host Intrusion Prevention 8.0 ポリ シーに変換します。この XML ファイルは Host IPS 8.0 ポリシー タログにインポートされ ます。 操作を始める前に このプロセスを実行するには、エクスポートされたポリシーを含む XML ファイルが存在して いなければなりません。[ポリシー カタログ] ページまたは 個々の Host IPS ポリシー ペー ジで [エクスポート] を選択し、ポリシーを XML ファイルにエクスポートします。 タスク 32 1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。 2 XML ファイルの Host IPS 7.0 ポリシーのアクションで、[移行] をクリックします。 3 [ポリシー XML ファイル] ダイアログ ボックスで、移行する Host IPS 6.1 の XML ま たは Host IPS 7.0 の XML file を検索して、[OK] をクリックします。XML ファイルが バージョン 8.0 形式のポリシーに変換されます。 4 変換後の XML ファイルへのリンクを右クリックして、ファイルを保存し、インポートに 使用します。 5 XML ファイルを ePO ポリシー カタログにインポートします。ポリシーのエクスポート とインポートの詳細については、ePolicy Orchestrator のマニュアルを参照してくださ い。 McAfee Host Intrusion Prevention 8.0 インストール ガイド Windows クライアントのインストール このセクションでは、ワークステーションまたはサーバ向けの McAfee Host Intrusion Prevention 8.0 Windows クライアントの要件、プロパティ、インストール方法について説明 します。 目次 Windows クライアントの詳細 リモートからの Windows クライアントのインストール ローカルでの Windows クライアントのインストール ポリシーと IPS コンテンツの適用 Windows クライアントの削除 Windows クライアントの詳細 Host Intrusion Prevention 8.0 の Windows クライアントは、ePolicy Orchestrator 4.0 以降、McAfee Agent 4.0 以降および Host Intrusion Prevention 8.0 拡張ファイルで機能 します。ePolicy Orchestator のインストール方法、システム、データベースおよびソフト ウェアの要件については、『ePolicy Orchestrator インストール ガイド』を参照してくだ さい。 ハードウェア最小要件 ワークステーションまたはサーバ向けの Windows クライアントのハードウェア要件とネット ワーク要件は次のとおりです。 • プロセッサ - Intel または AMD x86/x64 • ディスクの空き容量 (クライアント) - 15 MB。ただし、インストール時は 100 MB。 • メモリ - 256 MB 以上の RAM • ネットワーク環境 - Microsoft または Novell NetWare ネットワーク。NetWare ネット ワークの場合には TCP/IP が必要です。 • NIC - ネットワーク インターフェース カード。10mbps 以上。 サポートされるオペレーティング システム Windows XP SP2、SP3 (32 ビットのみ) • Professional Edition Windows Vista、Vista SP1 (32 ビット/64 ビット) • Business Edition • Enterprise Edition • Ultimate Edition McAfee Host Intrusion Prevention 8.0 インストール ガイド 33 Windows クライアントのインストール Windows クライアントの詳細 Windows 7 (32 ビット/64 ビット) • Professional Edition • Enterprise Edition • Ultimate Edition Windows Server 2003 SP2、2003 R2、2003 R2 SP2 (32 ビット/64 ビット) • すべてのエディション Windows Server 2008、2008 SP1、2008 SP2、2008 R2 (32 ビット/64 ビット) • すべてのエディション サポートされる仮想プライベート ネットワーク (VPN) クライアント • AT&T Global Network Services Client 7.6、8.1 • CheckPoint VPN Client R60、R71 • Cisco IPSec VPN Client 5.0 • Cisco SSL VPN Client 2.4 • Citrix SSL 4.5.6 • F5 Firepass 1200 6.1 (6031.2009.1010.312) • iPass 3.5 • Juniper Netscreen VPN Client 10.7 • Juniper Network Connect SSL VPN v6.4 • Microsoft Forefront UAG 2010 • Microsoft VPN • NCP Secure Entry Client for Win32/64 • NetMotion Mobility XE 7.2 • Nortel Contivity VPN Client 10.x • SafeNet HARemote v2.0 VPN Clients • SonicWALL Global VPN Client 4.0 • WatchGuard VPN サポートされる仮想化プラットフォーム • VMware ESX 3.5、4.0 • VMware Vsphere 4.0 • VMware View 4 3.1、4.0 • VMware Thin App 4.0、4.5 • VMware ACE 2.5、2.6 • VMware Workstation 6.5、7.0 • VMware Player 2.5、3.0 • VMware Server 1.0、2.0 • Citrix Xen Server 5.0、5.5 • Citrix Xen Desktop 3.0、4.0 • Citrix Xen App 5.0、6.0 • Microsoft Hyper-V Server 2008、2008 R2 34 McAfee Host Intrusion Prevention 8.0 インストール ガイド Windows クライアントのインストール リモートからの Windows クライアントのインストール • Microsoft Windows Server 2008 Hyper-V 2008、2008 R2 • Microsoft VDI (バンドル) • MED-V 1.0、1.0 SP1 • App-V 4.5、4.6 • SCVMM 2008、2008 R2 • SCCM 2007SP2、2007 R2 • SCOM 2007、2007 R2 • Microsoft App-V 4.5、4.6 • Windows 7 XP モード (32 ビット/64 ビット) サポートされるデータベース • MS SQL 2000 • MS SQL 2005 • MS SQL 2008、2008 R2 リモートからの Windows クライアントのインストール クライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の マスター リポジトリに追加してからクライアント コンピュータに配備します。詳細につい ては、『ePolicy Orchestrator 製品ガイド』を参照してください。 タスク 1 ePolicy Orchestrator 4.0 の場合には、[ソフトウェア]、[マスター リポジトリ] の順 に移動し、[パッケージのチェックイン] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[パッケージのチェックイン] の順に選択します。 2 [製品またはアップデート (.ZIP)] を選択して [参照] をクリックします。 3 Host IPS クライアント パッケージの .zip ファイルを選択し、[開く] をクリックしま す。 4 [次へ] をクリックして [保存] をクリックします。 5 [システム]、[システム ツリー] の順に移動し、クライアント コンピュータをインス トールするシステムのグループを選択します。 6 ePolicy Orchestrator 4.0 の場合には、[クライアント タスク] に移動し、[新規タス ク] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[新 規タスク] の順に選択します。 7 タスク ビルダ ウィザードで、タスクの名前を指定してタスク リストから [製品配備] を選択し、[次へ] をクリックします。 8 クライアントのプラットフォームを選択し、インストールする製品として [Host Intrusion Prevention 8.0] を選択して [次へ] をクリックします。 9 タスクの実行スケジュールを設定して [次へ] をクリックし、[保存] をクリックしま す。タスクをすぐに実行するように設定した場合、エージェント ウェークアップ コー ルを実行します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 35 Windows クライアントのインストール ローカルでの Windows クライアントのインストール ローカルでの Windows クライアントのインストール ePolicy Orchestrator を使用せずに、Windows ワークステーション、ラップトップ、または サーバにクライアント ソフトウェアを直接インストールすることができます。この操作は手 動で実行することも、他社製のソフトウェアを使用して複数のシステムに配備することもで きます。 操作を始める前に 以前のバージョンのクライアントが存在する場合には、インストールを実行する前に IPS 保 護を無効にします。 タスク 1 クライアントのインストール パッケージ ファイルをクライアント コンピュータにコ ピーします。 2 パッケージに含まれているインストール プログラム (McAfeeHip_ClientSetup.exe) を 実行します。 3 画面の指示に従い、インストールを完了してください。 ポリシーと IPS コンテンツの適用 クライアントをインストールしたら、システム情報と Host Intrusion Prevention 8.0 のプ ロパティが ePO コンソールにレポートされることを確認します。詳細については、『ePolicy Orchestrator 製品ガイド』を参照してください。 これで Windows クライアント用の IPS ポリシーを監視および配備する準備ができました。 詳細については、『Host Intrusion Prevention 8.0 製品ガイド』を参照してください。 クライアントで最新のコンテンツを使用するため、最新の Host Intrusion Prevention コン テンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックインし ます。コンテンツの更新は、クライアントで McAfee Agent の [今すぐ更新] コマンドを実 行すると取得できます。ただし、Host Intrusion Prevention の管理者によって、この更新 プロセスが設定されている必要があります。詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「Host IPS 保護の更新」を参照してください。 ePO コンソールから製品のパッチとアップグレードを配備する場合には、『ePolicy Orchestrator 製品ガイド』の手順に従ってください。 製品のパッチとアップグレードをインストールするには、IPS 保護が無効になっていること を確認してから、この章で説明した手順に従ってインストールしてください。 他社製のソフトウェアで Host Intrusion Prevention をクライアント コンピュータに配備 している環境向けに、自動アップグレードなどの保守作業に役立つユーティリティ (client_control.exe) を用意しています。このコマンドライン ユーティリティはクライア ント パッケージに含まれています。このユーティリティをインストール スクリプトとメン テナンス スクリプトに追加すると、IPS 保護を一時的に無効にし、ロギング機能を有効にす ることができます。このコマンドの使用方法の詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「付録 B. Clientcontrol.exe ユーティリティ」を参照してくだ さい。パラメータやセキュリティなどの説明が記載されています。 36 McAfee Host Intrusion Prevention 8.0 インストール ガイド Windows クライアントのインストール Windows クライアントの削除 Windows クライアントの削除 Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ の配備タスクを実行して削除することも、クライアント コンピュータ上で直接削除すること もできます。 ePO サーバからの操作する場合 • クライアントに配備タスクを実行し、Host Intrusion Prevention のアクションとして [削除] を選択します。 クライアント コンピュータ上で直接操作する場合 システム トレイ アイコンでクライアント コンソールが使用できない場合には、クライアン トが削除できるように、コンソールをアクセス可能にします。 タスク 1 ePO サーバで、ソフトウェアを削除するシステムを選択します。 2 Host Intrusion Prevention のクライアント UI ポリシー オプション「[アプリケーショ ンの追加と削除] のリストに製品を表示する」を施行します。 3 Host Intrusion Prevention の配備タスクを [無視] に設定します。 4 クライアント コンピュータで、パスワードを入力してクライアント インターフェース のロックを解除します。 5 [ホスト IPS を有効にする] の選択を解除します。 6 コントロール パネルの [アプリケーションの追加と削除] を使用して、Host Intrusion Prevention を削除します。 7 コンピュータを再起動します。 Windows でのトラブルシューティングの方法 クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり ます。必要なファイルがすべて正しいディレクトリにインストールされているかどうか、ク ライアントが実行されているかどうかを確認します。また、プロセス ログも確認します。 Windows インストール ファイルの確認 インストール後、フォルダとファイルがクライアントにインストールされているかどうか確 認します。インストール先のフォルダは C:\Progarm Files\McAfee\Host Intrusion Prevention です。このフォルダには次のファイルとフォルダがインストールされています。 ファイル名 説明 FireSvc.exe、VSCore/Release/mfefire.exe、 Host Intrusion Prevention サービス VSCore/Release/mfrvtp.exe McAfeeFire.exe クライアント コンソール インストールの履歴は C:\Windows\Temp\McAfeeLogs\McAfeeHip8_Install_<version>.log に記録さ れています。このファイルに「Product: McAfee Host Intrusion Prevention -- Installation operation completed successfully」というエントリがあれば、クライアントは正しくイン ストールされています。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 37 Windows クライアントのインストール Windows クライアントの停止 ログ ファイルは C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\ または C:\ProgramData\McAfee\Host Intrusion Prevention (Vista、Windows 7 の場 合) にあります。 Windows クライアントの実行状況の確認 クライアントが正しくインストールされていても、操作時に問題が発生する場合があります。 たとえば、ePO コンソールにクライアントが表示されない場合は、クライアントが実行され ているかどうかを確認してください。コマンド プロンプトを開き、tasklist \svc と入力しま す。次のサービスが実行されているかどうか確認します。 • FireSvc.exe • mfefire.exe • mfevtp.exe 実行されていない場合、次の操作を実行します。 1 C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe を実行して、ク ライアント コンソールを開きます。 2 コンソールのロックを解除します。[タスク]、[ユーザ インターフェースのロック解除] の順に選択し、デフォルトのパスワード (abcde12345) を入力します。 3 デバッグを設定します。[ヘルプ]、[トラブルシューティング] の順に選択して、ファイ アウォールと IPS に詳細デバッグ ログを有効にします。 4 ホスト IPS とネットワーク IPS の両方を無効にします。 5 コマンド プロンプトを開いて net start enterceptagent を実行し、クライアント サービ スを開始します。 サービスが開始しない場合には、FireSvc.log ファイルでエラー メッセージまたは警告メッ セージを確認し、サービスが開始しない原因を調べます。 Host IPS イベントのトリガー状況の確認 クライアントが正しくインストールされ、正常に実行されたら、IPS 保護が機能しているか どうか確認します。まず、クライアント コンソールで Host IPS を有効にします。次に、ク ライアントのインストール ディレクトリ (C:\Progarm Files\McAfee\Host Intrusion Prevention) にテキスト ファイルを作成します。この操作は拒否され、この場所に保存する 権限がないことを示すエラー メッセージが表示されます。HipShield.log の最初から終わり までチェックし、違反がないかどうか確認します。次のシグネチャがトリガーされているこ とを確認します。「1001 Windows Agent Shielding -- File Modification.」 Windows クライアントの停止 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 IPS 保護を無効にします (有効になっている場合)。次のいずれかの操作を実行します。 • ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア ントに適用します。 38 McAfee Host Intrusion Prevention 8.0 インストール ガイド Windows クライアントのインストール Windows クライアントの再起動 • クライアント コンソールを開き、[IPS ポリシー] タブで [ホスト IPS を有効にす る] の選択を解除します。 注意: クライアントを停止するために、ファイアウォールを無効にする必要はありませ ん。 2 コマンド プロンプトを開き、次のコマンドを実行します。net stop enterceptagent Windows クライアントの再起動 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 コマンド プロンプトを開き、次のコマンドを実行します。net start enterceptagent 2 IPS 保護が無効になっている場合には、以下のいずれかの手順で再度有効にします。 • ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア ントに適用します。 • クライアント コンソールを開き、[IPS ポリシー] タブで [ホスト IPS を有効にす る] を選択します。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 39 Solaris クライアントのインストール このセクションでは、McAfee Host Intrusion Prevention 8.0 の Solaris クライアントの 要件、プロパティ、インストール方法について説明します。このクライアントにより、Solaris サーバ上のファイルとアプリケーションを侵害する有害な攻撃を未然に防ぐことができます。 特に、サーバ オペレーティング システム、Apache Web サーバ および Sun Web サーバを バッファ オーバフロー攻撃から保護します。 目次 Solaris クライアントの詳細 ポリシーと IPS コンテンツの適用 Solaris クライアントの削除 Solaris でのトラブルシューティングの方法 Solaris クライアントの停止 Solaris クライアントの再起動 Solaris クライアントの詳細 Host Intrusion Prevention 8.0 の Solaris クライアントは、ePolicy Orchestrator 4.0 以降、McAfee Agent 4.0 および Host Intrusion Prevention 8.0 管理コンポーネントで機 能します。ePolicy Orchestator のインストール方法と使い方については、『ePolicy Orchestrator インストール ガイド』を参照してください。 ハードウェア最小要件 • SPARC sun4u/sun4v (32 ビット/64 ビット プラットフォーム) • 256 MB 以上の RAM • ハードディスクに 10 MB 以上の空き容量 サポートされるオペレーティング システム • SPARC Solaris 9、sun4u (32 ビット/64 ビット カーネル) • SPARC Solaris 10、sun4u/sun4v (64 ビット カーネル) サポートされる Web サーバ • Apache 1.3.6 以降の Web サーバ • Apache 2.0.42 以降の Web サーバ • Apache 2.2.3 以降の Web サーバ • Sun Java Web Server 6.1 • Sun Java Web Server 7.0 40 McAfee Host Intrusion Prevention 8.0 インストール ガイド Solaris クライアントのインストール Solaris クライアントの詳細 ポリシーの適用 Solaris クライアントでは、一部の Host Intrusion Prevention 8.0 ポリシーは使用できま せん。Host Intrusion Prevention は、危険な攻撃からホスト サーバを保護しますが、ファ イアウォールは提供しません。有効なポリシーは次のとおりです。 ポリシー 使用可能なオプション HIP 8.0 全般: クライアント UI なし。ただし、トラブルシューティング ツールで [管理者] と [時間 ベースのパスワード] が使用できます。 信頼できるネットワーク なし 信頼できるアプリケーション [ファイアウォールで信頼できると設定] を除くすべて HIP 8.0 IPS: IPS オプション • ホスト IPS を有効にする • 適応モードを有効にする • 既存のクライアント ルールを保持する IPS による保護 すべて IPS ルール • 例外ルール • [シグニチャ] (デフォルトとカスタム HIPS ルールのみ) 注意: NIPS シグニチャと [アプリケーション保護ルール] は使用でき ません。 IPS イベント すべて IPS クライアント ルール すべて HIP 8.0 ファイアウォール: ファイアウォール オプション なし ファイアウォール ルール なし ファイアウォール DNS ブロック なし 注意: クライアントは、グローバル ゾーンとローカル ゾーンの両方をサポートします。イ ンストールできるのはグローバル ゾーンだけです。 Solaris ゾーン サポート クライアントは、グローバル ゾーンとローカル ゾーンの両方を保護しますが、常にグロー バル ゾーンにインストールされます。特定のゾーンに保護を限定するには、IPS ルール ポ リシーのシグネチャを編集し、ゾーン セクションを追加してゾーンの名前を値として記述し ます。 たとえば、/zones/app がルートの app_zone というゾーンを指定すると、シグネチャ ルー ルは app_zone のファイルにのみ適用され、グローバル ゾーンには適用されません。このリ リースでは、Web サーバ保護を特定のゾーンに限定することはできません。この例のルール は次のようになります。 Rule { ... file { Include "/tmp/test.log" } zone { Include "app_zone" } ... } McAfee Host Intrusion Prevention 8.0 インストール ガイド 41 Solaris クライアントのインストール リモートからの Solaris クライアントのインストール シグネチャの編集方法については、製品ガイドまたはヘルプの「付録 A カスタム シグネチャ の作成」を参照してください。 リモートからの Solaris クライアントのインストール クライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の マスター リポジトリに追加してからクライアント コンピュータに配備します。詳細につい ては、『ePolicy Orchestrator 製品ガイド』を参照してください。 タスク 1 ePolicy Orchestrator 4.0 の場合には、[ソフトウェア]、[マスター リポジトリ] の順 に移動し、[パッケージのチェックイン] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[パッケージのチェックイン] の順に選択します。 2 [製品またはアップデート (.ZIP)] を選択して [参照] をクリックします。 3 Host IPS クライアント パッケージの .zip ファイルを選択し、[開く] をクリックしま す。 4 [次へ] をクリックして [保存] をクリックします。 5 [システム]、[システム ツリー] の順に移動し、クライアント コンピュータをインス トールするシステムのグループを選択します。 6 ePolicy Orchestrator 4.0 の場合には、[クライアント タスク] に移動し、[新規タス ク] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[新 規タスク] の順に選択します。 7 タスク ビルダ ウィザードで、タスクの名前を指定してタスク リストから [製品配備] を選択し、[次へ] をクリックします。 8 クライアントのプラットフォームを選択し、インストールする製品として [Host Intrusion Prevention 8.0] を選択して [次へ] をクリックします。 9 タスクの実行スケジュールを設定して [次へ] をクリックし、[保存] をクリックしま す。タスクをすぐに実行するように設定した場合、エージェント ウェークアップ コー ルを実行します。 ローカルでの Solaris クライアントのインストール ePolicy Orchestrator を使用せずに、Solaris サーバにクライアント ソフトウェアを直接 インストールすることができます。クライアントのインストール ファイルをクライアント コンピュータにコピーして、必要なコマンドを実行します。以前のバージョンのクライアン トが存在する場合には、インストールを実行する前に IPS 保護を無効にします。 注意: クライアントはローカル ゾーンをサポートしますが、インストールできるのはグロー バル ゾーンだけです。 タスク 42 1 クライアント インストール パッケージをダウンロードして、MFEhip.pkg ファイルと install_hip_solaris ファイルを抽出します。 2 root でログインし、次のコマンドを実行します。./install_hip_solaris MFEhip.pkg McAfee Host Intrusion Prevention 8.0 インストール ガイド Solaris クライアントのインストール ポリシーと IPS コンテンツの適用 ポリシーと IPS コンテンツの適用 クライアントをインストールしたら、システム情報と Host Intrusion Prevention 8.0 のプ ロパティが ePO サーバに報告されることを確認します。詳細については、『ePolicy Orchestrator 製品ガイド』を参照してください。 Solaris クライアント用の IPS ポリシーを監視および配布する準備ができました。詳細につ いては、『McAfee Host Intrusion Prevention 8.0 製品ガイド』を参照してください。 クライアントで最新のコンテンツを使用するため、最新の Host Intrusion Prevention コン テンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックインし ます。詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「Host IPS 保護の更新」を参照してください。 Solaris クライアントの削除 Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ の配備タスクを実行して削除することも、クライアント コンピュータ上で直接削除すること もできます。 ePO サーバからの操作する場合 • クライアントに配備タスクを実行し、Host Intrusion Prevention のアクションとして [削除] を選択します。 クライアント コンピュータ上で直接操作する場合 クライアント コンピュータから手動で削除する前に、ePO サーバでクライアントの IPS ポ リシーを無効にする必要があります。 • クライアント コンピュータに root としてログオンし、次のコマンドを実行しま す。/opt/McAfee/hip/install_hip_solaris -uninstall Solaris でのトラブルシューティングの方法 クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり ます。必要なファイルがすべて正しいディレクトリにインストールされているかどうか、ク ライアントが実行されているかどうかを確認します。また、プロセス ログも確認します。 Solaris インストール ファイルの確認 インストール後、すべてのファイルがクライアント上の適切なディレクトリにインストール されていることを確認してください。/opt/McAfee/hip ディレクトリに、次のファイルとディ レクトリが存在している必要があります。 ファイル名/ディレクトリ名 説明 HipClient; HipClient-bin Solaris クライアント HipClientPolicy.xml ポリシー ルール hipts; hipts-bin トラブルシューティング ツール *.so Host Intrusion Prevention と ePO エージェントの共有オブジェク ト モジュール McAfee Host Intrusion Prevention 8.0 インストール ガイド 43 Solaris クライアントのインストール Solaris クライアントの停止 ファイル名/ディレクトリ名 説明 log directory ログ ファイル (HIPShield.log と HIPClient.log) が存在します。 インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion Prevention クライアントのインストール プロセスまたは削除プロセスについて疑問点があ る場合には、このファイルを参照してください。 Solaris クライアントの実行状況の確認 クライアントが正しくインストールされていても、操作時に問題が発生する場合があります。 たとえば、ePO コンソールにクライアントが表示されない場合は、次のいずれかのコマンド を使用して、クライアントが実行されているかどうかを確認してください。 • /etc/rc2.d/S99hip status • ps –ef | grep Hip Solaris クライアントの停止 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 IPS による保護を無効にします。次のいずれかの操作を実行します。 • ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア ントに適用します。 2 • root でログインし、次のコマンドを実行します。hipts engines MISC:off 次のコマンドを実行します。/etc/rc2.d/S99hip stop Solaris クライアントの再起動 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 次のコマンドを実行します。/etc/rc2.d/S99hip restart 2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、次のい ずれかを実行します。 • ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア ントに適用します。 • root でログインし、次のコマンドを実行します。hipts engines MISC:on 44 McAfee Host Intrusion Prevention 8.0 インストール ガイド Linux クライアントのインストール このセクションでは、McAfee Host Intrusion Prevention 8.0 の Linux クライアントの要 件、プロパティ、インストール方法について説明します。このクライアントにより、Linux サーバ上のファイルとアプリケーションを侵害する有害な攻撃を未然に防ぐことができます。 目次 Linux クライアントの詳細 ポリシーと IPS コンテンツの適用 Linux クライアントの削除 Linux でのトラブルシューティングの方法 Linux クライアントの停止 Linux クライアントの再起動 Linux クライアントの詳細 Host Intrusion Prevention 8.0 の Linux クライアントは、ePolicy Orchestrator 4.0 以 降、McAfee Agent 4.0 および Host Intrusion Prevention 8.0 管理コンポーネントで機能 します。ePolicy Orchestator のインストール方法と使い方については、『ePolicy Orchestrator インストール ガイド』を参照してください。 ハードウェア最小要件 • Intel または AMD x86/x64 • 512 MB 以上の RAM • ハードディスクに 20 MB 以上の空き容量 サポートされるオペレーティング システム • Red Hat Linux Enterprise 4 (32 ビット) • 2.6.9-5.EL • 2.6.9-5.Elhugemem • 2.6.9-5.ELsmp • Red Hat Linux Enterprise 4 (64 ビット) • 2.6.9-5.EL • 2.6.9-5.ELsmp • Red Hat Linux Enterprise 5 (32 ビット) • 2.6.18-8.el5 • 2.6.18-8.el5PAE McAfee Host Intrusion Prevention 8.0 インストール ガイド 45 Linux クライアントのインストール Linux クライアントの詳細 • Red Hat Linux Enterprise 5 (64 ビット) • 2.6.18-8.el5 • SUSE Linux Enterprise 10 (32 ビット) • 2.6.16.21-0.8-bigsmp • 2.6.16.21-0.8-default • 2.6.16.21-0.8-smp • SUSE Linux Enterprise 10 (64 ビット) • 2.6.16.21-0.8-default • 2.6.16.21-0.8-smp • SUSE Linux Enterprise 11 (32 ビット) • 2.6.27.19-5-default • 2.6.27.19-5-pae • SUSE Linux Enterprise 11 (64 ビット) • 2.6.27.19-5-default サポートされる Web サーバ • Apache 1.3.6 以降の Web サーバ • Apache 2.0.42 以降の Web サーバ • Apache 2.2.3 以降の Web サーバ ファイル システムと HTTP 保護 Linux クライアントは、オペレーティング システムのファイルとプロセスを保護します。 ネットワーク保護機能、バッファ オーバーフロー対策、HTTP トラフィックの監視機能は搭 載されていません。 Linux クライアントでのポリシーの実施 Linux クライアントでは、一部の Host Intrusion Prevention 8.0 ポリシーは使用できませ ん。Host Intrusion Prevention は、危険な攻撃からホスト サーバを保護しますが、ファイ アウォールは提供しません。有効なポリシーは次のとおりです。 ポリシー 使用可能なオプション HIP 8.0 全般: クライアント UI なし。ただし、トラブルシューティング ツールで [管理者] と [時間 ベースのパスワード] が使用できます。 信頼できるネットワーク なし 信頼できるアプリケーション [ファイアウォールで信頼できると設定] を除くすべて HIP 8.0 IPS: IPS オプション 46 • HIPS を有効にする • 適応モードを有効にする • 既存のクライアント ルールを保持する IPS による保護 すべて IPS ルール • 例外ルール McAfee Host Intrusion Prevention 8.0 インストール ガイド Linux クライアントのインストール リモートからの Linux クライアントのインストール ポリシー 使用可能なオプション • [シグニチャ] (デフォルトとカスタム HIPS ルールのみ) 注意: NIPS シグニチャと [アプリケーション保護ルール] は使用でき ません。 IPS イベント すべて IPS クライアント ルール すべて HIP 8.0 ファイアウォール: ファイアウォール オプション なし ファイアウォール ルール なし ファイアウォール DNS ブロック なし リモートからの Linux クライアントのインストール クライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の マスター リポジトリに追加してからクライアント コンピュータに配備します。詳細につい ては、『ePolicy Orchestrator 製品ガイド』を参照してください。 タスク 1 ePolicy Orchestrator 4.0 の場合には、[ソフトウェア]、[マスター リポジトリ] の順 に移動し、[パッケージのチェックイン] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[パッケージのチェックイン] の順に選択します。 2 [製品またはアップデート (.ZIP)] を選択して [参照] をクリックします。 3 Host IPS クライアント パッケージの .zip ファイルを選択し、[開く] をクリックしま す。 4 [次へ] をクリックして [保存] をクリックします。 5 [システム]、[システム ツリー] の順に移動し、クライアント コンピュータをインス トールするシステムのグループを選択します。 6 ePolicy Orchestrator 4.0 の場合には、[クライアント タスク] に移動し、[新規タス ク] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[新 規タスク] の順に選択します。 7 タスク ビルダ ウィザードで、タスクの名前を指定してタスク リストから [製品配備] を選択し、[次へ] をクリックします。 8 クライアントのプラットフォームを選択し、インストールする製品として [Host Intrusion Prevention 8.0.0] を選択して [次へ] をクリックします。 9 タスクの実行スケジュールを設定して [次へ] をクリックし、[保存] をクリックしま す。タスクをすぐに実行するように設定した場合、エージェント ウェークアップ コー ルを実行します。 注意: クライアントをバージョン 7.1.0 からアップグレードする場合には、Linux シス テムの再起動が必要になります。 McAfee Host Intrusion Prevention 8.0 インストール ガイド 47 Linux クライアントのインストール ローカルでの Linux クライアントのインストール ローカルでの Linux クライアントのインストール ePolicy Orchestrator を使用せずに、Solaris サーバにクライアント ソフトウェアを直接 インストールすることができます。クライアントのインストール ファイルをクライアント コンピュータにコピーして、必要なコマンドを実行します。以前のバージョンのクライアン トが存在する場合には、インストールを実行する前に IPS 保護を無効にします。 タスク 1 クライアントのインストール パッケージから次の .rpm ファイルを Linux システムに コピーします。 • Red Hat Linux Enterprise 4 (32 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH4.i386.rpm 2 MFEhiplsm-8.0.0.-<ビルド番号>.RH4.i386.rpm • Red Hat Linux Enterprise 4 (64 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH4.x86_64.rpm 2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.RH4.x86_64.rpm 3 MFEhiplsm-8.0.0.-<ビルド番号>.RH4.i386.rpm • Red Hat Linux Enterprise 5 (32 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH5.i386.rpm 2 MFEhiplsm-8.0.0.-<ビルド番号>.RH5.i386.rpm • Red Hat Linux Enterprise 5 (64 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH5.x86_64.rpm 2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.RH5.x86_64.rpm 3 MFEhiplsm-8.0.0.-<ビルド番号>.RH5.i386.rpm • SUSE Linux Enterprise 10 (32 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE10.i386.rpm 2 MFEhiplsm-8.0.0.-<ビルド番号>.SUSE10.i386.rpm • SUSE Linux Enterprise 10 (64 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE10.x86_64.rpm 2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.SUSE10.x86_64.rpm 3 MFEhiplsm-8.0.0.-<ビルド番号>.SUSE10.i386.rpm • SUSE Linux Enterprise 11 (32 ビット) 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE11.i386.rpm 2 MFEhiplsm-8.0.0.-<ビルド番号>.SUSE11.i386.rpm • SUSE Linux Enterprise 11 (64 ビット) 2 1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE11.x86_64.rpm 2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.SUSE11.x86_64.rpm 3 MFEhiplsm-8.0.0.-<ビルド番号>.SUSE11.i386.rpm 次のコマンドを実行します。rpm -i <name of rpm file> (上の順番で各 rpm に実行) 注意: クライアントをバージョン 7.1.0 からアップグレードする場合には、Linux シス テムの再起動が必要になります。 48 McAfee Host Intrusion Prevention 8.0 インストール ガイド Linux クライアントのインストール ポリシーと IPS コンテンツの適用 ポリシーと IPS コンテンツの適用 クライアントをインストールしたら、システム情報と Host Intrusion Prevention 8.0 のプ ロパティが ePO サーバに報告されることを確認します。詳細については、『ePolicy Orchestrator 製品ガイド』を参照してください。 これで Linux クライアント用の IPS ポリシーを監視および配備する準備ができました。詳 細については、『Host Intrusion Prevention 8.0 製品ガイド』を参照してください。 クライアントで最新のコンテンツを使用するため、最新の Host Intrusion Prevention コン テンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックインし ます。詳細については、『ePolicy Orchestrator 製品ガイド』を参照してください。 クライアントで最新の IPS コンテンツを使用するため、最新の Host Intrusion Prevention コンテンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックイ ンします。詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「Host IPS 保護の更新」を参照してください。 Linux クライアントの削除 Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ の配備タスクを実行して削除することも、クライアント コンピュータ上で直接削除すること もできます。 ePO サーバからの操作する場合 • クライアントに配備タスクを実行し、Host Intrusion Prevention のアクションとして [削除] を選択します。 クライアント コンピュータ上で直接操作する場合 クライアント コンピュータから手動で削除する前に、ePO サーバでクライアントの IPS ポ リシーを無効にする必要があります。 • クライアント コンピュータに root としてログオンし、次のコマンドを実行します。rpm -e MFEhiplsm; MFEhiplsm-kernel; MFEhiplsm-apache Linux でのトラブルシューティングの方法 クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり ます。必要なファイルがすべて正しいディレクトリにインストールされているかどうか、ク ライアントが実行されているかどうかを確認します。また、プロセス ログも確認します。 Linux インストール ファイルの確認 インストール後、すべてのファイルがクライアント上の適切なディレクトリにインストール されていることを確認してください。/opt/McAfee/hip ディレクトリに、次のファイルとディ レクトリが存在している必要があります。 ファイル名/ディレクトリ名 説明 HipClient; HipClient-bin Linux クライアント HipClientPolicy.xml ポリシー ルール McAfee Host Intrusion Prevention 8.0 インストール ガイド 49 Linux クライアントのインストール Linux クライアントの停止 ファイル名/ディレクトリ名 説明 hipts; hipts-bin トラブルシューティング ツール *.so Host Intrusion Prevention と ePO エージェントの共有オブジェク ト モジュール log directory ログ ファイル (HIPShield.log と HIPClient.log) が存在します。 インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion Prevention クライアントのインストール プロセスまたは削除プロセスについて疑問点があ る場合には、このファイルを参照してください。 Linux クライアントの実行状況の確認 クライアントが正しくインストールされていても、操作時に問題が発生する場合があります。 たとえば、ePO コンソールにクライアントが表示されない場合には、次のコマンドを実行し て、クライアントが実行されているかどうかを確認してください。ps –ef | grep Hip Linux クライアントの停止 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 実行中のクライアントを停止するには、まず IPS 保護を無効にします。次のいずれかの 操作を実行します。 • ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア ントに適用します。 2 • root でログインし、次のコマンドを実行します。hipts engines MISC:off 次のコマンドを実行します。hipts agent off Linux クライアントの再起動 トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が あります。 タスク 1 クライアントを再起動するには、次のコマンドを実行します。hipts agent on 2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、次のい ずれかを実行します。 • ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア ントに適用します。 • root でログインし、次のコマンドを実行します。hipts engines MISC:on 50 McAfee Host Intrusion Prevention 8.0 インストール ガイド
© Copyright 2024 Paperzz