Host Intrusion Prevention 8.0 の FAQ
技術的な記事 ID:
KB73399
最終更新: 2021/01/26
最終更新: 2021/01/26
環境
McAfee Host Intrusion Prevention (Host IPS) 8.0
概要
この記事は、よくある質問と回答をまとめたものです。主にこの製品を初めて使用するユーザー向けですが、すべてのユーザーの役に立ちます。
注: この技術情報では Host IPS に関する全般的な質問を取り扱っています。
注: この技術情報では Host IPS に関する全般的な質問を取り扱っています。
全般 サポートされているオペレーティング システムおよびさまざまな話題を含む情報について。 よくある質問 お客様によりレポートされた重要な問題またはご質問。区分/下位区分別に定義。 月間上位のサービス リクエストのご質問または問題 お客様によりレポートされた月間上位のサービス リクエストのご質問または問題。区分/下位区分別に定義。 互換性 他の製品およびソフトウェア間の相互関係。 インストール/アップグレード インストール、削除、またはアップグレードに関する情報。 設定 ベストプラクティス、最適化、および設定を含みます。 機能 バッファ オーバーフロー、Host IPS 保護、ネットワーク IPS、およびファイアウォールなどの製品の特長および機能。
Host IPS 8.0 でサポートされる環境は、どのような環境ですか?
サポートされる環境の詳細は、KB70778 を参照してください。
Host IPS の内容はどれくらいの頻度で更新されますか。
Host IPS は、毎月第 2 火曜日の 8PM GMT までに共通リポジトリに更新されます。
毎月第 2 火曜日は Microsoft Windows のセキュリティの更新がリリースされる日でもあります(いわゆる Microsoft Patch Tuesday)。
Host IPS 8.0 差分パッチ (MSP) パッケージが、このパッチを含む Host IPS フル インストールよりも大きいのはなぜですか?
MSP パッケージは、正当な理由により次第に大きくなります。Intel Security が新しいパッチをリリースするたびに、MSP には、すべての過去のパッチと製品の RTW バージョンをアップグレードするのに必要な情報が含まれています。この要件に対応して、MSP の最新のファイルのコピーだけではなく、すべての以前のバージョンに対する MSP には変換 (MST) が埋め込まれています。
MST 変換は、基本的には MSI の差分で、以前の既知の MSI を使用して、パッチのベースとなる最新の MSI に更新します。MSI テーブルには、埋め込みのカスタム アクション コードやサポート ユーティリティの一部 (例: clientcontrol.exe) のようなバイナリ データが含まれており、これらの MSI の差分は極めて大きいため、後続のパッチが次第に大きくなります。
目次に戻る
よくある質問
クライアント IPS/FAQ - IPS イベント
IPS シグネチャ イベントは、Host IPS の呼び出しの上位の生成元の 1 つです。通常、これらの問合わせは、IPS シグネチャ イベント トリガの結果です。一般的に、Host IPS は階層化された保護戦略の一部となるエンドポイント システムに IPS およびファイアウォール保護を提供します。この階層化された保護戦略には、Host IPS の他にもネットワーク ゲートウェイ ファイアウォール/侵入システムやフィルタリング、エンドポイントのウイルス対策、エンドポイントのマルウェア対策アプリケーションなどがあります。
Host IPS シグネチャ コンテンツは、既知のシステムの脆弱性や未知の(ゼロデイ)脆弱性に対して保護するセキュリティを提供します。ゼロデイは、パッチが適用されていないシステムとその後確認された脆弱性用に公開されたセキュリティの更新の適用との間のギャップとして定義されています。Host IPS コンテンツには、ゼロデイのギャップ期間中にシステムを保護するために、汎用バッファ オーバーフローやその他の汎用シグネチャ メカニズムが含まれています。ただし、Intel Security では、ご利用の環境内ですべてのオペレーティング システムおよびアプリケーション固有の更新をできるだけ早く適用して、頻繁な、または反復される IPS シグネチャの検出を防ぐことをお勧めします。
Intel Security では、オペレーティング システムおよびアプリケーション固有の更新、およびパッチ システムやアプリケーションを毎月または定期的に確認する一般的な方法に従うことをお勧めします。 また、Intel Security では、公開される特定のベンダーのセキュリティの更新に関する Host IPS シグネチャの更新を毎月見直すことをお勧めします。Host IPS シグネチャのベンダー利用可能なセキュリティの更新へのマッピングは、更新されたシステムで安全に無効にできます。 Intel Security では、毎月、有効なシグネチャ コンテンツとシステム パッチを利用可能なセキュリティの更新と共に確認して、既に更新済みのシステムで過剰な誤検出の発生を減らすことを推奨しています。
IPS シグネチャ イベントを評価する際は、以下の一般的な方法を使用してください。
- トリガされているシグネチャ番号を特定します。
- ePolicy Orchestrator(ePO)の IPS ルール ポリシーから IPS シグネチャ番号の説明情報を確認します。
- そのシグネチャの説明情報に参照 CVE 説明リンクが含まれている場合、参照 CVE 説明リンクを確認します。
- 適用可能な脆弱性にマイクロソフト セキュリティ情報がリンクされていることを確認し、その脆弱性を解決するマイクロソフトのセキュリティの更新があるか確認します。
- システムが IPS イベントに適用可能なマイクロソフトのセキュリティの更新が適用されている(上記参照)ことを報告しているか確認します。
- 適用されている場合、関連するマイクロソフトのセキュリティの更新を適用したシステムで適用可能な IPS シグネチャが無効になっている可能性があります。
- Intel Security では、適用されていない場合、適用可能なマイクロソフトのセキュリティの更新をできるだけ早く対象システムに適用することをお勧めします。
- IPS シグネチャをトリガするための CVE 説明リンクが記載されていない場合、受信した IPS イベントの詳細情報をすべて確認してください。
- イベント トリガが通常のビジネス用途またはプロセスに関連しているか確認します。
- イベントを経験したシステムで、最新のマイクロソフトのセキュリティの更新がすべて適用されているか確認します。
- IPS イベントが Adobe やその他のマイクロソフト以外のアプリケーション、プロセス、またはその他のツールなどのサードパーティのプロセス固有かどうかを確認します。その場合、ベンダーが提供するすべての適用可能なセキュリティの更新を確認し、それらがシステムに適用されていることを確認します。
- 適用可能なベンダーのセキュリティの更新が適用された後もまだシグネチャがトリガする場合は、そのイベントを誤検知とみなし、更新されたシステムへのシグネチャを無効にするか、更新されたシステムの IPS 例外を作成して、その後のシグネチャの検出をすべて停止します。
- 適用可能なベンダーのセキュリティの更新が提供されていない場合、対象システムに VirusScan 用の最新のウイルス対策およびマルウェア対策定義またはその他のインストール済みエンドポイント保護アプリケーションがあるか調べます。影響を受けるシステムでフルスキャンを実行します。
- 影響を受けるシステムが、ネットワーク侵入検知などの他の境界領域セキュリティ手段で保護されているかどうかを調べます。
- Host IPS で セキュリティ違反をログ記録する を有効にして、詳細なデバッグ ログを有効にして、HipShield.log に詳細な情報を収集できます。HipShield.log の IPS セキュリティ違反に関する関連情報については、KB54473 を参照してください。
- 詳細な解析が必要な場合は、テクニカル サポートにお問い合わせください。
クライアント ファイアウォール/FAQ - ファイアウォール ルール アシスタンス
エンドポイントのシステムにどのようなファイアウォール ルールを設定すべきかなど、ファイアウォール ポリシーの設定に関する質問がよくあります。標準的な企業のお客様のファイアウォール ポリシーは、接続/位置別グループを利用する簡単なルール セットから、何百もの受信/送信ファイアウォール ルールを含むプロセス実行可能なハッシュを定義する非常に複雑なルール ポリシーまで広範囲に及びます。大規模なファームウェア ポリシーでは管理の複雑さが増し、低スペックのシステムではパフォーマンスの低下につながります。また、大規模なルール セットではポリシー設定中の ePO サーバーに対するパフォーマンスのオーバーヘッドが増え、ポリシーの設定間隔の間の McAfee Agent のオーバーヘッドが増えます。
Host IPS 8.0 ファイアウォールにはポリシー設定を簡単にするための多くの機能が含まれています。
- Host IPS 8.0 には、ユーザーのポリシーのベースとなる簡素化されたデフォルトのファイアウォール ポリシーが含まれています。 Intel Security では、社内ネットワーク ポリシーには、できる限り、ステートフル ファイアウォール、信頼済みネットワーク、信頼済みアプリケーションを利用する簡素化されたルール セットを使用することをお勧めします。
- このファイアウォールは、過剰な受信ファイアウォール ルールを減らすステートフル ファイアウォールだと考えられます。ルール ポリシーはさらに簡素化できます。ファイアウォール状態テーブルには、システムからの有効な送信トラフィック接続に関する情報が動的に格納されます。ファイアウォール状態テーブル ルールは関連返信トラフィックをフィルターして、許可します。これにより、大規模で複雑な受信ルール セットを定義する必要がなくなります。
- 位置別グループを使用すると、さらに標準 LAN 以外のリモート ユーザー用のルール セットを設定できます。位置別グループ内で簡素化されたルール セットを設定でき、これにより、リモート ユーザーが会社の VPN 経由で接続して、標準のファイアウォール ルールを利用できます。
- 信頼できるネットワーク - 通信しても安全な IP アドレスとネットワークのリストです(TrustedSource の例外を含む)。信頼できるネットワークには、個々の IP アドレスまたはアドレスの範囲が指定できます。信頼できるネットワークに設定すると、IPS 例外や追加のファイアウォール ルールを作成する必要がなくなるか、または必要が減少します。(Windows クライアントの場合のみ。)
- 信頼できるアプリケーション - 安全で既知の脆弱性がないアプリケーションのリストです。信頼できるアプリケーションに設定すると、IPS 例外や追加のファイアウォール ルールを作成する必要がなくなるか、または必要が減少します。IPS ルール ポリシーと同様、このポリシー カテゴリにも複数のポリシー インスタンスを含めることができます。(Windows プラットフォームと Windows 以外のプラットフォームの両方のクライアントで使用可能です。)
- ファイアウォール適応モード - ファイアウォールの調整に役立ちます。
注: 少数のシステムで一時的に適応モードのみ使用すると、ファイアウォール ルールの調整に役立ちます。このモードでは、エンドシステムに多数のクライアント ルールが作成され、過剰なファイアウォール クライアント適応ルールの処理中に ePO サーバーに重大なオーバーヘッドが生じる可能性があります。 Intel Security では、ファイアウォール ポリシーの調整に役立てるために、ファイアウォールの適応モードを期間限定で少数のシステムに制限することをお勧めします。
対象システムで適応モードが有効になっている間、クライアント適応ルールは、毎日または、少なくとも週 1 回見直してください。ファイアウォールの適応モードの初期適用後、Retain client rules オプションを選択解除して適応モードを無効にし、対象システムで学習されたすべてのクライアント ルールが確実に消去されるようにします。ePO コンソールからファイアウォール クライアント ルールを見直し、ファイアウォールを適応モードで再有効化する前に、エンドシステムで調整ファイアウォール ルール ポリシーに適用するルールを特定します。これらの手順を繰り返して、最終ファイアウォール ルール ポリシーをすべてのシステムに展開する前に実現します。アプリケーションに関連した一部のネットワーク トラフィックが認識されない場合があり、ファイアウォール ルールを手動で設定しなければならない場合があります。機能を保証するためのアプリケーション固有のファイアウォール設定については、アプリケーション ベンダーにお問い合わせください。
インストール-設定-アンインストール/FAQ - ePO を使用した配備
このカテゴリに該当するたいていのサポート コールは Host Intrusion Prevention 8.0 インストール ガイド(PD22891)で解決されている質問で構成されています。
Intel Security は、すべてのシステムに展開する前に実稼働環境の新しいセキュリティ アプリケーションのインストールを十分にテストし、ベースラインにすることをお勧めします。Intel Security では、セキュリティ製品を発売前に十分にテストして、検証しています。これは、Host IPS をエンタープライズ環境のすべてのノードに展開する前も同じです。技術の進化のおかげで、サードパーティ製品とネットワーク インフラストラクチャは新しいセキュリティ機能に迅速に適応します。製品の相互操作性は、すべてのベンダーにとって、引き続き移動目標であり、お客様の基本的なイメージが製品への変更で検証されることは重要です。Intel Security は、テストまたはパイロット環境で Host IPS を検証した後、企業の実稼働環境への展開に向けてのパイロット製造または段階的アプローチをお勧めします。
クライアント ファイアウォール/FW ルールが機能していない
トラブルシューティング情報のサードパーティのソフトウェアのセクションを参照してください。
インストール - 設定 - アンインストール/新規インストール - 失敗
Host IPS は IPS およびファイアウォール機能をデフォルトでオフにして展開されます。 Intel Security は、ご利用の環境内のすべてのグループのアプリケーションと設定を表すシステムを選択することをお勧めします。標準化されたイメージがあれば、ご利用の環境での Host IPS の検証が簡単になります。異種システムの場合、相互操作性の検証時に、より難しい課題があります。会社全体への展開が終了した後または展開中に重要な問題を解決するよりも、会社全体に展開する前にテクニカル サポートに依頼して、相互操作性の問題を解決する方が簡単です。
目次に戻る
ファイアウォール ルールに複数の IP アドレスを追加する方法は?
Host IPS カタログに新しいネットワーク アイテムを定義することができます。ネットワーク オブジェクト コンテナを、単一または複数の IP アドレス、サブネット、ローカル サブネット、IP 範囲、GQDN、任意のローカル、任意の Ipv4、または任意の IPv6で、信頼済みとして定義できます。
ネットワーク カタログ オブジェクトを定義したら、ファイアウォールを編集する際に [カタログから追加] をクリックすることにより、このカタログ オブジェクトをファイアウォール ルール、ネットワーク オプションで使用できます。カタログ オブジェクトを使用するルールで IP アドレスを変更する必要がある場合は、Host IPS カタログから、ネットワーク カタログ オブジェクトの IP アドレスを更新することができます。これにより、そのカタログ オブジェクトを参照するすべてのファイアウォール ルールには、更新されたネットワーク IP アドレスが使用されます。
目次に戻る
目次に戻る
互換性
他のサードパーティのソフトウェアで問題が起きた場合はどうすれば良いですか?
他のサードパーティのソフトウェア、特に他のサードパーティのセキュリティ ソフトウェアに関わる問題が発生する場合があります。解決策について、次の技術情報を参照してください。
- KB67055 - アプリケーションまたはトラフィックが Host Intrusion Prevention ファイアウォールによってブロックされたネットワークのトラブルシューティング方法
- KB67056 - Host Intrusion Prevention のインストール後またはコンテンツの更新後にサードパーティのアプリケーションが動作を停止または動作不能になる
解決できない問題を報告しなければならない場合は、Intel Security と同時にサードパーティのベンダーも分析に参加してもらうことが重要です。相互操作性の問題の多くは Intel Security ではなく、サードパーティのベンダーによる解決が必要です。 Intel Security は、サードパーティ ベンダーと密接に連携して、相互操作性の問題の解決に取り組んでいます。
64 ビット バージョンはいつ発売されますか。
Host IPS 8.0 はサポートされている 64 ビット オペレーティング システムで完全にサポートされています。
Host IPS が 64 ビット製品なのはなぜですか?
Host IPS 8.0 は x64 システムに 32 ビットと 64 ビットの両方のバイナリをインストールします。64 ビットの製品バイナリはインストール パスから x64 サブフォルダにインストールされます。ドライバなどのその他のバイナリは Windows ファイル システムの適切な場所にインストールされます。製品は \program ファイル フォルダの 64 ビット ファイルのインストール ガイドラインに従いませんが、ネイティブで x64 をサポートしています。
x64 システム上の 32 ビット互換モードでは何が実行されますか?
一部のサードパーティ製アプリケーションが 32 ビットで動作します。このため、Host IPS 8.0 はこれらのアプリケーション用に適切な 32 ビット IPS エンジンをロードします。
Host IPS 8.0 ではどの仮想化プラットフォームがサポートされますか?
KB70778 - Host Intrusion Prevention 8.0 でサポートされているプラットフォーム、環境、およびオペレーティング システム - を参照してください。
Host IPS 8.0 ではどのバージョンの VPN がサポートされますか?
KB70778 - Host Intrusion Prevention 8.0 でサポートされているプラットフォーム、環境、およびオペレーティング システム - を参照してください。
ほとんどネットワークに接続しないノートパソコンにMcAfee(ePO)Agent をインストールしなければならない理由は何ですか?
ePO Agent はポリシーを実施します。エージェントをインストールして、エージェントが ePO サーバーで設定されたポリシーを受け取ると、ノートパソコンがネットワーク上にあるか、ネットワーク外にあるかに関わらず、設定したポリシーは設定したポリシー実施間隔で実施されます。これにより、ローミングする場所に関係なく、ご利用のマカフィー製品向けの会社の設定が実施されることが保証されます。
Host IPS 8.0 を使用して、USB デバイスに対するアクセスをブロックできますか。
効果的にブロックすることはできません。Host IPS 8.x でカスタム IPS シグネチャを使用して、USB デバイスへのアクセスをブロックできますが、IPS シグネチャを使用するときに、現在はセキュリティに制限があります。
USB デバイスを効率的にブロックするために、Intel Security は、McAfee Data Loss Prevention (http://www.mcafee.com/us/products/data-protection/index.aspx) を推奨します。
ユーザーによる USB ストレージ デバイスの接続の防止に関すr情報は、support.microsoft.com/kb/823732 の Microsoft のサポート記事 823732 を参照してください。
目次に戻る
Host IPS 7.0 から Host IPS 8.0 にアップグレードしなければならないのはなぜですか?
Host IPS 8.0 の新機能および改善された機能を知るには、PD22892 の技術情報を参照してください。既知の問題については、KB72749 を参照してください。
Host IPS 8.0 はどうすればダウンロードできますか?
マカフィー製品、セキュリティ アップデート、パッチ、または HotFix については、KB56057 を参照してください。
Host IPS 8.0 をローカルで、またはサードパーティのソリューションでインストールする方法を教えてください。
.zip ファイルからインストール ファイルを一時フォルダに展開して、Setup.exe を実行し、インストールを完了します。
注: Setup.exe は多数の MSI コマンドライン オプションに対応しています。詳細については、KB51689 を参照してください。
Host IPS は、どのようにして ePO からインストールしますか。
インストール パッケージをリポジトリに追加して、展開タスクを作成/変更します。詳細については、ePolicy Orchestrator 製品ガイド を参照してください (PD25504)。
注: 配備タスクも、コマンド ライン オプションを指定できます。これにより、特定の機能をインストールしないなど、インストールに簡単な変更を加えることができます。オプションの詳しいリストについては、Host Intrusion Prevention 8.0 インストール ガイド(PD22891)を参照してください。
製品が Program Files (x86) フォルダにインストールされるのはなぜですか?
Host IPS は 32 ビットと 64 ビットのバイナリの両方を x64 システムにインストールします。64 ビットの製品バイナリはインストール パスから x64 サブフォルダにインストールされます。ドライバなどのその他のバイナリは Windows ファイル システムの適切な場所にインストールされます。製品は \program ファイル フォルダの 64 ビット ファイルのインストール ガイドラインに従いませんが、ネイティブで x64 をサポートしています。
インストール パッケージには Host IPS シグネチャ コンテンツが含まれていますか?
Host IPS はシグネチャ コンテンツ 8.0.0.3709 で出荷されます。これにより、ePO サーバーからシグネチャのアップデートを取得できない場合に、Host IPS がインストール後に機能することが可能になります。Intel Security は、定期的にスケジュールされた更新タスクを設定して、インストールしたシステム用の Host IPS シグネチャ コンテンツを含めることをお勧めします。
インストール後に再起動する必要がありますか?
新しいシステムでは、Host IPS 8.0 の機能の利用を開始するために、再起動する必要はありません。ただし、Intel Security は、よりクリーンな Windows 環境を確保するために、再起動することをお勧めします。
Host IPS 7.0 システムをアップグレードする場合、オペレーティング システムによっては、再起動が必要な場合があります。 Intel Security は、ご利用の特定のイメージに照らして確認されることをお勧めします。
製品を削除する方法を教えてください。
Host IPS は、ePO 配備タスクを使用するか、ローカルで プログラムと機能 あるいは アプリと機能 (Windows のバージョンにより異なります) を使用して削除できます。Host IPS をローカルで削除する前に、システムで IPS 保護を無効にする必要があります。
Host IPS シグネチャ コンテンツをロールバックする方法を教えてください。
Host IPS シグネチャ コンテンツをロールバックする方法については、KB53092 を参照してください。
現在使用中の製品バージョンはサポートされていますか?
生産終了およびサポート終了に関する情報は、次のサイトを参照してください: www.mcafee.com/us/support/support-eol.aspx
目次に戻る
Host IPS のベスト プラクティスはありますか。
はい。Host Intrusion Prevention 8.0 インストール ガイド(PD22891) の "Best Practices for Quick Success" のセクションを参照してください。
システムで Host IPS が動作していることを確認する方法を教えてください。
システムで Host IPS が動作していることを確認する方法については、KB58370 を参照してください。
Host IPS サービスを停止する方法を教えてください。
Host IPS 管理者でさえサービスを停止できないようにするセルフプロテクション メカニズムを使用しています。このメカニズムは IPS ポリシーで管理され、IPS が無効になるとセルフプロテクションはオフになります。Host IPS クライアント UI トレイ アイコンを使用して、IPS をローカルで無効にすることもできます。クライアント UI をロック解除して、IPS を無効にするには、Host IPS 管理者パスワードが必要になります。
Host IPS のログ記録を有効にするにはどうすればよいですか?
Windows システムでのログとトラブルシューティングについては KB72869 の技術情報、 Windows 以外のシステムでのログについては KB53490 を参照してください。
Host IPS の起動時の保護のログを有効にするにはどうすれば良いですか?
IPS プロテクションのログの起動時間については、KB72834 を参照してください。
IPS セキュリティ イベント反応を確認する方法を教えてください。
IPS セキュリティ イベント反応の確認ついては、KB54473 を参照してください。
Windows 以外でテスト用にシグネチャをトリガする方法を教えてください。
Host IPS シグネチャをテスト用にトリガする方法については、KB73807 を参照してください。
Host IPS 8.0 でアプリケーション ブロックはどうすれば設定できますか?
アプリケーション ブロック機能は Host IPS 8.0 で削除されましたが、IPS シグネチャ 6010 と 6011 を使用して、アプリケーションのブロックとフック保護を設定できます。詳細については、KB71794 を参照してください。
パフォーマンスの問題を調べる方法を教えてください。
パフォーマンスの問題を調べるための方法は多数あります。以下の手順の操作を順番に実行して、問題の内容を特定できる情報を入手してください。問題を特定した後、適切な手順を実行して、その問題を解決できます。以下の手順は、詳しい説明ではなく、ガイドラインを目的としています。ここで説明したツールについて、さらに詳しい情報をインターネットから参照できます。その他のツールは、KB72766 に記載されています。
はい。Host Intrusion Prevention 8.0 インストール ガイド(PD22891) の "Best Practices for Quick Success" のセクションを参照してください。
システムで Host IPS が動作していることを確認する方法を教えてください。
システムで Host IPS が動作していることを確認する方法については、KB58370 を参照してください。
Host IPS サービスを停止する方法を教えてください。
Host IPS 管理者でさえサービスを停止できないようにするセルフプロテクション メカニズムを使用しています。このメカニズムは IPS ポリシーで管理され、IPS が無効になるとセルフプロテクションはオフになります。Host IPS クライアント UI トレイ アイコンを使用して、IPS をローカルで無効にすることもできます。クライアント UI をロック解除して、IPS を無効にするには、Host IPS 管理者パスワードが必要になります。
Host IPS のログ記録を有効にするにはどうすればよいですか?
Windows システムでのログとトラブルシューティングについては KB72869 の技術情報、 Windows 以外のシステムでのログについては KB53490 を参照してください。
Host IPS の起動時の保護のログを有効にするにはどうすれば良いですか?
IPS プロテクションのログの起動時間については、KB72834 を参照してください。
IPS セキュリティ イベント反応を確認する方法を教えてください。
IPS セキュリティ イベント反応の確認ついては、KB54473 を参照してください。
Windows 以外でテスト用にシグネチャをトリガする方法を教えてください。
Host IPS シグネチャをテスト用にトリガする方法については、KB73807 を参照してください。
Host IPS 8.0 でアプリケーション ブロックはどうすれば設定できますか?
アプリケーション ブロック機能は Host IPS 8.0 で削除されましたが、IPS シグネチャ 6010 と 6011 を使用して、アプリケーションのブロックとフック保護を設定できます。詳細については、KB71794 を参照してください。
パフォーマンスの問題を調べる方法を教えてください。
パフォーマンスの問題を調べるための方法は多数あります。以下の手順の操作を順番に実行して、問題の内容を特定できる情報を入手してください。問題を特定した後、適切な手順を実行して、その問題を解決できます。以下の手順は、詳しい説明ではなく、ガイドラインを目的としています。ここで説明したツールについて、さらに詳しい情報をインターネットから参照できます。その他のツールは、KB72766 に記載されています。
- タスク マネージャ: CTRL+SHIFT+ESC を押して、タスク マネージャを開きます。CPU 列でソートして、CPU を使用しているプロセスを表示します。数字は利用可能なプロセッサまたはコアのパーセンテージを表しているため、4 CPU システムで 25 % はプロセスがコアの 1 つを占有していることを意味し、これは通常、問題があることを示すものです。攻撃的なプロセスが見つかった後、さらに調査することができます。
- パフォーマンス監視: パフォーマンス監視(PerfMon)を使用して、CPU の使用量や使用期間の詳細を表示し、システムやユーザーへの影響を知ることができます。PerfMon を使用して、パフォーマンス オブジェクトのプロセス、プロセッサ、メモリを監視し、すべてのカウンタとインスタンスを取得します。 Intel Security では、時間に発生する問題または予測できる問題のほとんどに対して、サンプリング レートを 1 秒にすることをお勧めします。生成されるログのサイズを減らすために、あらゆるものをキャプチャするのではなく、使用するカウンタを減らし、特定のカウンタのみ使用することができます。これにより、手に負えないほど大きなサイズのログ ファイルを作成することなく、長時間、キャプチャを実行できます。
- Windows パフォーマンス監視ツール(XPerf): Microsoft Vista 以降のオペレーティング システムで、マイクロソフトは最も呼出しの多い API などパフォーマンスの問題に関する詳細情報を提供する強力なツールを提供しています。ベンダーは、通常、ソース コードのシステム ファイルにアクセスできるエンジニアリング/開発レベルでこの情報を使用できます。これにより、実行されるコード パスを明らかにすることができます。
- VSE Profiler(システムで VSE も動作している場合): VSE Profiler は、どのファイルをスキャン中かなど、製品の動作を可視化します。このツールは収集したデータに説明を追加するレポートを生成するメカニズムを提供します。詳しくは、Profiler 1.1 リリース ノート(PD22737)を参照してください。
VSE Profiler は https://support.mcafee.com/ServicePortal/faces/tools/toolsMcAfeeProfiler からダウンロードできます。除外を作成および/または高/低/デフォルト スキャニング プロファイルを利用して、パフォーマンスを向上させる構成を作成できます。
重要: 以下の手順を実行しても、パフォーマンスの問題が解決されない場合は、Intel Security では、テクニカル サポートに協力させていただくことをお勧めします。
プロパティ変換サーバー タスクの実行中に ePO サーバーの CPU の使用率が高くなるのはなぜですか?
Host IPS ePO Property Translator サーバー タスクは、デフォルトでは 15 分ごとに実行されて、システム クライアント プロパティを Host IPS または イベント レポート ディスプレイのクライアント ルール タブに表示される適応クライアント ルールに変換します。クライアント ルールが過剰に処理されると、ePO 関連の処理で CPU の使用率が増加する可能性があります。さらに、エンド システムから収集された不正な形式のプロパティが Property Translator のエラーを引き起こす可能性があります。
Host IPS 8.0 Patch 4 拡張ファイルのアップデート (KB78494 を参照) では、適応モードの警告メッセージを表示します。
適応モード
このリリースでは、ファイアウォール オプション ポリシーで適応モードを有効にすると、Host IPS は以下の警告を表示します。
Intel Security は、選択されたシステムでは適応モードを限定的な時間のみ有効に
することをお奨めします。多くのシステムでは、適応モードを長時間有効にすると、
ePolicy Orchestrator の Host IPS Property Translator サーバータスクのパフォーマンスが大幅に低下します。
詳細は、Host Intrusion Prevention 8.0 Patch 4 リリース ノート、PD25043 を参照してください。
詳しくは、関連する次の技術情報を参照してください:
- KB80102 - ePolicy Orchestrator console stops responding or takes several minutes to open when editing the Host Intrusion Prevention 8.0 Catalog
- KB71607 - Excessive Malformed Rule String Detected, Unparseable Date or other Host IPS Property Translator messages (in ePolicy Orchestrator 5.x Orion.log)
- KB71520 - POSTALCODE で発生する Host Intrusion Prevention 8.0 property translator エラー
ePO サーバーに関連する問題で詳細なデバッグ ログを有効にするにはどうすれば良いですか?
詳細な Orion ログの詳細については、KB67068 を参照してください。
目次に戻る
Host IPS 保護のしくみ
Host IPS 保護は、保護されたシステムでアプリケーション プログラミング インターフェース(API)を使用して行われた実行可能システム コールを監視します。これらのシステム コールはオペレーティング システム カーネルに対して、またはオペレーティング システムカーネルからリソースを処理するために行われます。Host IPS 監視は、システム コールの異常を検出し、分析のためにこれらのコールをブロックまたはログ記録します。Host IPS はこの目的を達するために、複数の監視クラス エンジンを使用します。バッファーオーバーフロー、ファイル、フック、不正な API 使用、不正使用、ISAPI、プログラム、レジストリ、サービス、および SQL エンジン クラスの詳細は、PD22525 - Host Intrusion Prevention - カスタム シグネチャの記述 ー を参照してください。バッファ オーバーフロー保護のしくみ
バッファ オーバーラン保護(BOP)は、保護されたシステムで実行可能ファイルおよび API を監視し、バッファ オーバーフローまたはバッファ オーバーランからのコードの実行をチェックします。BOP はオーバーランの発生を停止しませんが、そのオーバーランから発生するコードの実行を停止します。これは、マルウェアがデータやシステムにアクセスして感染を広げるために脆弱なアプリケーションに対してよく使う方法です。
保護は、以前のスケジュールされたプログラミングに戻る前に、安全テストにより、カーネルレベルのフック(各種システム テーブルの「カーネル パッチ」とも呼ばれる)の迂回コードを実行することにより行われます。この機能のサポートは、カーネルでパッチの制限が可能な 64 ビット システムに制限されています。サポートされる対象の詳細情報は、KB51504 を参照してください。Data Execution Prevention が導入されている場合は、この BOP を冗長化することができます。
上記の記事は、ServicePortal の登録ユーザーにのみ公開しています。
登録記事を参照するには、以下の手順を実行します。
- サービスポータル http://mysupport.mcafee.com にログオンします。
- ホームページの検索フィールドに記事の ID を入力します。
- 検索をクリックするか、Enter キーを押します。
ネットワーク IPS 保護とは何ですか?
ネットワーク IPS 保護フィルタ ドライバは、保護されたシステムとネットワーク間のデータのやり取りを検査します。パケットに悪質な攻撃プロファイルがないか検査します。攻撃が確認されると、不正データは破棄されるかまたはシステムを通過しないようにブロックされます。Host IPS には Windows プラットフォーム用のネットワーク IPS シグネチャのデフォルト リストが含まれます。これらのシグネチャの重大度レベル、ログのステータス、クライアント ルールの作成設定を編集できますが、カスタム ネットワーク シグネチャに追加することはできません。ネットワーク シグネチャは以下の操作を実行します。
ネットワーク セグメントの下流に位置するシステムを保護します サーバおよびサーバに接続するシステムを保護します ネットワークのサービス拒否攻撃、およびネットワーク トラフィックの拒否や低下を引き起こす帯域幅に向けられた攻撃から保護します
Host IPS ファイアウォール フィルタ ドライバは NDIS 5.0 ですか、それとも NDIS 6.0 ですか。
ネットワーク ドライバ インターフェース仕様はマイクロソフトのオペレーティング システムで動作するネットワーク アダプタとネットワーク フィルタ ドライバの API です。この仕様はもともとマイクロソフト社と 3COM Corporation 社が共同で開発しました。Windows 7、Windows Vista、Windows Server 2008 およびそれ以降のオペレーティング システムは NDIS 6.x API を使用します(これらのオペレーティング システムはマイクロソフトの互換性レイヤにより、NDIS 5.x フィルタ ドライバ用の下位互換性も提供します。)
Host IPS 8.0 には次の 2 種類のバージョンのファイアウォール ドライバが含まれます。
Vista およびそれ以降のオペレーティング システム用の NDIS 6.x 仕様に基づいてビルドされたファイアウォール ドライバ もう 1 つは Windows XP および Windows 2003 用の NDIS 5.x に基づいてビルドされたドライバ
注: NDIS 6.x ドライバは Vista 以降のオペレーティング システムの更新されたプログラミング インターフェースで動作するため、実用的には、Host IPS 8.0 は Vista およびそれ以降の新しいオペレーティング システムで実行することをお勧めします。
Microsoft は、Windows XP SP3 のサポートを 2014 年 4 月 8 日に終了しました。 最良の結果と最適なセキュリティのためには、サポートされているオペレーティング システムにアップグレードしてください。 詳細については、KB78434 を参照してください。
Microsoft は、Windows Server 2003 SP2 の延長サポートを 2015 年 7 月 14 日に終了しました。 2015 年末時点で、Windows Server 2003 SP2 がサポートする McAfee 製品は Application Control と Change Control のみです。
Host IPS HTTP エンジンとは何ですか?
Host IPS 8.0 HTTP エンジンは、スタブとエンジンの 2 つのコンポーネントで構成されます。スタブは、レジストリに格納された制御値に応じてメインHTTPエンジンをロードするIISによってロードされるシン ラッパーです。HTTP エンジンはスタブを使用しているため、HTTP エンジンに関するポリシーの変更では IIS を再起動する必要はありません。IPS のトラブルシューティングから HTTP エンジンを無効にすると、IIS からエントリが削除されます。エンジンは HTTP リクエストからクエリをビルドし、それを HIP クライアントに渡して照合し、リクエストがブロックされているかどうかによって HTTP リクエストの続行を許可します。ロー データセクションには POST データは含まれていません。ロー データセクションには、すべての IIS のバージョンのすべてのヘッダー変数が含まれています。
ファイアウォール オプション ポリシーの TrustedSource とは
TrustedSource は、リアルタイム分析を使用して、インターネット上の正しい動作と不正な動作を判別する、グローバルなインターネット評価情報システムです。TrustedSource の詳細は KB74925 を参照してください。
クライアントが正しく機能するには、どの Host IPS サービスを使用すべきですか。
IPS およびファイアウォールのいずれかまたは両方で侵入防止保護を提供するには、以下のサービスが有効であることを確認してください。呼出し時には以下のサービスが有効になります。
McAfee Host Intrusion Prevention Service(FireSvc.exe) McAfee Firewall Core Service(mfefire.exe) - Host IPS 8.0 Patch 6(以降)では、自動的に開始されません。KB85374 を参照してください。- McAfee Validation Trust Protection Service(mfevtps.exe)
- McAfee Host Intrusion Prevention ローカル プロシージャ コール (LPC) サービス (HipMgmt.exe) - Host IPS 8.0 Patch 3 以降で追加されました。KB81474 を参照してください。
- McAfee Host Intrusion Prevention システム トレイ アイコン サービス(FireTray.exe)
- McAfee Host Intrusion Prevention クライアント コンソール(McAfeeFire.exe)
IP 以外のトラフィックがファイアウォールでブロックされないようにするには、どうしたらよいですか。
ファイアウォール ルールで特に指定しない限り、IP 以外のトラフィックの一部はファイアウォールに認識されず、結果としてブロックされます。また、適応モードと学習モードでは、IP 以外のプロトコルを動的に検出してファイアウォール ルールを作成しません。IP 以外のプロトコルがブロックされないようにするには、ファイアウォール オプション ポリシーで サポートされていないプロトコルのトラフィックを許可する を選択します。次にアクティビティ ログで許可された IP 以外の受信/送信プロトコル: 0xXXX を確認します。ここで 0xXXX プロトコルの IANA Ethernet 番号を示します(http://www.iana.org/assignments/ethernet-numbers を参照)。この情報を使用して、必要な IP 以外のトラフィックを特定し、トラフィックを許可するファイアウォール ルールを作成します。
ログ ファイルの場所
すべてのログ ファイルはクライアントシステムの C:\ProgramData\McAfee\Host Intrusion Prevention\ ディレクトリにあります。
Host IPS コンポーネントとログ ファイル
Host IPS コンポーネントの基本的なログ ファイルは HipShield.log です。ログ ファイルの最大サイズは 128 MB です。バックアップは 1 つ作成されます。ログ ファイルの回転は、[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP] レジストリ キーの DWORD エントリ log_rotate_size_kb と log_rotate_count で管理されます。
log_rotate_count キーによって、保存されるバックアップ ログ ファイルの数が決まります。entrylog_rotate_size_kb は、バックアップ ログ ファイルのサイズ(KB 単位)です。0 に設定すると、ログの再利用は無効になります。
log_rotate_size_kb に設定されたサイズを超えると、ファイルを閉じ、ファイル名の最後に「.1」というサフィックスが付きます。同じ名前のファイルが存在していると、サフィックスが 1 つ増えます。バックアップ ファイルの最大数になると、最も古いファイルが削除されます。
HipShield.log の内容
Host IPS コンポーネントを実行すると、実行されるビルドとセッションのタイムスタンプが分かるバナー ステートメントが表示されます。HipShield ログの各項目は、タイムスタンプの後にデータの種類(情報、デバッグ、エラー)が記録されます。HipShield のデータは特別で、Host IPSコンポーネントによって異なります。重要な領域は次のとおりです。ファイアウォール コンポーネントとログ ファイル
「In install modules new」で始まる行は、Host IPS コンポーネントの開始時にファイルがコピーされたことを表します。ファイルのコピーに失敗すると、Host IPS コンポーネントは開始しません。 「Scrutinizer initialized successfully」で始まる行は、Scrutinizer の初期化で Host IPS コンポーネントの読み込みに成功していることを意味します。これは、前述のファイルが正しくコピーされているかどうかによって異なります。 「New Process: Pid=」で始まる行は、Host IPS コンポーネントでプロセス作成の監視が可能になったことを意味します。 「IIS - Start」で始まる行は、IIS による監視が開始したことを意味します。 「Scrutinizer started successfully ACTIVATED status」で始まる行は、Scrutinizer が正常に開始したことを意味します。 「Hooking xxx」で始まる行は、プロセス フックの処理中であることを意味します。xxx は、フックされているプロセスの PID(プロセス ID)です。 「Processing Buffer xxx.scn」で始まる一連の行は、スキャン ファイル「xxx.scn」の処理結果を報告しています。「xxx」は、「EnterceptMgmtServer」のような名前です。スキャン ファイルのスキャン エラーがここで報告されます。 「signature=111 level=2, log=True」という形式の行は、個々のシグネチャが読み込まれたことを意味しています。シグネチャ ID とレベルで、このシグネチャでロギングが有効かどうか分かります。
注: Shield.db および except.db は、デバッグが有効化されている場合に、ログと同じディレクトリに作成されます。これらのファイルには、AgentNT.dll がコンテンツを処理した後のカーネルに送信されるルールと例外のダンプが含まれています。
これらのログ ファイルには、デフォルトの最大サイズの 100MB になるまでデータが記録されます。ログ ファイルを大きくしたり、小さくしたりする必要がある場合は、次のレジストリ値を追加してサイズを制御できます: [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize]
FireSvc.log
(メインのサービス ログ)デバッグ レベルのロギング
出力に一致する場所
TrustedSource 接続評価の出力
エラー/警告HipMgtPlugin.log
(McAfee Agent プラグイン ログ)デバッグ レベルのロギング
ポリシー施行のタイミング統計
エラー/警告FireTray.log/McTrayHip.log
(トレイ ログ)デバッグ レベルのロギング
エラー/警告FireUI.log
(クライアント UI ログ)デバッグ レベルのロギング
エラー/警告
ログのサイズを設定するには、Host Intrusion Prevention 8.0 製品ガイド (PD22894) の「ファイアウォール コンポーネントとログ ファイル」を参照してください。
ClientControl コマンドライン ユーティリティとは
このコマンドライン ユーティリティは、サードパーティのソフトウェアを使用して、Host IPS をクライアントに展開する場合に自動アップグレードおよびその他のメンテナンス作業に役立ちます。このインストールとメンテナンス スクリプトを実行すると、IPS 保護を一時的に無効にしてロギング機能を有効にできます。詳しくは、Host Intrusion Prevention 8.0 ClientControl.exe ユーティリティの Readme(PD23014)を参照してください。
目次に戻る
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:
この記事は、次の言語で表示可能です:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified