mcafee host intrusion prevention 8b2b-download.mcafee.com/products/evaluation/host...mcafee host...

McAfee Host Intrusion Prevention 8.0インストールガイド

著作権

Copyright © 2010 McAfee, Inc. All Rights Reserved.

このマニュアルのいかなる部分も、McAfee Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、送信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。

商標

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE),MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELDは米国法人McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としています。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。

ライセンス情報

ライセンス条項

お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお返しいたします。

McAfee Host Intrusion Prevention 8.0 インストールガイド2

目次

McAfee Host Intrusion Prevention のインストール........................................5

コンポーネント............................................................................6

インストールの概要........................................................................7

このリリースの新機能......................................................................9

短期間で実装するためのベストプラクティス..............................................11

1. 戦略の立案............................................................................13

2. パイロット環境の準備..................................................................16

3. インストールと設定....................................................................18

4. 最初の調整作業........................................................................20

5. 適応モードでの実行 (オプション)........................................................23

6. 調整の修正............................................................................25

7. 保守作業と展開........................................................................25

ePolicy Orchestrator へのインストール...................................................27

拡張ファイルのインストール...............................................................28

拡張ファイルの削除.......................................................................29

ポリシーの移行..............................................................................30

以前のバージョンからのポリシーの移行 .....................................................31

XML ファイルによるポリシーの移行..........................................................32

Windows クライアントのインストール.......................................................33

Windows クライアントの詳細...............................................................33

リモートからの Windows クライアントのインストール .........................................35

ローカルでの Windows クライアントのインストール............................................36

ポリシーと IPS コンテンツの適用...........................................................36

Windows クライアントの削除...............................................................37

Windows でのトラブルシューティングの方法..................................................37

Windows クライアントの停止...............................................................38

Windows クライアントの再起動..............................................................39

Solaris クライアントのインストール.......................................................40

Solaris クライアントの詳細...............................................................40

リモートからの Solaris クライアントのインストール..........................................42

ローカルでの Solaris クライアントのインストール............................................42

3McAfee Host Intrusion Prevention 8.0 インストールガイド


Solaris クライアントの削除...............................................................43

Solaris でのトラブルシューティングの方法..................................................43

Solaris クライアントの停止...............................................................44

Solaris クライアントの再起動..............................................................44

Linux クライアントのインストール.........................................................45

Linux クライアントの詳細.................................................................45

リモートからの Linux クライアントのインストール............................................47

ローカルでの Linux クライアントのインストール..............................................48


Linux クライアントの削除.................................................................49

Linux でのトラブルシューティングの方法....................................................49

Linux クライアントの停止.................................................................50

Linux クライアントの再起動...............................................................50


目次

McAfee Host Intrusion Prevention のインストール

このガイドでは、管理対象環境に Host Intrusion Prevention 8.0 をインストールして開始

するために必要な情報を提供します。この製品の拡張ファイルはバージョン 4.0、4.5、4.6

の ePolicy Orchestrator サーバにインストールされます。クライアントは、Windows ワー

クステーションとサーバ、Solaris サーバ、Linux サーバにインストールされます。

製品の機能

Host Intrusion Prevention は、Windows システム上で安定したエンドポイントファイア

ウォールを実現します。また、Windows と Windows 以外のワークステーション、ノート PC、

Web サーバやデータベースサーバなどの重要なサーバに管理性と拡張性に優れた侵入防止ソ

リューションを提供します。このソリューションは、不要または有害なネットワークトラ

フィックをブロックし、実績豊富な特許取得済みの技術を利用してゼロデイ攻撃と既知の攻

撃を未然に防ぎます。Host Intrusion Prevention 8.0 では、ファイアウォールのみのバー

ジョンと、ファイアウォールと IPS の両方を含むフルバージョンが利用できます。

管理の容易性と拡張性

Host Intrusion Prevention を管理する ePolicy Orchestrator は、ウイルス対策などの重

要なセキュリティソリューションのポリシーを配信し、実施しています。このマネージド

アプローチにより、アプリケーション間の通信量が減少します。グローバルに事業展開する

多言語環境の企業でも、1 つのソリューションで最大 100,000 のクライアントシステムに

配備できます。

セキュリティ

Host Intrusion Prevention では、動作ルール、シグニチャ、ステートフルなシステムファ

イアウォールによって攻撃を阻止します。新しい脅威に対して緊急パッチを適用する頻度も

少なくなります。デフォルトの設定でも迅速で大規模な配備が可能です。事前に定義された

ポリシーだけでなく、カスタムポリシーを適用して、保護レベルを強化できます。

ePO データベースにはシグニチャなどのセキュリティコンテンツデータが格納されていま

す。このデータは、Host Intrusion Prevention ポリシーで使用されます。更新は、コンテ

ンツ更新パッケージによって処理されます。このパッケージにはバージョン情報と更新スク

リプトが含まれています。チェックイン時に、パッケージのバージョンがデータベース内の

最新コンテンツと比較されます。パッケージの方が新しい場合、コンテンツデータが抽出さ

れ保存されます。この新しいコンテンツは、次回のエージェント/サーバ間通信時にクライア

ントに送信されます。

注意: Host Intrusion Prevention のコンテンツ更新は、手動あるいはプルタスクによって

自動的に ePO リポジトリにチェックインされ、更新タスクによってクライアントに配信され

ます。Host Intrusion Prevention クライアントは ePO サーバとの通信によってのみ更新を

取得します。


保護の仕組み

ePolicy Orchestrator は、ePO エージェント経由で Host Intrusion Prevention クライア

ントにポリシー情報を定期的に送信します。Host Intrusion Prevention クライアントはポ

リシーを施行し、イベント情報を収集して McAfee Agent 経由で ePolicy Orchestrator に

送信します。

図 1: Host Intrusion Prevention による保護

目次

コンポーネント

インストールの概要

このリリースの新機能

コンポーネントHost Intrusion Prevention を使用するには、いくつかのコンポーネントがインストールさ

れ、機能している必要があります。

Host Intrusion Prevention コンポーネント:

McAfee Host Intrusion Prevention のインストールコンポーネント


• ePolicy Orchestrator サーバとリポジトリ－この管理ツールでは、ソフトウェアのイ

ンストールやポリシーの配備、動作の監視、レポートの作成を行います。また、コンテン

ツとクライアントの更新を保存し、配布します。

• McAfee Agent －管理対象システムにインストールされ、Host Intrusion Prevention ク

ライアントと ePolicy Orchestrator サーバやデータベースとの間を仲介するエージェン

トです。クライアントと ePO サーバの間でデータを送受信します。

• Host Intrusion Prevention 拡張ファイル－ ePolicy Orchestrator コンソールでポリ

シー管理のインターフェースとなります。

• Host Intrusion Prevention クライアント－ワークステーションやサーバ上にインス

トールされ、侵入防止を行うメインコンポーネントです。

• Host Intrusion Prevention コンテンツの更新 (IPS のみ) －シグニチャや信頼できる

アプリケーションなどの更新されたセキュリティコンテンツです。この更新は定期的に

配信され、IPS を最新の状態に保ちます。

インストールの概要Host Intrusion Prevention は ePolicy Orchestrator 環境にのみインストールされます。

ePO サーバとデータベースが必要です。また、Host Intrusion Prevention をインストール

する各クライアントシステムに McAfee Agent がインストールされている必要があります。

この ePO 環境の設定要件と手順の詳細については、『ePolicy Orchestrator インストールガイド』を参照してください。

ePO サーバとエージェントの準備ができたら、ePO に Host Intrusion Prevention 拡張ファ

イルをインストールします。購入されたバージョン (ファイアウォールのみまたはファイア

ウォールと IPS) と使用中の ePO のバージョンによって、インストールされる拡張ファイル

が異なります。詳細については、「ePolicy Orchestrator へのインストール」を参照してく

ださい。

最後に、Windows、Linux または Solaris が実行され、McAfee Agent がすでにインストール

されているクライアントコンピュータに Host Intrusion Prevention をインストールしま

す。詳細については、「Windows クライアントのインストール」、「Solaris クライアント

のインストール」または「Linux クライアントのインストール」を参照してください。

注意: Host Intrusion Prevention のファイアウォール機能は Windows プラットフォーム上

でのみ機能します。

このリリースではアーキテクチャ上の変更が行われ、Host Intrusion Prevention 8.0 クラ

イアントは Host Intrusion Prevention 8.0 拡張ファイルによってのみ管理されます。ただ

し、バージョン 7.0 の拡張ファイルと同時にバージョン 8.0 拡張ファイルを保持し、バー

ジョン 8.0 への移行準備が整うまで前のクライアントバージョンを管理できます。移行の

詳細については、「ポリシーの移行」を参照してください。

表 1: コンポーネントのバージョン

クライアントシステム上ePolicy Orchestrator サーバ上

LinuxSolarisWindowsHost IPS 8.0 拡張ファイルバージョン

––ファイアウォールのみ (ePO4.0)

4.0 パッチ 6 以降

• McAfee Agent 4.0

(パッチ 3 以降) ま

たは McAfee Agent

4.5 for Windows

(パッチ 1 以降)

McAfee Host Intrusion Prevention のインストールインストールの概要


クライアントシステム上ePolicy Orchestrator サーバ上

LinuxSolarisWindowsHost IPS 8.0 拡張ファイルバージョン

• Host IPS 8.0 クラ

イアント

ファイアウォールと IPS(ePO 4.0)

• McAfee Agent 4.0 (パッ

チ 3 以降) または

McAfee Agent 4.5 for

Linux (パッチ 1 以降)

• McAfee Agent

4.0 (パッチ

3 以降) また

は McAfee



たは McAfee Agent

4.5 for Windows

(パッチ 1 以降) Agent 4.5

for Solaris• Host IPS 8.0 クライア

ント• Host IPS 8.0 クラ

イアント(パッチ 1 以

降)

• Host IPS 8.0

クライアント


4.5 • McAfee Agent 4.0


たは McAfee Agent

4.5 for Windows



イアント






• McAfee Agent

4.0 (パッチ

3 以降) また

は McAfee



たは McAfee Agent

4.5 for Windows





降)

• Host IPS 8.0

クライアント


4.6 • McAfee Agent 4.0


たは McAfee Agent

4.5 for Windows



イアント






• McAfee Agent

4.0 (パッチ

3 以降) また

は McAfee



たは McAfee Agent

4.5 for Windows





降)

• Host IPS 8.0

クライアント

McAfee Host Intrusion Prevention のインストールインストールの概要


このリリースの新機能このリリースでは、いくつかの機能が新たに導入されています。また、機能強化や変更も行

われています。

IPS

• IPS オプションポリシーの新機能:

• 起動時の保護:スタートアップ時に IPS サービスの開始前に保護を開始します。

• IPS ルールポリシーの新機能:

• ネットワーク IPS シグネチャで IP アドレスを使用して除外対象を設定できます。

• IPS シグネチャとファイアウォールルールの両方で、信頼できるネットワークを設定

できます。

• アプリケーションを確認するときに、パスだけでなく、パス、ハッシュ、デジタル署

名、シグネチャと除外リストのファイルの説明も使用されるようになりました。

ファイアウォール

• ファイアウォールオプションポリシーの新機能:

• TrustedSource の評価とブロック:ファイアウォールルールと McAfee TrustedSource

の評価に従って、受信トラフィックと送信トラフィックを許可または拒否します。

• IP スプーフィング対策:ローカルの IP アドレスがローカルシステムの IP アドレス

でない場合、あるいはローカルの MAC アドレスが VM ゲストの MAC アドレスでない場

合、ファイアウォールルールによって送信トラフィックをブロックします。

• ブリッジド VM サポート:ローカルの MAC アドレスがローカルシステムの MAC アドレ

スに一致していない場合でも、サポートされる VM ソフトウェアの MAC アドレスであ

れば、ファイアウォールルールによってトラフィックを許可します。

• 起動時の保護:ファイアウォールサービスが開始するまで、ファイアウォールルール

によってすべての受信トラフィックをブロックします。

• 追加のファイアウォールポリシー:ファイアウォール DNS ブロック機能は、ブロックさ

れないドメイン名パターンを使用します。このポリシーは、ユーザ指定のドメイン名の

DNS 解決をブロックするドメインルールに代わるものです。

• ファイアウォールルールポリシーの新機能:

• 柔軟性を増したファイアウォールルール:1 つのルールに複数のアプリケーション (以

前は 1 つ)、複数のネットワーク (以前は 1 つ)、ローカルネットワークとリモート

ネットワーク (以前はリモートネットワークのみ)、VPN メディアタイプ、有線と無

線を記述できるようになりました。

• 接続別グループは、場所情報と接続スケジュールが記述された簡単なファイアウォール

グループになりました。

• アプリケーションを確認するときに、パスだけでなく、パス、ハッシュ、デジタル署

名、ファイアウォールルールのファイルの説明も使用されるようになりました。

全般

• アプリケーションブロックオプションとアプリケーションブロックルールポリシー

が削除されました。この機能は、Host IPS ルールポリシーの 2 つのコンテンツシグネ

チャ (6010 と 6011) に代わりました。

McAfee Host Intrusion Prevention のインストールこのリリースの新機能


• ファイアウォール隔離オプションと隔離ルールポリシーが削除されました。スタートアッ

プ隔離オプションはファイアウォールオプションのスタートアップ保護オプションに移

行しました。

• 新しい Host IPS カタログにより、ファイアウォールグループ、ルール、場所、実行ファ

イル、ネットワークなど、ポリシー間で共通するポリシーコンポーネントを編成し、再

利用が可能になりました。

• 製品全体で標準のワイルドカードセットを使用しています。

• 共通フォルダにログを保存します。一部のログを簡素化し、読みやすくしています。

プラットフォームサポート

• 32 ビット/64 ビットの Windows プラットフォームに対する完全なパリティアクセス

• 追加:Windows 7、Linux SUSe10 SP3、SUSe 11、Solaris ゾーンサポート

• 削除:Windows 2000、Solaris 8、SUSe Linux 9

SQL サポート

• 追加:SQL 2005、SQL 2008

• 削除:SQL 2000

拡張ファイル/クライアント機能

• Host Intrusion Prevention 8.0 の 2 つのバージョン: ファイアウォールのみのバージョ

ンと、ファイアウォールと IPS の両方を含むフルバージョン。

• ePolicy Orchestrator 4.0、4.5、4.6 と互換性のある Host IPS 拡張ファイル

• 以前のバージョンの Host IPS がインストールされている ePolicy Orchestrator にも

Host IPS 8.0 拡張ファイルをインストール可能

• Host IPS 8.0 拡張ファイルは Host IPS 8.0 クライアントのみを管理します。前のクラ

イアントバージョンはサポートしていません。

• 初回インストール後にクライアントで IPS とファイアウォールの両方が無効になります。

ポリシーアプリケーションで有効にする必要があります。

• すべてのプラットフォームで、クライアントを再インストールせずに、ePolicy

Orchestrator で評価版からライセンス版にアップグレードできます。

McAfee Host Intrusion Prevention のインストールこのリリースの新機能


短期間で実装するためのベストプラクティス

組織にとって McAfee Host Intrusion Prevention は非常に有効なソリューションです。緊

急性の高いパッチの適用頻度が少なくなり、ビジネスの継続性と従業員の生産性を維持しな

がら、データの機密性を保護し、コンプライアンス対応の労力を軽減できます。このソリュー

ションは、シグネチャと動作分析による侵入防止システム (IPS) とステートフルなファイア

ウォールを提供し、既知の脅威と未知の脅威からすべてのエンドポイント (デスクトップ、

ノート PC、サーバなど) を保護します。

はじめに

業務の混乱を避けるため、ユーザやビジネスに不可欠なアプリケーションに関わるものは慎

重に配備する必要があります。ここでは、製品を段階的に導入します。業務の細部に合わせ

てポリシーを調整し、ユーザの変更を最小限にしながら保護レベルを徐々に強化していきま

す。このような堅実なアプローチでは、1 か月から 3 か月で製品を導入します。これによ

り、最小の管理作業で最大の保護効果を得ることができます。

IPS とファイアウォールの両方を購入している場合には、法規制やリスク要因からファイア

ウォールの配備が最重要課題になっていない限り、IPS 機能から始めることをお勧めします。

IPS 機能は、既知の脅威やゼロデイの脅威を阻止する重要な保護対策を提供します。McAfee

が事前にポリシーを定義しているので、適切な時間と費用で McAfee Host Intrusion

Prevention を実装し、システムを脆弱性や攻撃から保護することができます。

IPS 保護の導入に成功したら、ファイアウォールの導入に進みます。ポリシー、対応、ルー

ルは異なりますが、ここで説明するパイロット戦略はファイアウォールの導入にも当てはま

ります。

注意: ファイアウォールのみを購入している場合には、ファイアウォールの配備をすぐに開

始することも、ここで説明する戦略に従って配備することもできます。ファイアウォールポ

リシーの定義と使用方法については、製品ガイドまたはヘルプを参照してください。重要な

点は段階的に行うことです。次の順番で処理を行うことをお勧めします。

• ノート PC と標準デスクトップに対する IPS

• 重要なサーバに対する IPS

• パワーユーザのデスクトップに対する IPS

• ノート PC に対するファイアウォール

• サーバに対するファイアウォール

• パワーユーザのデスクトップに対するファイアウォール

管理者の大半はここで説明する処理を実行できます。ヘルプが必要な場合には、McAfee パー

トナーまたはサービス担当者に連絡してください。

推奨する段階は次の 7 つです。

1 戦略の立案

2 環境の準備

3 インストールと設定

4 初期調整


5 適応モード (オプション)

6 拡張保護と調整

7 保守作業と IPS の展開

デスクトップとサーバには同じ手順で実装を行いますが、ここではより慎重に作業を進めま

す。まず、簡単な環境から始めて、基幹業務で使用されている複雑な環境 (パワーユーザの

デスクトップとサーバ) に進んでいくことにします。

タイミングと見込み

プロジェクトを頓挫させず、リスクを回避しながら作業を進めるには、作業の完了までに 1

か月から 3 か月は必要になります。この期間でハンズオンでの作業は数日に過ぎませんが、

各段階で調整に必要な使用状況データを収集するため時間がかかります。

実装期間に大きな影響を及ぼすのがシステムの範囲とユーザの種類です。ユーザの種類が多

くなるほど、すべてのシステムに McAfee Host Intrusion Prevention を実装するまでの時

間は長くなります。保護機能は、ユーザの生産性やアプリケーションの機能を低下させずに

導入しなければなりません。重要なシステムとユーザのプロファイルを調整し、テストする

必要があります。

多くの環境では、配備、ブロックモードへの移行、ファイアウォールの使用には IT 管理部

門の承認が必要です。この承認に時間がかかる場合があります。

注意: このプロセスの詳細については、『McAfee Host Intrusion Prevention 8.0 製品ガイド』またはヘルプを参照してください。

表 2: 潜在的な危険と改善策

推奨されるベストプラクティス最優先で回避すること

最初は重大度高のシグネチャだけをブロックします。こ

のレベルでは、最も重大な脆弱性に対する攻撃を阻止で

ログから情報を収集せずに重大度中と重大度高のシグネ

チャをブロックする。

きますが、誤検知が発生する場合があります。重大度中

のシグネチャは機能しますが、サポートへの問い合わせ

を少なくするために調整が必要になります。

デスクトップを分類してアプリケーションと権限を評価

します。最も単純なシステムから始めて、大半のグルー

すべてのシステムが同じポリシーを使用することを前提

にする。

プに当てはまる標準の使用方法プロファイルを作成しま

す。検討後、ユーザと使用方法プロファイルを段階的に

追加します。

重要なユーザグループを選択し、代表的なユーザでパイ

ロットプロジェクトを行います。選ばれたユーザから

ユーザの操作性に対するテストをほとんど実行しない。

フィードバックを受け取り、アプリケーションが正常に

機能しているかどうか確認します。ポリシーによって生

産性が阻害されていなければ、導入の範囲を広げます。

ユーザには良い第一印象を与える必要があります。

ウイルス対策と異なり、保護の精度と効率を維持するに

は定期的な監視と保守作業が必要です。ログを確認する

Host IPS を単発的に使用する。

時間を取り、配備が完了したら週に 1 回以上ルールを更

新します。

IPS から始め、必要であればファイアウォールを追加し

ます。ポリシーの作成方法を学習し、適切な保護タイプ

IPS とファイアウォールを同時に有効にする

を熟知すれば、変更と結果の関係をより簡単に理解でき

ます。

作成されたルールを監視する時間がある場合に、適応モー

ドは期間限定で使用してください。

Host IPS またはファイアウォール機能を適応モードで使

用し続ける。

トラフィックが不正かどうか時間をかけて確認します。

パケットキャプチャ、ネットワーク IPS などを使用し

てください。

システムが侵入と検出したものをすぐにブロックする。

短期間で実装するためのベストプラクティス


1. 戦略の立案

2. パイロット環境の準備

3. インストールと設定

4. 最初の調整作業

5. 適応モードでの実行 (オプション)

6. 調整の修正

7. 保守作業と展開

1. 戦略の立案調整プロセスの最初のステップは、システム保護戦略について検討することです。現実的な

目標を設定し、それに従ってパイロット環境を構築し、配備計画を立てます。

パイロットでの優先順位の定義

組織のセキュリティ目標をよく理解し、それに合わせてパイロットプロセスを調整します。

すぐに対策を講じなければならない問題が見つかるかもしれません。大まかな監視期間を設

定して、クライアントコミュニティで実際に何が起きているのか調査する場合もあります。

どの組織も、保護の強化と生産性の維持のどちらを優先させるのか難しい判断をしています。

最初の段階で優先順位を明確にすると、このプロセスを簡単に行うことができます。

次の質問について考えてみましょう。

• 監査で問題になったセキュリティ領域または最近発生したインシデントは何か

• 最も脆弱なシステムはどれか

• モバイル環境のノート PC を優先するか

• 重要なユーザコミュニティまたはシステムグループでの脆弱性の除去が法令で義務付け

られているか

多くの場合、管理された企業環境内に存在するノート PC が最も脆弱な存在となります。こ

れらのシステムは IPS の最初の対象となります。重要なサーバの保護強化を必要としている

企業もあります。このようなビジネスに不可欠なシステムは、パイロット環境で慎重に導入

作業を行う必要があります。主な目標が定まったら、以降のステップでその優先順位を付け

ていきます。

パイロット環境の定義

少数のシステムを選択してテストを実施するパイロット環境を構築します。サブネットが 3

つでノード数が 100 くらいの環境を構築し、保護レベルを段階的に強化していきます。段階

的に展開していくことで、発生した問題の対応も容易になります。

システムを主な種類に分類してパイロット環境に追加します。実装の複雑さに応じて、Host

IPS は次の環境をサポートします。

• 標準的なデスクトップまたはノート PC。この環境では、一般ユーザに管理者権限がなく、

システムでアプリケーションのインストールや削除を実行できません。複数のユーザプ

ロファイルを作成し、それぞれに標準のアプリケーション環境を定義することもできま

す。

• パワーユーザ向けに特化したデスクトップまたはノート PC。この環境では、特別なユー

ザに管理者権限が設定され、固有のアプリケーションのインストールが許可されていま

す。一般に、管理者やソフトウェア開発者がパワーユーザになります。管理者権限が適

短期間で実装するためのベストプラクティス1. 戦略の立案


切に付与されていない場合もあります。管理者権限で制御する必要のないシステムではこ

れらの権限を使用せず、調査と調整が必要なシステムの範囲を絞り込む必要があります。

• 専用のデータベース、Web、電子メール、その他のアプリケーションが実行されているサー

バ。プリントサーバやファイルサーバも含まれます。

ラボ環境か本稼働環境か

多くの企業では、新しい製品をインストールする前にラボ環境でテストを行っています。本

稼動システムのイメージを作成し、これらのイメージを制限付きの環境でテストしてから配

備しています。

この方法で McAfee Host Intrusion Prevention を使用すると、ルールの最初のベースライ

ンを短時間で設定できますが、ユーザの多様性には対応できないなため、全体的には有効と

は言えません。テスト実施者がユーザの動作を真似しますが、正規の活動の細かい点までは

把握できません。ユーザやマルウェアは常に新しい使い方を見つけています。このような新

しい動作を例外として不用意に許可すると、すぐに対応が必要なイベントが生成されたり、

検出が回避される可能性があります。いずれの場合も、時間を浪費する結果となり、後で問

題が発生することになります。

学習の大半は、本稼働環境で動作中のシステムで発生します。厳選されたシステムと日々の

作業を実際に行うユーザで実際のテストを行うのが最も望ましい方法です。この方法では、

実際のユーザがシステムとアプリケーションを操作するので、最も信頼性の高いベースライ

ンを設定することができます。また、変更による影響をフィードバックですぐに確認できま

す。

この 2 つのモデルを組み合わせるのも良い方法です。ラボ環境でテストを行うことで、McAfee

Host Intrusion Prevention のプロセスとポリシーをよく理解することができます。いくつ

かの使用方法プロファイルをテストしたら、これらのプロファイルを本稼働環境のパイロッ

トに移行します。ラボ環境でテストを実施しなかった活動やアプリケーションが本稼働環境

のパイロットで見つかる場合があります。慎重な対応を必要とする組織では、このように 2

段階のテストが最適です。

ヒント: 管理者はパイロットシステムに物理的にアクセスする必要があります。無人の事務

所やホームユーザは最初のパイロットグループから除外します。

適切なユーザの選択

システムの種類を理解したら、パイロットでの使用方法プロファイルとシステムを特定しま

す。最終的に対象となるユーザコミュニティから複数の種類のユーザを選択します。これに

より、正常なビジネス要件と使用状況を反映したルールとポリシーを作成できます。たとえ

ば、標準的なコールセンターやヘルプデスクは、マネージャ、フロントラインサポート、

バックラインサポートから構成されます。McAfee Host Intrusion Prevention が全範囲で

使用できるポリシーを作成し、使用できるように、少なくとも 1 つ以上の使用方法プロファ

イルを追加します。

導入戦略オプション 1:簡単な環境から始める

初期段階の保護を短時間で実装し、高度な保護レベルまでの移行をスムーズに行うため、標

準的なデスクトップとノート PC に基本的な保護を実装し、パワーユーザ向けのデスクトッ

プとサーバではロギング機能を有効にすることをお勧めします。

まず、IPS 保護を選択して IPS オプションポリシーを適用し、次に基本的な McAfee デフォ

ルト IPS ルールポリシーを適用します。このポリシーは、重大度高のシグネチャを生成す

る活動をブロックします。調整の必要はありません。イベントはほとんど生成されません。

この設定では、次の処理が行われます。

• 重大度高のシグネチャを生成する活動はブロックされますが、他のすべてのシグネチャは

無視されます。



• McAfee アプリケーションは、IPS 自己保護ルールを除き、すべてのルールで信頼できる

アプリケーションとして扱われます。これらのアプリケーションは、例外イベントを生成

することなく実行されます。

• 定義済みのアプリケーションやプロセスは保護されています。

コンピュータの製造元やモデルは異なりますが、これらはほぼ同じカテゴリに分類されます。

IPS 機能では重大度高の問題を高い確率で阻止できます。たとえば、McAfee では、出荷時の

基本的な保護レベルで Microsoft の月次パッチの問題の 90% 以上に対応できます。デフォ

ルトの保護レベルでも十分な効果が得られます。

この「簡単な環境から始める」戦略を強く推奨します。サーバは最も保護すべき重要なシス

テムですが、最も複雑な場合もあります。配備はより慎重に行う必要があります。IPS ルー

ルは、最終的には正規のアプリケーションを許可し、サーバのパフォーマンスや最適化が維

持されるように調整されます。稼働中のミッションクリティカルなシステムでルールを試行

錯誤で調整することは危険が伴います。

同様に、パワーユーザのシステムでは、様々なアプリケーションが実行され、スクリプトの

実行権限などの特別な権限が設定される傾向があります。IPS を有効にすると、大量のイベ

ントが生成されます。許可とブロックを適切に行うために、これらのイベントを十分に調査

する必要があります。パワーユーザとサーバの場合、正規の使用方法を理解するまでに時間

がかかります。

監視とロギング

パイロットでの検証で問題がなければ、システムの種類別にシグネチャをロギングではなく

実際に施行できます。正規の活動を学習すれば、ルールを調整してポリシーを修正できます。

このプロセスについては、このガイドの後半で説明します。

標準デスクトップで基本的な保護を有効にしたら、これらのシステムで重大度中の問題の記

録を開始できます。この監視で、制御を厳しくしたときに IPS 機能が検出する他のイベント

を発見できます。ロギングモードでは、量と種類を確認できるので、システムの動作を把握

することができます。この最初の段階では、予期しない問題や混乱が発生しないように、ロ

ギングを有効にすることをお勧めします。事業の区切りになるまでイベントの記録を継続す

ると、アプリケーションと活動の全体を把握できます。少なくとも 1 が月以上、可能であれ

ば四半期は記録を継続してください。この操作を自動的に実行するには、拡張保護の準備ポ

リシーを使用します。この設定では、重大度高のシグネチャがブロックされ、重大度中のシ

グネチャが記録されます。残りのシグネチャは無視されます。

他のシステム、サーバ、パワーユーザのデスクトップの場合には、重大度中と重大度高のシ

グネチャを監視し、記録します。重大度中と重大度高の両方を記録するデフォルトの設定は

ありません。既存のポリシーを複製してカスタマイズする必要があります。重大度中と重大

度高のイベントだけを監視すると、無駄な情報を省き、適切なレベルの関連情報を取得する

ことができます。特定のアプリケーションに合わせてサーバプラットフォームが調整されて

いたり、開発者が独自のツールや複雑なコンパイラを使用している場合もあります。

ヒント: 監視とロギングを有効にしても、システムやアプリケーションの操作に影響を与え

てはなりません。しかし、McAfee Host Intrusion Prevention の稼動後は、ロギングのみの

モードで実行されていても、システムを監視する必要があります。この製品は、アプリケー

ションやオペレーティングシステムで低レベルの通信を行うため、一部のアプリケーション

のパフォーマンスに影響を及ぼす場合があります。

展開計画

パイロットでの検証で問題がなければ、システムの種類別にシグネチャをロギングではなく

実際に施行できます。正規の活動を学習すれば、ルールを調整してポリシーを修正できます。

このプロセスについては、このガイドの後半で説明します。



導入戦略オプション 2:デフォルトのポリシーを使用する

一部の環境では、McAfee のデフォルト設定を使用して、すべてのシステムに基本的な保護プ

ロファイルを配備しています。この方法は、調整などをあまり行わずにコアとなる IPS 保護

機能を使用したい場合に最適です。製品購入の主な目的が IPS でなければ、最小限の作業で

配備を行い、大きな攻撃から保護された状態にすることができます。

オプションの選択

オプション 1 は、IPS によって最高の保護対策を実装することができます。オプション 2

では、信頼性の高い保護対策を簡単に実装できます。置かれているリスク状況に合わせて適

切なオプションを選択してください。

2. パイロット環境の準備優先順位、対象、保護戦略を定義したら、技術的な前提条件を満たす環境を整え、インストー

ルを実行する前にシステム上の問題をすべて解決しておく必要があります。このような準備

を行うことで、この機能に関係のない問題に悩まされることなく、IPS の配備作業に専念す

ることができます。

McAfee ePolicy Orchestrator と McAfee Agent のインストールまたは更新

McAfee Host Intrusion Prevention をインストールする前に、ePolicy Orchestrator サー

バをインストールし、管理対象のホストに McAfee Agent をインストールする必要がありま

す。

McAfee Host Intrusion Prevention を正しく利用するには、ePolicy Orchestrator でポリ

シーを扱う方法について理解しておく必要があります。ePolicy Orchestrator でポリシーを

作成する方法が分からない場合には、ePolicy Orchestrator のマニュアルを参照してくださ

い。

ePolicy Orchestrator の役割

McAfee Host Intrusion Prevention では、ePolicy Orchestrator を使用して、事業やユー

ザ環境の変化に合わせて組織固有のポリシーとルールを定期的に調整し、配備します。ePolicy

Orchestrator の優れたインフラを利用することで、エラーの発生を抑え、矛盾のないポリ

シー適用を行うことができます。また、状態をビジュアルに確認できるので、管理作業の効

率も向上します。

短期間で実装するためのベストプラクティス2. パイロット環境の準備


プロセスの概要:

図 2: ePolicy Orchestrator を使用した Host Intrusion Prevention のインストールとメ

ンテナンス

• ePO サーバが各ホストの McAfee Agent に接続し、管理対象システムに IPS クライアン

トをインストールします。

• ePO コンソールで IPS ポリシーを作成し、保守します。

• ePO サーバがホストシステムのエージェントにポリシーを送信します。

• エージェントが IPS クライアントにポリシーを送信します。

• IPS クライアントがポリシーを施行し、イベント情報を生成します。この情報をエージェ

ントに送信します。

• エージェントがイベント情報を ePolicy Orchestrator に転送します。

• ePO サーバは、指定された間隔またはオンデマンドで McAfee リポジトリからコンテンツ

と機能の更新を取得します。エージェントは、これらの更新をサーバから取得し、IPS ク

ライアントを更新します。

• ポリシーが変更されると、エージェントが更新後のポリシーを取得し、IPS クライアント

を更新します。

短期間で実装するためのベストプラクティス2. パイロット環境の準備


ePO サーバによる使用方法プロファイルとクライアントのセットアップ

Web サーバ、ノート PC、キオスクなど、使用タイプにごとに異なる ePO 使用方法プロファ

イルを作成します。最終的には、これらのプロファイルを特定の IPS ポリシーに関連付ける

ことになりますが、例外を管理する前にこれらのプロファイルを設定しておくと便利です。

クライアントを論理的に分類します。クライアントは、ePO システムツリーの階層に一致す

る基準で分類できます。たとえば、最初のレベルを地理的な場所で分類し、次のレベルをオ

ペレーティングシステムプラットフォームや IP アドレスで分類します。システムの種類

(サーバかデスクトップ)、主要なアプリケーションの用途 (Web、データベースまたはメール

サーバ)、戦略的な配置場所 (DMZ またはイントラネット) など、Host Intrusion Prevention

の設定条件に従ってクライアントを分類してください。

ヒント: ePO サーバでは、システムに論理的なタグを設定できます。タグは、システムに手

動または自動的に適用されるラベルです。タグは、パイロットグループへのシステム分類

や、レポート生成の基準として使用できます。

名前付けの規則も重要です。誰もが簡単に理解できる規則を設定する必要があります。シス

テムツリー上でクライアントは名前で区別されます。また、特定のレポートやクライアント

上の動作で生成されるイベントデータでも名前で区別されます。

パイロットシステムの正常性の確認

クライアントが認識されたら、配備の妨げになるシステム問題が存在していないかどうか確

認する必要があります。ePO サーバやシステムイベントログなど、関連するログファイル

を調べます。不適切な設定やシステム異常を示すエラーや生涯を確認し、McAfee Host

Intrusion Prevention をインストールする前に問題を修正します。調査する主な要素は次の

とおりです。

• パッチレベル－すべてのドライバとアプリケーションが最新の状態かどうか。古いメ

ディアプレーヤーやオーディオプレーヤー、Internet Explorer、ネットワークカード

のドライバには、配備失敗の原因となる問題が見つかっています。最新のパッチと HotFix

を適用する必要があります。

• 互換性のないソフトウェア－ホスト上で他の侵入検知またはファイアウォールが動作し

ていないかどうか。これらのアプリケーションは無効にするか、削除する必要がありま

す。

• 管理者権限でのアクセス－システムにアクセスするには管理者権限が必要です。ユーザ

に管理者権限があるかどうかも重要です。ユーザがテスト中に新しいアプリケーションを

インストールしてしまうと、テストプロセスに支障をきたす可能性があります。ユーザ

から管理者権限を削除できない場合には、パワーユーザと異なるプロファイルの環境に

システムを配置してください。

• 組織の考慮事項－異なる言語が使用されていたり、場所固有のアプリケーションや社内

アプリケーションが実行されているシステムでは特別な配慮が必要です。このようなシス

テムは、配備の第 2 段階まで保留にしておくか、動作を記録して分析する時間ができる

まで特殊なアプリケーションを IPS の保護対象から除外してください。

3. インストールと設定ePO サーバで、Host IPS の拡張ファイルをインストールします。このファイルは、Host IPS

ポリシー管理のインターフェースとなります。Host IPS クライアントを ePO リポジトリに

インポートします。

短期間で実装するためのベストプラクティス3. インストールと設定


McAfee Service Portal (https://mysupport.mcafee.com/Eservice/Default.aspx) でパッチ

の有無と KnowledgeBase の記事を確認します。最新のコンテンツを

http://www.mcafee.com/us/downloads/ からダウンロードします。

初期の保護レベルと応答の設定

保護レベルを定義するか、使用方法プロファイルと関連付けます。最も簡単なものから最初

に行うという方針の場合には、標準デスクトップの使用方法プロファイルに基本的な保護レ

ベルを適用します。詳細については、製品ガイドの「IPS プロファイルの設定」または「ファイアウォールポリシーの設定」を参照してください。

ベースラインポリシーの調整 (オプション)

配備を開始する前に、保護対策のデフォルトをすぐに変更する管理者もいます。危険度高の

アプリケーション (サービスとして起動するアプリケーションやオープンネットワークに接

続するポートなど) と社内アプリケーションは自動的に保護することができます。多くの場

合、社内に配備されたアプリケーションの多くは配備時に IPS から除外されます。特に、こ

のようなアプリケーションがネットワーク接続を待機する場合には除外される頻度が高くな

ります。内部ソフトウェアの開発者は、商用アプリケーションの開発者ほどプログラムの安

全性を重視していないようです。たとえば、Internet Explorer にリンクするプログラムの

誤動作によって Internet Explorer 保護シグネチャが生成される可能性があります。内部で

開発されたアプリケーションは攻撃の標的になることはないため実際の危険度は低くなりま

す。

信頼できるネットワークのリストに脆弱性スキャナの IP アドレスを追加します。既存の

ePolicy Orchestrator とセキュリティポリシーによって、個々の使用方法プロファイルで

疑いのない動作に対する処理 (禁止/許可) のガイドラインが提供される場合があります。最

終的には、適応モードを使用して、除外したアプリケーションのルールを個別に定義し、保

護対策を実装できます。このステップは、ベースラインの保護レベルが確立され、IPS シグ

ネチャとポリシーに問題がなくなった後で実行してもかまいません。

ユーザへの通知と変更計画

IPS の保護を有効にする前に、新しい保護対策の導入をユーザに通知し、システムの変更が

発生する可能性があることを知らせる必要があります。この事前の通知により、ユーザの生

産性に対する影響を抑えることができます。特に、事務所の外でノート PC を使っているユー

ザに対しては重要な作業となります。ユーザによる IPS ブロックの変更を許可する場合、管

理者はユーザに次の情報を提供する必要があります。

• 時間制限付きのパスワード

• 機能を無効にする手順

• Host IPS の削除権限 (必要な場合)

この回避策は不用意に行わないでください。これまでの準備が無駄になる可能性があります。

この中の 2 つはパイロットの後半で解決します。詳細については、製品ガイドの「クライアント機能の定義」を参照してください。

ヘルプデスクチームの参加

ヘルプデスクに Host IPS の利用開始を通知します。ヘルプデスクでは、対応する問題を少

なくするために、IPS 開始時に発生する可能性がある兆候を認識できるように準備する必要

があります。

短期間で実装するためのベストプラクティス3. インストールと設定


https://mysupport.mcafee.com/Eservice/Default.aspx

http://www.mcafee.com/us/downloads/

パイロットホストへの Host IPS のインストール

最初は少ない数のクライアントをインストールし、問題がなければ、より多くのシステムに

展開していきます。1 つのシステムから始めて、次に 10、20、50 と増やしていき、最後は

100 システムでテストします。プロジェクトの流れは次のとおりです。

1 インストール対象のホストの電源を入れ、ネットワークに繋いで ePolicy Orchestrator

に接続します。

2 ePO 配備タスクを実行して、パイロットグループ内のいくつかのホストに Host IPS

エージェントをプッシュします。

3 インストールが成功したかどうか確認します。問題があれば、トラブルシューティング

と調整を行います。

4 より多くのシステムにインストールします。

インストールの進行中に、パイロットシステムで新しいソフトウェアが正常に動作している

かどうか確認します。また、ePO ログを監視し、サーバイベントやネットワークパフォー

マンスの低下を確認します。いくつか問題が発生するかもしれません。このような問題に対

処するために、パイロットを使った段階的な導入を行っています。以下の操作を実行します。

1 Host IPS サービス (FireSvc.exe、mfefire.exe、mfevtp.exe) とフレームワークサー

ビス (McAfeeFramework.exe) が開始しているかどうか確認します。

2 これは非常に重要です。会計処理、文書編集、電子メール、インターネットアクセス、

マルチメディア、開発ツールなど、簡単なアプリケーションを実行して、正常に動作す

るかどうか確認します。可能であれば、ユーザに通常の作業を実行してもらいます。こ

れにより、正しい操作が検出されるかどうか確認できます。

3 クライアントに問題がある場合には、IPS クライアントログとクライアントオペレー

ティングシステムのログでエラーの詳細を確認できます。製品ガイドの「Host IntrusionPrevention クライアントの使い方」を参照してください。

4 パイロットグループ全体にインストールされるまで、この手順を繰り返します。

ヒント: インストール時またはポリシー変更時には、エンドユーザが通常の作業を問題なく

実行できるかどうか確認してください。導入プロジェクトを成功させる上で、このテストは

非常に重要な作業となります。

4. 最初の調整作業パイロットグループが稼働し始めたら状態の監視を行います。2 日から 7 日間はイベント

を収集し、サポート対応の準備を行います。

毎日の監視作業

毎日数分間、IPS イベントログを確認し、アクティビティの量と種類を監視します。この作

業を行うと、正常な運用レベルのガイドラインとアクティビティのパターンが分かります。

たとえば、毎日監視を行うことで、サーバの保守作業やアプリケーションの更新で定期的に

行われるプロセスと活動レベルが把握できます。この情報があれば、異常な動作や処理が発

生したときにすぐに認識することができます。

毎日確認作業を行うことで、新たに発生したイベントに対してルール、ポリシー、例外リス

トの調整が簡単になります。Host IPS では、すべてのシステムコールと API コールを監視

し、不正な活動引き起こすコールをブロックするので、きめ細かい制御を行うことができま

す。ネットワーク IPS システムと同様に、アプリケーション、ビジネス要件、ポリシー要件

の変更に合わせてルールの調整を行う必要があります。

短期間で実装するためのベストプラクティス4. 最初の調整作業


Host IPS では、活動の監視と分析、対応を行うだけでなく、ポリシーの変更と更新も行いま

す。また、ユーザ権限の設定、サーバタスク、通知、コンテンツ更新などのシステムタス

クも実行します。IPS の機能を正常に保ち、効果的に実行するには、これらの作業を運用レ

ベルで行う必要があります。

ログの確認

イベントログデータを使用すると、情報とアプリケーションに対するアクセスの自由度と

保護レベルのバランスを考慮し、ポリシーを修正することができます。通常、このバランス

はユーザの種類によって異なります。この段階では、ePO サーバを介して手動でポリシーを

調整します。ポリシーを自動的に調整する方法については、「5. 適応モードでの実行 (オプ

ション)」を参照してください。

イベント情報にアクセスするには、ePO サーバで、[レポート]、[Host IPS 8.0]、[イベント]

の順に選択します。ドルダウン機能により、イベントを発生させたプロセス、イベントの発

生時間、イベントを発生させたクライアントなどの詳細を確認することができます。誤検知

や重大度高のシグネチャなど、赤いフラグが付いているイベントを確認します。

正しいプロセスとサービスが実行されているかどうか確認します。予期したアプリケーショ

ンが実行されているかどうか、また、予期しないアプリケーションが実行されないかどうか

確認する必要があります。内部で開発されたアプリケーションなど、正規の活動でもイベン

トが記録されている可能性があります。これらの誤検知については次のステップで解決しま

す。

ヒント: ログデータは繰り返しが多いため、異なるルールが必要となるイベントを見過ごす

ことが少なくありません。大量のログを確認するときには、このようなエラーが発生しない

ように、適宜休憩を入れてください。

保護調整の開始

イベントログデータを使用して次のことを行います。

• ブロックする必要があるイベントに対する保護レベルを強化する。

• 正規のビジネス活動に対する誤検知をなくす。

次の操作を行います。

1 シグネチャに対する対応を編集する。クライアントの対処方法は次の 3 つです。

• 無視－何も行いません。イベントは記録されず、プロセスは阻止されません。

• ログに記録 - イベントはログに記録されますが、プロセスは阻止されません。

• 阻止 - イベントはログに記録され、プロセスは阻止されます。

重大度高のシグネチャには「阻止」を適用します。

2 例外を作成する。検出されたイベントの中で、正規の動作であり許可するイベントまた

は許可してログに記録するイベントを特定します。

例外ルールは、特定の条件でセキュリティポリシーを無効にします。対応応答を「無

視」に設定すると、そのイベントはログに記録されません。たとえば、ポリシーで特定

のスクリプト処理が不正な動作と見なされても、エンジニアリンググループの一部のシ

ステムでスクリプトの実行を必要とする場合があります。エンジニアリングシステムが

正常に機能させるには、このようなシステムを例外に追加し、他のシステムではスクリ

プトの実行を禁止します。これらの例外をサーバ指定ポリシーに追加し、エンジニアリ

ンググループのみに適用されるようにします。



例外を作成すると、誤検知アラートを減らし、コンソールに不要なデータや無関係のデー

タが表示されなくなります。不要な情報を排除することにより、毎日の監視作業で重要

なイベントをより速く確認することができます。

ヒント: 同じまたは類似した条件下で同様のすべてのシステムで機能するように、汎用

的な例外を作成します。

3 信頼できるアプリケーションを作成する。

信頼できるアプリケーションは、すべての IPS ルールとファイアウォールルールで除

外されているアプリケーションプロセスです。信頼できるアプリケーションには、例外

の調整に意味のない誤検知が多いプロセスだけを指定します。信頼できるアプリケーショ

ンは、使用方法プロファイルによって変わります。たとえば、テクニカルサポートで許

可されているソフトウェアアプリケーションが財務部門では禁止されていることがあり

ます。この場合、テクニカルサポートでのみ、このアプリケーションを信頼できるアプ

リケーションとして定義します。詳細については、製品ガイドの「信頼できるアプリケーションポリシーの設定」を参照してください。

4 クエリを実行する。

クエリを実行すると、特定の項目に関するデータを取得し、データのサブセットでフィ

ルタリングすることができます。たとえば、指定した期間内に特定のクライアントが報

告した重大度高のイベントなどでフィルタリングできます。頻繁に生成されているシグ

ネチャを探し、これらのシグネチャが毎日の正規のビジネス活動で、許可できるものか

どうか確認します。このようなシグネチャに対しては重大度を低くします。デスクトッ

プで発生する例外の一部は正規のアプリケーション誤動作です。このような動作を許可

する必要はありません。ユーザのアプリケーションが正常に機能していることを確認し

て、ブロックを継続します。

ヒント: イベントが発生してブロックされても、ユーザやアプリケーションに操作に影響が

ないように見える場合があります。たとえば、VMware エンベロープや Adobe アプリケーショ

ンはよくこのような振る舞いを見せます。ユーザに影響がなければ、これらのイベントは無

視できます。攻撃を受ける可能性のあるクロスサイトスクリプティングなどの脆弱性は解決

する必要があります。

調整プロセス

ユーザからクレームが届いた場合には、そのユーザに直接連絡し、アプリケーションが正常

に動作しているかどうか確認します。パイロットで調整を行う場合には、次の手順に従いま

す。

1 ポリシーを編集する－ ePolicy Orchestrator を使用して、ポリシーと対応を編集また

は作成します。

2 ポリシーを選択して適用する－ ePolicy Orchestrator を使用して、対象のシステムに

ポリシーを適用します。この作業は手動で行います。

3 変更を有効にする－ ePO コンソールで Host IPS ポリシーを変更した場合、次のエー

ジェント/サーバ間通信時にこの変更が管理対象システム上で有効になります。デフォル

トでは、この間隔は 60 分です。minutes.ポリシーをすぐに施行するには、ePO コンソー

ルからエージェントウェークアップコールを送信します。

4 変更をテストする－変更が正しく適用されているかどうか再度確認します。正規のビ

ジネス活動が阻止されていないかどうか確認します。また、IPS ネットワークトラフィッ

クが最小限になっているかどうか、対象に対する誤検知が少なくなっているかどうかも

確認します。

5 ポリシーの適用範囲を拡大する－新しいポリシーが正常に機能していれば、関連する

システムにもポリシーを適用します。

6 毎日の監視作業を継続する



IPS ポリシーの詳細については、製品ガイドの「IPS ポリシーの設定」を参照してください。

シグネチャ対応の設定や、イベントから例外と信頼できるアプリケーションを設定する方法

が記載されています。ファイアウォールポリシーの詳細については、製品ガイドの「ファイアウォールポリシーの設定」を参照してください。

ダッシュボードとレポートの設定

これで、よく正確にイベントを把握できるようになりました。次に、ePO サーバを使用して、

IPS とファイアウォールの情報を管理しやすくします。

• ポリシーの対応状況、イベントの傾向、クエリの結果、問題などを簡単に確認できるよう

に、ePO ダッシュボードを設定します。毎日の監視作業、週単位のレビュー、管理レポー

トなど、用途別にダッシュボードを保存します。

• 特定のイベントが発生したときに特定の個人にアラートを送信するように通知機能を設定

します。たとえば、特定のサーバで重大度高のイベントが発生した場合に通知を送信する

ように設定します。

• レポートを定期的に実行し、電子メールで関係者に送信するようにスケジュールを設定し

ます。

ダッシュボードとレポートの詳細については、製品ガイドの「保護の管理」を参照してくだ

さい。

監視の継続

少なくともさらに 2 週間は毎日イベントを監視し、ヘルプデスクの問い合わせ状況、異常

性、誤検知の数を確認します。ここでは、導入プロセスを慎重に行っているので、サポート

への問い合わせや問題はそれほど多く発生しないはずです。また、調整が必要な個所も少な

いはずです。

ユーザやマルウェアが IPS 保護を回避するような回避策は行わないでください。モジュール

の無効化や Host IPS クライアントの削除は許可しないでください。

5. 適応モードでの実行 (オプション)ソフトウェアを配備してから一通りの業務が終了したら、カスタムポリシーを作成して対象

を限定したルールを実装します。このようなポリシーは手動でも定義できますが、適応モー

ドを使用すると、ホスト上の活動に基づいて IPS ルールポリシーを作成できます。このモー

ドでは管理者の作業は必要ありません。アプリケーションを実行すると、アクションを許可

するために例外が作成されます。適応モードの場合、不正な活動 (重大度高のシグネチャ)

でなければ IPS イベントは生成されず、活動もブロックされません。例外は IPS クライア

ントルールとして ePO サーバに記録されるので、状況を監視できます。

パイロットで適応モードのホストを設定して、使用方法プロファイルまたはアプリケーショ

ンごとに設定を調整します。IPS 機能では、選択したクライアントルールをサーバ指定ポリ

シーに変換できます。調整が完了したら、適応モードをオフにして、システムへの侵入を厳

しく制限します。

ロギングモードで実行すると、活動の頻度を確認できます。同様に、適応モードでは、活動

の範囲と種類を確認できます。この 2 つのツールを併用すると、組織の正規のビジネス活動

に適切なベースラインを設定することができます。パイロットサイクルでは確認できなかっ

た不規則な活動が見つかった場合には、例外を確認し、必要に応じてルールを手動で作成し

ます。たとえば、社内のアプリケーションを 4 か月に 1 回使用するユーザがいた場合、こ

の活動がログに記録されず、適応モードのサイクルでも検出されない可能性があります。

短期間で実装するためのベストプラクティス5. 適応モードでの実行 (オプション)


デフォルトでは、適応モードは重大度高のシグネチャをすべてブロックします。したがって、

重大度中と重大度高のシグネチャを管理する場合に適応モードを使用します。これにより、

無駄な情報を排除し、活動状況を的確に把握できるようになります。

適応モードは効率的に例外ルールを作成します。ただし、特定のシステムで一部の活動が許

可されない場合があります。また、新しい保護を考慮していない場合もあります。このため、

適応モードは期間限定で使用する必要があります。作成された例外を確認し (各例外にはイ

ンスタンスが 1 つだけ存在します)、適応モードで作成されたルールの中で使用できないルー

ルを無効にします。

適応モードを適用する場合には、[クライアントルールの保持] ポリシーオプションを選択

します。このオプションを選択しないと、ポリシー施行間隔ごとに新しいルールが削除され、

再学習が必要になります。適応モードをオフにして施行段階に移行する場合には、[クライア

ントルールの保持] オプションをオフにして、ePOで配信されるポリシーで施行されないルー

ルを削除します。

適応モードの適用

1 適応モードは期限付きで適用します (1 週間から 4 週間)。

2 クライアントルールを評価します。

3 不適切なルールを無効にします。

4 [IPS クライアントルール] タブで、正規のクライアントルールを他のクライアントの

ポリシーに直接移動します。

5 適応モードをオフにします。

6 設定されている場合には、[クライアントルールの保持] オプションをオフにします。

ヒント: 知らないうちに新しいルールが作成されないように、適応モードを必ずオフにして

ください。

ベストプラクティス

• 正常な活動をすべて検出するために、少なくとも 1 週間はクライアントを適応モードで

実行します。バックアップやスクリプト処理など、スケジュールで実行される活動の回数

を選択します。

• クライアントルールを ePO コンソールで管理し、通常表示、フィルタリング表示または

集計表示でルールを確認します。

• 自動的に作成されたクライアントルールを使用して、より詳しいポリシーを新たに定義

するか、既存のポリシーに新しいルールを追加し、更新後のポリシーを他のクライアント

に適用します。

• [クライアントルールの保持] ポリシーオプションを選択します。選択しないと、ポリ

シー施行間隔ごとにルールが削除されます。

• 作成された例外を確認します。ここで危険な活動を阻止できない場合には、適応モードを

オフにします。

• 新しいアプリケーションの例外を作成するために、一時的に適応モードをオンにし、例外

をポリシーに追加します。

適応モードで IPS ポリシーを使用する方法については、製品ガイドの「IPS ポリシーの設定」を参照してください。適応モードでファイアウォールポリシーを使用する方法について

は、製品ガイドの「ファイアウォールポリシーの設定」を参照してください。

注意: 適応モードでは、正規の活動と正規外の活動の両方が許可されます。これらの活動を

受け入れるルールは、管理者の承認なしで作成されます。作成されたルールごとに記録され

る例外イベントは１つだけです。ルールの作成後、同じ活動は報告されません。通知は 1

短期間で実装するためのベストプラクティス5. 適応モードでの実行 (オプション)


回しか送信されないので、承認されないルールを排除するには確認と対応を慎重に行う必要

があります。

6. 調整の修正ここまでで、活動に対するベースラインの応答が決まりました。次に、保護レベルを向上さ

せ、施行します。この作業を行うには、IPS 保護ポリシーで適切なカテゴリを選択します。

これらの調整作業は毎日の監視作業の中で行うことも、パイロット段階で繰り返し行うこと

もできます。既存の保護レベルでシステムを正常に動作させるため、各段階の後で少なくと

も 2 週間が経過してから変更の必要性を検討します。

最大の保護レベル

IPS 保護ポリシーの拡張保護カテゴリを使用すると、重大度高と重大度中のシグネチャが阻

止され、残りのシグネチャは無視されます。ポリシーの拡張保護の準備カテゴリでは、中間

段階として重大度中のシグネチャのロギングを先に実行します。ロギングを有効にすると、

保護レベルを強化したときに影響を受ける活動について詳しい情報が提供されます。これに

より、精度の高いポリシー管理を行い、予期しない問題の発生を防ぐことができます。

業務が問題なく継続している場合には、保護設定を基本から拡張に変更します。ネットワー

ク内の他のシステムにもこの作業を行います。ポリシーの最大保護カテゴリは保護された専

用の動作環境に最適です。最大保護では重大度低のシグネチャもブロックされるので、十分

なテストを行ったうえで慎重に配備する必要があります。最大保護を有効にする前に、試験

的に最大保護の準備カテゴリを使用すると、変更による影響を確認できます。

非常に慎重に導入作業を進めている場合、これまでに説明してきた手順に従ってパイロット

と同じ保護レベルで変更を行うことができます。変更を検証するテストサイクルの前に回避

策と適応モードを有効にした場合には、テストサイクル終了後にこれらを無効にしてくださ

い。

調整の継続

例外と発生した問題を確認します。最初の調整段階で説明した手順に従って、これらの例外

と問題を管理します。

• ヘルプデスクへの問い合わせを監視し、アクセスのブロック、誤検知、新しいアプリケー

ションによるクレームや問題を確認します。このような問題は最小限に抑える必要があり

ますが、常に新しい要件が発生します。

• 生成された例外を定期的に確認します。

• ポリシーを適宜調整します。ePO サーバからホストシステムにポリシーの更新を送信し

ます。これらのポリシーを関連するシステムに適用する必要があります。

7. 保守作業と展開前のステップまでで基本的な導入プロセスを概観しました。システムに中レベルの保護を実

施したら、高度な保護レベルに移行します。引き続き、定期的に監視を行い、ポリシーの更

新とシステムの保守作業を行う必要があります。ここでは、保護するシステムの拡大と保護

レベルの強化について検討します。このレベルでは、より強固なポリシーと Host IPS の機

能を実行します。

短期間で実装するためのベストプラクティス6. 調整の修正


保守作業

McAfee は、新しいシグネチャの更新を頻繁にリリースしています。また、機能の更新やパッ

チも適宜提供しています。推奨されるベストプラクティスは次のとおりです。

• 更新スケジュールを設定し、ePO サーバが定期的に McAfee リポジトリから更新を取得

し、クライアントが更新を利用できるようにします。

• 最初の導入時に調整が必要なカスタムアプリケーションの数が多い場合には、パイロッ

トグループのシステムのテスト用として Host IPS コンテンツをリポジトリの「評価バー

ジョン」ブランチに配置します。パイロットグループが新しいコンテンツを認証したら、

コンテンツを「最新バージョン」ブランチに移動し、広範囲に配備することができます。

• Microsoft 製品を使用している場合には、毎月第 1 火曜日のパッチリリースに合わせて

コンテンツダウンロードのスケジュールを設定します。

• ルールを調整する時間やリソースがない場合があるため、新しいアプリケーションをイン

ストールした後に適応モードでシステムのプロファイルを作成し、その結果作成されたク

ライアントルールをサーバに送信します。これらのクライアントルールを既存のポリ

シーまたは新しいポリシーに追加し、そのポリシーを他のコンピュータに適用し、新しい

ソフトウェアを処理することができます。

• 変更管理とソフトウェアリリースのプロセスに IPS のテストを追加します。Microsoft

のパッチ、サービスパックまたは製品の配備を準備するときに、パイロット環境の IPS

システムでテストを行います。これにより、大量に配備する前に十分な調整を行うことが

できます。

展開

組織によっては、次のいずれかのオプションで配備環境を展開できます。ユーザへの影響を

最小限にし、異常をすぐに診断できるようにするため、変更の導入を段階的に行う必要があ

ります。誤った設定を行ったり、有効な保護オプションを見落とすよりも、慎重に作業を進

めるべきです。

次の手順で展開します。

• テスト済みの使用方法プロファイルを使用して、追加したシステムに同じ保護を配備しま

す。大半のコンピュータは少数の使用方法プロファイルですむため、数千台のコンピュー

タでも Host IPS を簡単に管理できます。少数のポリシールールを保守するだけですむ

ため、大規模な配備の管理でも容易に行うことができます。

• パイロット環境に標準化されたデスクトップしかなく、ロギングを有効にして適応モード

で実行している場合には、このプロセスをパワーユーザとサーバにも行います。

• 新しい使用方法プロファイルとユーザコミュニティを追加します。

• ファイアウォールルールを実装します。パイロットプロセスに従います。ルールと学習

モードの詳細については、製品ガイドを参照してください。

短期間で実装するためのベストプラクティス7. 保守作業と展開


ePolicy Orchestrator へのインストール

このバージョンの Host Intrusion Prevention を使用するには、購入したセキュリティ対策

と実行中の ePolicy Orchestrator のバージョンに応じて、ePolicy Orchestrator に 1 つ

以上の拡張ファイルをインストールする必要があります。

必要な拡張ファイルは次のとおりです。

表 3: ファイアウォール機能のみ

機能必要な拡張ファイルファイル名McAfee ePO のバー

ジョン

ファイアウォール機能Host Intrusion Prevention

8.0.0

HOSTIPS_8000.zip4.0

Host Intrusion Prevention 8.0

の情報を含む ePO ヘルプ

ePO ヘルプhelp_epo_103x.zip


8.0.0

HOSTFW_8000_45.zip4.5

自動応答機能*Host IPS の詳細拡張ファイル



ヘルプコンテンツ:hip_800_help


8.0.0

HOSTFW_8000_46.zip4.6





* Host Intrusion Prevention 8.0.0 拡張ファイルがインストールされている場合にのみ有

効

表 4: IPS とファイアウォール機能


ジョン

ファイアウォール機能Host Intrusion Prevention 8.0.0HOSTIPS_8000.zip4.0

IPS 機能*Host IPS ライセンスの延長HostIPSLicense.zip



ePO ヘルプhelp_epo_103x.zip

ファイアウォール機能Host Intrusion Prevention 8.0.0HOSTIPS_8000_45.zip4.5


IPS 機能*Host IPS ライセンスの延長




ファイアウォール機能Host Intrusion Prevention 8.0.0HOSTIPS_8000_46.zip4.6



ジョン


IPS 機能*Host IPS ライセンスの延長




* Host Intrusion Prevention 8.0.0 拡張ファイルがインストールされている場合にのみ有

効

ePolicy Orchestrator 4.5 と 4.6 の場合には、1 つの拡張ファイルに複数の .zip ファイ

ルが含まれています。これらは別々の拡張ファイルとしてインストールされます。それぞれ

の機能は前述のとおりです。Host Intrusion Prevention 8.0 がインストールされた ePolicy

Orchestrator 4.0 をバージョン 4.5 または 4.6 にアップグレードするには、 Host IPS の

詳細拡張ファイル (HostIpsAdv.zip) と Help コンテンツ拡張ファイル (help_hip_800.zip)

の 2 つの拡張ファイルをインストールする必要があります。この操作を行うには、該当する

バージョンの ePolicy Orchestrator に Host Intrusion Prevention の拡張ファイルをイン

ストールします。あるいは、拡張ファイルを開いて、インストールされていない拡張ファイ

ルをインストールします。拡張ファイルの ZIP ファイルの内容は次のとおりです。

表 5: ZIP 形式の複数の拡張ファイルのコンテンツ

HOSTIPS_8000_46.zipHOSTIPS_8000_45.zipHOSTFW_8000_46.zipHOSTFW_8000_45.zip

• HOSTIPS_8000_Lite.zip• HOSTIPS_8000.zip• HOSTIPS_8000_Lite.zip• HOSTIPS_8000.zip

• HostIpsAdv.zip • HostIPSLicense.zip• HostIPSLicense.zip• HostIpsAdv.zip

•• • HostIpsAdv.zip• HostIpsAdv.zip.ziphelp_hip_800.ziphelp_hip_800.zip

•• help_hip_800.ziphelp_hip_800.zip

目次

拡張ファイルのインストール

拡張ファイルの削除

拡張ファイルのインストールHost Intrusion Prevention をインストールするには、ePolicy Orchestrator に製品の拡張

ファイルを追加します。Host IPS 拡張ファイルを更新または置換する場合にも、このプロセ

スを実行します。

操作を始める前に

Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場合には、

Host Intrusion Prevention 7.0.5 拡張ファイルに更新してから Host Intrusion Prevention

8.0 拡張ファイルをインストールしてください。これにより、バージョン 8.0 ポリシーのイ

ンストールと移行が正常に行われます。

タスク

1 ePolicy Orchestrator 4.0 の場合には、[設定]、[拡張ファイル] の順に移動します。

ePolicy Orchestrator 4.5 以降の場合には、[ソフトウェア]、[拡張ファイル] の順に

移動します。

2 [拡張ファイルをインストール] をクリックします。

ePolicy Orchestrator へのインストール拡張ファイルのインストール


3 [拡張ファイルのインストール] ダイアログボックスで、必要な Host IPS 拡張ファイ

ルの ZIP ファイルへのパスを選択して、[OK] をクリックします。

注意: このプロセスは、完了までに数分がかかる場合があります。

4 拡張ファイルがインストールされてサマリ画面が表示されたら、[OK] をクリックしま

す。

5 手順 2 から手順 4 を繰り返して、必要な拡張ファイルをインストールします。

• ePolicy Orchestrator 4.0 では、Host Intrusion Prevention 8.0.0 と Host IPS

ライセンスの延長 (インストールされている場合) が管理対象製品リストに表示さ

れます。

• ePolicy Orchestrator 4.5 と 4.6 では、Host Intrusion Prevention が管理対象

製品リストに表示され、インストールされている製品拡張ファイルが右ペインに表

示されます。

拡張ファイルの削除ePolicy Orchestrator サーバから Host Intrusion Prevention 8.0 を削除するには、拡張

ファイルを削除します。

注意: 拡張ファイルを削除すると、すべてのポリシーとポリシー割り当てが削除されます。

McAfee サポートの指示がない限り、この操作をトラブルシューティング目的で行わないでく

ださい。

• ePolicy Orchestrator 4.0:[設定]、[拡張ファイル] の順に移動し、[管理対象製品] リ

ストで [Host Intrusion Prevention 8.0.0] (または [Host IPS ライセンスの延長]) を

選択して [削除] をクリックします。

• ePolicy Orchestrator 4.5 以降:[ソフトウェア]、[拡張ファイル] の順に移動し、[管理

対象製品] リストで [Host Intrusion Prevention] を選択します。左側のページで、イ

ンストールされている拡張ファイルの [削除] リンクをクリックします。

注意: 複数の Host Intrusion Prevention 8.0 拡張ファイルがインストールされている場合

には、次の順番で削除してください。

1 Host IPS ライセンスの延長

2 Host IPS の詳細拡張ファイル

3 Host Intrusion Prevention 8.0.0

Host IPS ライセンスの延長を削除して再度インストールすると、ホストとネットワークの両

方の IPS が無効になります。これらの IPS は、IPS オプションポリシーを使用して手動で

有効にする必要があります。

ePolicy Orchestrator へのインストール拡張ファイルの削除


ポリシーの移行

バージョン 6.1 または 7.0 ポリシーを 8.0 形式に変換しないと、McAfee Host Intrusion

Prevention 6.1 または 7.0 のポリシーをバージョン 8.0 のクライアントで実行できませ

ん。Host Intrusion Prevention 8.0 では、ePolicy Orchestrator の [自動処理] の下にあ

る Host IPS ポリシー移行ツール機能を使用すると、ポリシーを簡単に管理できます。移行

中にポリシーが変換され、移動されます。ポリシーを移行すると、ポリシーカタログで該当

する Host IPS 8.0 製品機能とカテゴリの下に表示され、ポリシー名の後に [6.1] または

[7.0] という文字列が続きます。

次の場合を除き、すべてのポリシーが変換され、対応するバージョン 8.0 ポリシーに移行さ

れます。

• アプリケーションブロックオプションポリシーは移行されません。バージョン 8.0で

は、これらのポリシーは削除されました。

• アプリケーションブロックルールポリシーは IPS ルールポリシーに移行され、「ア

プリケーションフックと呼び出し保護 <名前> [6.1 または 7.0]」という名前に変わり

ます。バージョン 8.0 では、これらのポリシーは削除されています。これらのポリシー

が IPS ルールポリシーに移行されると、アプリケーション保護ルールリストは空にな

ります。例外リストには、「アプリケーションフックで信頼できる」と設定されたデフォ

ルトの信頼アプリケーションの例外が残ります。移行後のポリシーを使用するには、マル

チインスタンスポリシー設定で個人用のデフォルト IPS ルールを割り当てる必要があり

ます。このポリシーは、コンテンツの更新により最新のアプリケーション保護リストを使

用します。

注意: アプリケーションブロックルールポリシーでフックがブロックされるアプリ

ケーションは移行されません。このアプリケーションは、移行後に IPS ルールポリシー

のアプリケーション保護ルールに手動で追加する必要があります。

• ファイアウォール隔離オプションポリシーは移行されません。バージョン 8.0では、こ

れらのポリシーは削除されました。

• ファイアウォール隔離ルールポリシーは移行されません。バージョン 8.0では、これら

のポリシーは削除されました。

• IPS クライアントルールとファイアウォールクライアントルールは移行されません。

注意: 継承が無効になっている場合を除き、ポリシー割り当ては移行時に自動的に実行されます。ポリシーを移行した後は必ずポリシー割り当てを確認してください。

移行シナリオ

バージョン 8.0 へのポリシーの移行は、6.1 と 7.0 のポリシーの場合と似ています。これ

は、すべてのプラットフォームに該当します。

バージョン 8.0 への移行方法...移行前の Host Intrusion Prevention のバージョン...

6.1 • Host IPS 8.0 拡張ファイルを ePolicy Orchestrator

にインストールします。


バージョン 8.0 への移行方法...移行前の Host Intrusion Prevention のバージョン...

• Host IPS 8.0 の移行機能を実行して 6.1 のポリシー

を 8.0 のポリシーに移行します。移行後のポリシーと

ポリシー割り当てを確認します。

• Host IPS 8.0 クライアントを配備し、Host IPS 6.1

クライアントと入れ替えます。

• 最新のコンテンツを Host IPS 8.0 クライアントに配

備します。

7.0.x • Host IPS 8.0 拡張ファイルを ePolicy Orchestrator

にインストールします。

• Host IPS 8.0 の移行機能を実行して 7.0 のポリシー

を 8.0 のポリシーに移行します。移行後のポリシーと

ポリシー割り当てを確認します。

• Host IPS 8.0 クライアントを配備し、Host IPS 7.0

クライアントと入れ替えます。

• 最新のコンテンツを Host IPS 8.0 クライアントに配

備します。

ヒント: Host Intrusion Prevention 6.1/7.0 の拡張ファイルがインストールされている場

合には、Host Intrusion Prevention 7.0.5 拡張ファイルに更新してから Host Intrusion

Prevention 8.0 拡張ファイルをインストールしてください。これにより、バージョン 8.0

ポリシーのインストールと移行が正常に行われます。

目次

以前のバージョンからのポリシーの移行

XML ファイルによるポリシーの移行

以前のバージョンからのポリシーの移行Host Intrusion Prevention 8.0 のインストール後に McAfee Host Intrusion Prevention

6.1 または 7.0 拡張ファイルが存在している場合、最も簡単な方法は既存のすべてのポリ

シーを直接移行する方法です。

タスク

1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。

2 ePO ポリシーカタログ内の Host IPS 6.1 ポリシーまたは ePO ポリシーカタログ内

の Host IPS 7.0 ポリシーの [アクション] で移行をクリックします。

3 ポリシーの移行が完了したら、[閉じる] をクリックします。

バージョン6.1 または 7.0 の IPS、ファイアウォール、全般機能ポリシーがバージョ

ン 8.0 に変換され、名前の後に [6.1] または [7.0] が付きます。アプリケーション

ブロックルールのポリシーは、アプリケーションフック保護 [6.1]または [7.0] の

IPS ルールポリシーに変換されます。

注意: ポリシー移行を再度実行すると、同じ名前で移行されたポリシーは上書きされま

す。このプロセスは必須です。既存の 6.1 または 7.0 ポリシーはすべて移行されます。

移行するポリシーを選択する場合には、XML ファイルを使用して移行プロセスを実行し

てください。

ポリシーの移行以前のバージョンからのポリシーの移行


XML ファイルによるポリシーの移行McAfee Host Intrusion Prevention 6.1 または 7.0 の拡張ファイルがインストールされて

いない場合、1 つのポリシーを選択して XML ファイルをエクスポートすると、XML ファイル

を使用して移行ができます。また、ポリシーを選択して移行する場合にも同じ操作が実行で

きます。このプロセスでは、最初に 6.1 または 7.0 ポリシーを XML 形式にエクスポートし

ます。次に、XML ファイルの内容を変更し、McAfee Host Intrusion Prevention 8.0 ポリ

シーに変換します。この XML ファイルは Host IPS 8.0 ポリシータログにインポートされ

ます。


このプロセスを実行するには、エクスポートされたポリシーを含む XML ファイルが存在して

いなければなりません。[ポリシーカタログ] ページまたは個々の Host IPS ポリシーペー

ジで [エクスポート] を選択し、ポリシーを XML ファイルにエクスポートします。

タスク

1 [自動処理]、[Host IPS ポリシー移行ツール] の順にクリックします。

2 XML ファイルの Host IPS 7.0 ポリシーのアクションで、[移行] をクリックします。

3 [ポリシー XML ファイル] ダイアログボックスで、移行する Host IPS 6.1 の XML ま

たは Host IPS 7.0 の XML file を検索して、[OK] をクリックします。XML ファイルが

バージョン 8.0 形式のポリシーに変換されます。

4 変換後の XML ファイルへのリンクを右クリックして、ファイルを保存し、インポートに

使用します。

5 XML ファイルを ePO ポリシーカタログにインポートします。ポリシーのエクスポート

とインポートの詳細については、ePolicy Orchestrator のマニュアルを参照してくださ

い。

ポリシーの移行XML ファイルによるポリシーの移行


Windows クライアントのインストール

このセクションでは、ワークステーションまたはサーバ向けの McAfee Host Intrusion

Prevention 8.0 Windows クライアントの要件、プロパティ、インストール方法について説明

します。

目次

Windows クライアントの詳細

リモートからの Windows クライアントのインストール

ローカルでの Windows クライアントのインストール

ポリシーと IPS コンテンツの適用

Windows クライアントの削除

Windows クライアントの詳細Host Intrusion Prevention 8.0 の Windows クライアントは、ePolicy Orchestrator 4.0

以降、McAfee Agent 4.0 以降および Host Intrusion Prevention 8.0 拡張ファイルで機能

します。ePolicy Orchestator のインストール方法、システム、データベースおよびソフト

ウェアの要件については、『ePolicy Orchestrator インストールガイド』を参照してくだ

さい。

ハードウェア最小要件

ワークステーションまたはサーバ向けの Windows クライアントのハードウェア要件とネット

ワーク要件は次のとおりです。

• プロセッサ－ Intel または AMD x86/x64

• ディスクの空き容量 (クライアント) － 15 MB。ただし、インストール時は 100 MB。

• メモリ－ 256 MB 以上の RAM

• ネットワーク環境－ Microsoft または Novell NetWare ネットワーク。NetWare ネット

ワークの場合には TCP/IP が必要です。

• NIC －ネットワークインターフェースカード。10mbps 以上。

サポートされるオペレーティングシステム

Windows XP SP2、SP3 (32 ビットのみ)

• Professional Edition

Windows Vista、Vista SP1 (32 ビット/64 ビット)

• Business Edition

• Enterprise Edition

• Ultimate Edition


Windows 7 (32 ビット/64 ビット)

• Professional Edition

• Enterprise Edition

• Ultimate Edition

Windows Server 2003 SP2、2003 R2、2003 R2 SP2 (32 ビット/64 ビット)

• すべてのエディション

Windows Server 2008、2008 SP1、2008 SP2、2008 R2 (32 ビット/64 ビット)

• すべてのエディション

サポートされる仮想プライベートネットワーク (VPN) クライアント

• AT&T Global Network Services Client 7.6、8.1

• CheckPoint VPN Client R60、R71

• Cisco IPSec VPN Client 5.0

• Cisco SSL VPN Client 2.4

• Citrix SSL 4.5.6

• F5 Firepass 1200 6.1 (6031.2009.1010.312)

• iPass 3.5

• Juniper Netscreen VPN Client 10.7

• Juniper Network Connect SSL VPN v6.4

• Microsoft Forefront UAG 2010

• Microsoft VPN

• NCP Secure Entry Client for Win32/64

• NetMotion Mobility XE 7.2

• Nortel Contivity VPN Client 10.x

• SafeNet HARemote v2.0 VPN Clients

• SonicWALL Global VPN Client 4.0

• WatchGuard VPN

サポートされる仮想化プラットフォーム

• VMware ESX 3.5、4.0

• VMware Vsphere 4.0

• VMware View 4 3.1、4.0

• VMware Thin App 4.0、4.5

• VMware ACE 2.5、2.6

• VMware Workstation 6.5、7.0

• VMware Player 2.5、3.0

• VMware Server 1.0、2.0

• Citrix Xen Server 5.0、5.5

• Citrix Xen Desktop 3.0、4.0

• Citrix Xen App 5.0、6.0

• Microsoft Hyper-V Server 2008、2008 R2

Windows クライアントのインストールWindows クライアントの詳細


• Microsoft Windows Server 2008 Hyper-V 2008、2008 R2

• Microsoft VDI (バンドル)

• MED-V 1.0、1.0 SP1

• App-V 4.5、4.6

• SCVMM 2008、2008 R2

• SCCM 2007SP2、2007 R2

• SCOM 2007、2007 R2

• Microsoft App-V 4.5、4.6

• Windows 7 XP モード (32 ビット/64 ビット)

サポートされるデータベース

• MS SQL 2000

• MS SQL 2005

• MS SQL 2008、2008 R2

リモートからの Windows クライアントのインストールクライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の

マスターリポジトリに追加してからクライアントコンピュータに配備します。詳細につい

ては、『ePolicy Orchestrator 製品ガイド』を参照してください。

タスク

1 ePolicy Orchestrator 4.0 の場合には、[ソフトウェア]、[マスターリポジトリ] の順

に移動し、[パッケージのチェックイン] をクリックします。ePolicy Orchestrator 4.5

以降の場合には、[アクション]、[パッケージのチェックイン] の順に選択します。

2 [製品またはアップデート (.ZIP)] を選択して [参照] をクリックします。

3 Host IPS クライアントパッケージの .zip ファイルを選択し、[開く] をクリックしま

す。

4 [次へ] をクリックして [保存] をクリックします。

5 [システム]、[システムツリー] の順に移動し、クライアントコンピュータをインス

トールするシステムのグループを選択します。

6 ePolicy Orchestrator 4.0 の場合には、[クライアントタスク] に移動し、[新規タス

ク] をクリックします。ePolicy Orchestrator 4.5 以降の場合には、[アクション]、[新

規タスク] の順に選択します。

7 タスクビルダウィザードで、タスクの名前を指定してタスクリストから [製品配備]

を選択し、[次へ] をクリックします。

8 クライアントのプラットフォームを選択し、インストールする製品として [Host Intrusion

Prevention 8.0] を選択して [次へ] をクリックします。

9 タスクの実行スケジュールを設定して [次へ] をクリックし、[保存] をクリックしま

す。タスクをすぐに実行するように設定した場合、エージェントウェークアップコー

ルを実行します。

Windows クライアントのインストールリモートからの Windows クライアントのインストール


ローカルでの Windows クライアントのインストールePolicy Orchestrator を使用せずに、Windows ワークステーション、ラップトップ、または

サーバにクライアントソフトウェアを直接インストールすることができます。この操作は手

動で実行することも、他社製のソフトウェアを使用して複数のシステムに配備することもで

きます。


以前のバージョンのクライアントが存在する場合には、インストールを実行する前に IPS 保

護を無効にします。

タスク

1 クライアントのインストールパッケージファイルをクライアントコンピュータにコ

ピーします。

2 パッケージに含まれているインストールプログラム (McAfeeHip_ClientSetup.exe) を

実行します。

3 画面の指示に従い、インストールを完了してください。

ポリシーと IPS コンテンツの適用クライアントをインストールしたら、システム情報と Host Intrusion Prevention 8.0 のプ

ロパティが ePO コンソールにレポートされることを確認します。詳細については、『ePolicyOrchestrator 製品ガイド』を参照してください。

これで Windows クライアント用の IPS ポリシーを監視および配備する準備ができました。

詳細については、『Host Intrusion Prevention 8.0 製品ガイド』を参照してください。

クライアントで最新のコンテンツを使用するため、最新の Host Intrusion Prevention コン

テンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックインし

ます。コンテンツの更新は、クライアントで McAfee Agent の [今すぐ更新] コマンドを実

行すると取得できます。ただし、Host Intrusion Prevention の管理者によって、この更新

プロセスが設定されている必要があります。詳細については、『McAfee Host IntrusionPrevention 製品ガイド』の「Host IPS 保護の更新」を参照してください。

ePO コンソールから製品のパッチとアップグレードを配備する場合には、『ePolicyOrchestrator 製品ガイド』の手順に従ってください。

製品のパッチとアップグレードをインストールするには、IPS 保護が無効になっていること

を確認してから、この章で説明した手順に従ってインストールしてください。

他社製のソフトウェアで Host Intrusion Prevention をクライアントコンピュータに配備

している環境向けに、自動アップグレードなどの保守作業に役立つユーティリティ

(client_control.exe) を用意しています。このコマンドラインユーティリティはクライア

ントパッケージに含まれています。このユーティリティをインストールスクリプトとメン

テナンススクリプトに追加すると、IPS 保護を一時的に無効にし、ロギング機能を有効にす

ることができます。このコマンドの使用方法の詳細については、『McAfee Host IntrusionPrevention 製品ガイド』の「付録 B. Clientcontrol.exe ユーティリティ」を参照してくだ

さい。パラメータやセキュリティなどの説明が記載されています。

Windows クライアントのインストールローカルでの Windows クライアントのインストール


Windows クライアントの削除Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ

の配備タスクを実行して削除することも、クライアントコンピュータ上で直接削除すること

もできます。

ePO サーバからの操作する場合

• クライアントに配備タスクを実行し、Host Intrusion Prevention のアクションとして

[削除] を選択します。

クライアントコンピュータ上で直接操作する場合

システムトレイアイコンでクライアントコンソールが使用できない場合には、クライアン

トが削除できるように、コンソールをアクセス可能にします。

タスク

1 ePO サーバで、ソフトウェアを削除するシステムを選択します。

2 Host Intrusion Prevention のクライアント UI ポリシーオプション「[アプリケーショ

ンの追加と削除] のリストに製品を表示する」を施行します。

3 Host Intrusion Prevention の配備タスクを [無視] に設定します。

4 クライアントコンピュータで、パスワードを入力してクライアントインターフェース

のロックを解除します。

5 [ホスト IPS を有効にする] の選択を解除します。

6 コントロールパネルの [アプリケーションの追加と削除] を使用して、Host Intrusion

Prevention を削除します。

7 コンピュータを再起動します。

Windows でのトラブルシューティングの方法クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり

ます。必要なファイルがすべて正しいディレクトリにインストールされているかどうか、ク

ライアントが実行されているかどうかを確認します。また、プロセスログも確認します。

Windows インストールファイルの確認

インストール後、フォルダとファイルがクライアントにインストールされているかどうか確

認します。インストール先のフォルダは C:\Progarm Files\McAfee\Host Intrusion Prevention

です。このフォルダには次のファイルとフォルダがインストールされています。

説明ファイル名

Host Intrusion Prevention サービスFireSvc.exe、VSCore/Release/mfefire.exe、

VSCore/Release/mfrvtp.exe

クライアントコンソールMcAfeeFire.exe

インストールの履歴は C:\Windows\Temp\McAfeeLogs\McAfeeHip8_Install_<version>.log に記録さ

れています。このファイルに「Product: McAfee Host Intrusion Prevention -- Installationoperation completed successfully」というエントリがあれば、クライアントは正しくイン

ストールされています。

Windows クライアントのインストールWindows クライアントの削除


ログファイルは C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion

Prevention\ または C:\ProgramData\McAfee\Host Intrusion Prevention (Vista、Windows 7 の場

合) にあります。

Windows クライアントの実行状況の確認

クライアントが正しくインストールされていても、操作時に問題が発生する場合があります。

たとえば、ePO コンソールにクライアントが表示されない場合は、クライアントが実行され

ているかどうかを確認してください。コマンドプロンプトを開き、tasklist \svc と入力しま

す。次のサービスが実行されているかどうか確認します。

• FireSvc.exe

• mfefire.exe

• mfevtp.exe

実行されていない場合、次の操作を実行します。

1 C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe を実行して、ク

ライアントコンソールを開きます。

2 コンソールのロックを解除します。[タスク]、[ユーザインターフェースのロック解除]

の順に選択し、デフォルトのパスワード (abcde12345) を入力します。

3 デバッグを設定します。[ヘルプ]、[トラブルシューティング] の順に選択して、ファイ

アウォールと IPS に詳細デバッグログを有効にします。

4 ホスト IPS とネットワーク IPS の両方を無効にします。

5 コマンドプロンプトを開いて net start enterceptagent を実行し、クライアントサービ

スを開始します。

サービスが開始しない場合には、FireSvc.log ファイルでエラーメッセージまたは警告メッ

セージを確認し、サービスが開始しない原因を調べます。

Host IPS イベントのトリガー状況の確認

クライアントが正しくインストールされ、正常に実行されたら、IPS 保護が機能しているか

どうか確認します。まず、クライアントコンソールで Host IPS を有効にします。次に、ク

ライアントのインストールディレクトリ (C:\Progarm Files\McAfee\Host Intrusion

Prevention) にテキストファイルを作成します。この操作は拒否され、この場所に保存する

権限がないことを示すエラーメッセージが表示されます。HipShield.log の最初から終わり

までチェックし、違反がないかどうか確認します。次のシグネチャがトリガーされているこ

とを確認します。「1001 Windows Agent Shielding -- File Modification.」

Windows クライアントの停止トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 IPS 保護を無効にします (有効になっている場合)。次のいずれかの操作を実行します。

• ePO コンソールで [IPS オプション] を [オフ] に設定し、このポリシーをクライア

ントに適用します。

Windows クライアントのインストールWindows クライアントの停止


• クライアントコンソールを開き、[IPS ポリシー] タブで [ホスト IPS を有効にす

る] の選択を解除します。

注意: クライアントを停止するために、ファイアウォールを無効にする必要はありませ

ん。

2 コマンドプロンプトを開き、次のコマンドを実行します。net stop enterceptagent

Windows クライアントの再起動トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 コマンドプロンプトを開き、次のコマンドを実行します。net start enterceptagent

2 IPS 保護が無効になっている場合には、以下のいずれかの手順で再度有効にします。

• ePO コンソールで [IPS オプション] を [オン] に設定し、このポリシーをクライア


• クライアントコンソールを開き、[IPS ポリシー] タブで [ホスト IPS を有効にす

る] を選択します。

Windows クライアントのインストールWindows クライアントの再起動


Solaris クライアントのインストール

このセクションでは、McAfee Host Intrusion Prevention 8.0 の Solaris クライアントの

要件、プロパティ、インストール方法について説明します。このクライアントにより、Solaris

サーバ上のファイルとアプリケーションを侵害する有害な攻撃を未然に防ぐことができます。

特に、サーバオペレーティングシステム、Apache Web サーバおよび Sun Web サーバを

バッファオーバフロー攻撃から保護します。

目次

Solaris クライアントの詳細


Solaris クライアントの削除

Solaris でのトラブルシューティングの方法

Solaris クライアントの停止

Solaris クライアントの再起動

Solaris クライアントの詳細Host Intrusion Prevention 8.0 の Solaris クライアントは、ePolicy Orchestrator 4.0

以降、McAfee Agent 4.0 および Host Intrusion Prevention 8.0 管理コンポーネントで機

能します。ePolicy Orchestator のインストール方法と使い方については、『ePolicyOrchestrator インストールガイド』を参照してください。


• SPARC sun4u/sun4v (32 ビット/64 ビットプラットフォーム)

• 256 MB 以上の RAM

• ハードディスクに 10 MB 以上の空き容量


• SPARC Solaris 9、sun4u (32 ビット/64 ビットカーネル)

• SPARC Solaris 10、sun4u/sun4v (64 ビットカーネル)

サポートされる Web サーバ

• Apache 1.3.6 以降の Web サーバ



• Sun Java Web Server 6.1

• Sun Java Web Server 7.0


ポリシーの適用

Solaris クライアントでは、一部の Host Intrusion Prevention 8.0 ポリシーは使用できま

せん。Host Intrusion Prevention は、危険な攻撃からホストサーバを保護しますが、ファ

イアウォールは提供しません。有効なポリシーは次のとおりです。

使用可能なオプションポリシー

HIP 8.0 全般:

なし。ただし、トラブルシューティングツールで [管理者] と [時間

ベースのパスワード] が使用できます。クライアント UI

なし信頼できるネットワーク

[ファイアウォールで信頼できると設定] を除くすべて信頼できるアプリケーション

HIP 8.0 IPS:

IPS オプション • ホスト IPS を有効にする

• 適応モードを有効にする

• 既存のクライアントルールを保持する

すべてIPS による保護

IPS ルール • 例外ルール

• [シグニチャ] (デフォルトとカスタム HIPS ルールのみ)

注意: NIPS シグニチャと [アプリケーション保護ルール] は使用でき

ません。

すべてIPS イベント

すべてIPS クライアントルール

HIP 8.0 ファイアウォール:

なしファイアウォールオプション

なしファイアウォールルール

なしファイアウォール DNS ブロック

注意: クライアントは、グローバルゾーンとローカルゾーンの両方をサポートします。イ

ンストールできるのはグローバルゾーンだけです。

Solaris ゾーンサポート

クライアントは、グローバルゾーンとローカルゾーンの両方を保護しますが、常にグロー

バルゾーンにインストールされます。特定のゾーンに保護を限定するには、IPS ルールポ

リシーのシグネチャを編集し、ゾーンセクションを追加してゾーンの名前を値として記述し

ます。

たとえば、/zones/app がルートの app_zone というゾーンを指定すると、シグネチャルー

ルは app_zone のファイルにのみ適用され、グローバルゾーンには適用されません。このリ

リースでは、Web サーバ保護を特定のゾーンに限定することはできません。この例のルール

は次のようになります。

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

Solaris クライアントのインストールSolaris クライアントの詳細


シグネチャの編集方法については、製品ガイドまたはヘルプの「付録 A カスタムシグネチャの作成」を参照してください。

リモートからの Solaris クライアントのインストールクライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の



タスク






す。










Prevention 8.0] を選択して [次へ] をクリックします。




ローカルでの Solaris クライアントのインストールePolicy Orchestrator を使用せずに、Solaris サーバにクライアントソフトウェアを直接

インストールすることができます。クライアントのインストールファイルをクライアント

コンピュータにコピーして、必要なコマンドを実行します。以前のバージョンのクライアン

トが存在する場合には、インストールを実行する前に IPS 保護を無効にします。

注意: クライアントはローカルゾーンをサポートしますが、インストールできるのはグロー

バルゾーンだけです。

タスク

1 クライアントインストールパッケージをダウンロードして、MFEhip.pkg ファイルと

install_hip_solaris ファイルを抽出します。

2 root でログインし、次のコマンドを実行します。./install_hip_solaris MFEhip.pkg

Solaris クライアントのインストールリモートからの Solaris クライアントのインストール



ロパティが ePO サーバに報告されることを確認します。詳細については、『ePolicyOrchestrator 製品ガイド』を参照してください。

Solaris クライアント用の IPS ポリシーを監視および配布する準備ができました。詳細につ

いては、『McAfee Host Intrusion Prevention 8.0 製品ガイド』を参照してください。



ます。詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「Host IPS保護の更新」を参照してください。

Solaris クライアントの削除Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ


もできます。





クライアントコンピュータから手動で削除する前に、ePO サーバでクライアントの IPS ポ

リシーを無効にする必要があります。

• クライアントコンピュータに root としてログオンし、次のコマンドを実行しま

す。/opt/McAfee/hip/install_hip_solaris -uninstall

Solaris でのトラブルシューティングの方法クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり



Solaris インストールファイルの確認

インストール後、すべてのファイルがクライアント上の適切なディレクトリにインストール

されていることを確認してください。/opt/McAfee/hip ディレクトリに、次のファイルとディ

レクトリが存在している必要があります。

説明ファイル名/ディレクトリ名

Solaris クライアントHipClient; HipClient-bin

ポリシールールHipClientPolicy.xml

トラブルシューティングツールhipts; hipts-bin

Host Intrusion Prevention と ePO エージェントの共有オブジェク

トモジュール

*.so

Solaris クライアントのインストールポリシーと IPS コンテンツの適用



ログファイル (HIPShield.log と HIPClient.log) が存在します。log directory

インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion

Prevention クライアントのインストールプロセスまたは削除プロセスについて疑問点があ

る場合には、このファイルを参照してください。

Solaris クライアントの実行状況の確認


たとえば、ePO コンソールにクライアントが表示されない場合は、次のいずれかのコマンド

を使用して、クライアントが実行されているかどうかを確認してください。

• /etc/rc2.d/S99hip status

• ps –ef | grep Hip

Solaris クライアントの停止トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 IPS による保護を無効にします。次のいずれかの操作を実行します。



• root でログインし、次のコマンドを実行します。hipts engines MISC:off

2 次のコマンドを実行します。/etc/rc2.d/S99hip stop

Solaris クライアントの再起動トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 次のコマンドを実行します。/etc/rc2.d/S99hip restart

2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、次のい

ずれかを実行します。



• root でログインし、次のコマンドを実行します。hipts engines MISC:on

Solaris クライアントのインストールSolaris クライアントの停止


Linux クライアントのインストール

このセクションでは、McAfee Host Intrusion Prevention 8.0 の Linux クライアントの要

件、プロパティ、インストール方法について説明します。このクライアントにより、Linux

サーバ上のファイルとアプリケーションを侵害する有害な攻撃を未然に防ぐことができます。

目次

Linux クライアントの詳細


Linux クライアントの削除

Linux でのトラブルシューティングの方法

Linux クライアントの停止

Linux クライアントの再起動

Linux クライアントの詳細Host Intrusion Prevention 8.0 の Linux クライアントは、ePolicy Orchestrator 4.0 以

降、McAfee Agent 4.0 および Host Intrusion Prevention 8.0 管理コンポーネントで機能

します。ePolicy Orchestator のインストール方法と使い方については、『ePolicyOrchestrator インストールガイド』を参照してください。


• Intel または AMD x86/x64

• 512 MB 以上の RAM

• ハードディスクに 20 MB 以上の空き容量


• Red Hat Linux Enterprise 4 (32 ビット)

• 2.6.9-5.EL

• 2.6.9-5.Elhugemem

• 2.6.9-5.ELsmp


• 2.6.9-5.EL

• 2.6.9-5.ELsmp


• 2.6.18-8.el5

• 2.6.18-8.el5PAE



• 2.6.18-8.el5

• SUSE Linux Enterprise 10 (32 ビット)

• 2.6.16.21-0.8-bigsmp

• 2.6.16.21-0.8-default

• 2.6.16.21-0.8-smp


• 2.6.16.21-0.8-default

• 2.6.16.21-0.8-smp


• 2.6.27.19-5-default

• 2.6.27.19-5-pae


• 2.6.27.19-5-default

サポートされる Web サーバ




ファイルシステムと HTTP 保護

Linux クライアントは、オペレーティングシステムのファイルとプロセスを保護します。

ネットワーク保護機能、バッファオーバーフロー対策、HTTP トラフィックの監視機能は搭

載されていません。

Linux クライアントでのポリシーの実施

Linux クライアントでは、一部の Host Intrusion Prevention 8.0 ポリシーは使用できませ

ん。Host Intrusion Prevention は、危険な攻撃からホストサーバを保護しますが、ファイ

アウォールは提供しません。有効なポリシーは次のとおりです。


HIP 8.0 全般:

なし。ただし、トラブルシューティングツールで [管理者] と [時間

ベースのパスワード] が使用できます。クライアント UI

なし信頼できるネットワーク

[ファイアウォールで信頼できると設定] を除くすべて信頼できるアプリケーション

HIP 8.0 IPS:

IPS オプション • HIPS を有効にする

• 適応モードを有効にする

• 既存のクライアントルールを保持する

すべてIPS による保護

IPS ルール • 例外ルール

Linux クライアントのインストールLinux クライアントの詳細



• [シグニチャ] (デフォルトとカスタム HIPS ルールのみ)

注意: NIPS シグニチャと [アプリケーション保護ルール] は使用でき

ません。

すべてIPS イベント

すべてIPS クライアントルール

HIP 8.0 ファイアウォール:

なしファイアウォールオプション

なしファイアウォールルール

なしファイアウォール DNS ブロック

リモートからの Linux クライアントのインストールクライアントを ePO サーバから配備するには、配備パッケージを ePolicy Orchestrator の



タスク






す。










Prevention 8.0.0] を選択して [次へ] をクリックします。




注意: クライアントをバージョン 7.1.0 からアップグレードする場合には、Linux シス

テムの再起動が必要になります。

Linux クライアントのインストールリモートからの Linux クライアントのインストール


ローカルでの Linux クライアントのインストールePolicy Orchestrator を使用せずに、Solaris サーバにクライアントソフトウェアを直接

インストールすることができます。クライアントのインストールファイルをクライアント

コンピュータにコピーして、必要なコマンドを実行します。以前のバージョンのクライアン

トが存在する場合には、インストールを実行する前に IPS 保護を無効にします。

タスク

1 クライアントのインストールパッケージから次の .rpm ファイルを Linux システムに

コピーします。


1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH4.i386.rpm

2 MFEhiplsm-8.0.0.-<ビルド番号>.RH4.i386.rpm


1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH4.x86_64.rpm

2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.RH4.x86_64.rpm



1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH5.i386.rpm



1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.RH5.x86_64.rpm

2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.RH5.x86_64.rpm



1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE10.i386.rpm

2 MFEhiplsm-8.0.0.-<ビルド番号>.SUSE10.i386.rpm


1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE10.x86_64.rpm

2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.SUSE10.x86_64.rpm



1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE11.i386.rpm



1 MFEhiplsm-kernel-8.0.0.-<ビルド番号>.SUSE11.x86_64.rpm

2 MFEhiplsm-apache-8.0.0.-<ビルド番号>.SUSE11.x86_64.rpm


2 次のコマンドを実行します。rpm -i <name of rpm file> (上の順番で各 rpm に実行)

注意: クライアントをバージョン 7.1.0 からアップグレードする場合には、Linux シス

テムの再起動が必要になります。

Linux クライアントのインストールローカルでの Linux クライアントのインストール



ロパティが ePO サーバに報告されることを確認します。詳細については、『ePolicyOrchestrator 製品ガイド』を参照してください。

これで Linux クライアント用の IPS ポリシーを監視および配備する準備ができました。詳

細については、『Host Intrusion Prevention 8.0 製品ガイド』を参照してください。



ます。詳細については、『ePolicy Orchestrator 製品ガイド』を参照してください。

クライアントで最新の IPS コンテンツを使用するため、最新の Host Intrusion Prevention

コンテンツ更新パッケージをダウンロードして、ePO リポジトリに配備用としてチェックイ

ンします。詳細については、『McAfee Host Intrusion Prevention 製品ガイド』の「HostIPS 保護の更新」を参照してください。

Linux クライアントの削除Host Intrusion Prevention クライアントは、リモートから ePolicy Orchestrator サーバ


もできます。





クライアントコンピュータから手動で削除する前に、ePO サーバでクライアントの IPS ポ

リシーを無効にする必要があります。

• クライアントコンピュータに root としてログオンし、次のコマンドを実行します。rpm

-e MFEhiplsm; MFEhiplsm-kernel; MFEhiplsm-apache

Linux でのトラブルシューティングの方法クライアントのインストール時や削除時に問題が発生した場合、調査する点がいくつかあり



Linux インストールファイルの確認

インストール後、すべてのファイルがクライアント上の適切なディレクトリにインストール

されていることを確認してください。/opt/McAfee/hip ディレクトリに、次のファイルとディ

レクトリが存在している必要があります。


Linux クライアントHipClient; HipClient-bin

ポリシールールHipClientPolicy.xml

Linux クライアントのインストールポリシーと IPS コンテンツの適用



トラブルシューティングツールhipts; hipts-bin

Host Intrusion Prevention と ePO エージェントの共有オブジェク

トモジュール

*.so

ログファイル (HIPShield.log と HIPClient.log) が存在します。log directory

インストール履歴は /opt/McAfee/etc/hip-install.log に記録されます。Host Intrusion

Prevention クライアントのインストールプロセスまたは削除プロセスについて疑問点があ

る場合には、このファイルを参照してください。

Linux クライアントの実行状況の確認


たとえば、ePO コンソールにクライアントが表示されない場合には、次のコマンドを実行し

て、クライアントが実行されているかどうかを確認してください。ps –ef | grep Hip

Linux クライアントの停止トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 実行中のクライアントを停止するには、まず IPS 保護を無効にします。次のいずれかの

操作を実行します。



• root でログインし、次のコマンドを実行します。hipts engines MISC:off

2 次のコマンドを実行します。hipts agent off

Linux クライアントの再起動トラブルシューティングの際に、実行中のクライアントの停止と再起動が必要になる場合が

あります。

タスク

1 クライアントを再起動するには、次のコマンドを実行します。hipts agent on

2 IPS による保護を有効にします。クライアントの停止に使用した手順に応じて、次のい

ずれかを実行します。



• root でログインし、次のコマンドを実行します。hipts engines MISC:on

Linux クライアントのインストールLinux クライアントの停止
