Intrusion Prevention Service (IPS) は、ネットワーク攻撃の署名に基づいています。ネットワークを新たな脅威から保護するため、署名データベースを常に更新しておく必要があります。新たに出現する脅威を検出するために新しい署名が常に必要であり、ときには誤検出または検出漏れとなることがあります。
誤検出は、IPS により脅威とみなされた正当のアプリケーションです。誤検出を報告するには、IPS 誤検出を報告する を参照してください。
検出漏れは、IPS により正しく特定されなかった本物の侵入です。IPS により制止されなかった攻撃を確認した場合は、以下のセクションでトラブルシューティング手順を参照してください:
IPS ログ
IPS ログを調べることで、IPS がアクションを実行した日時や、どのような攻撃を特定したかについて理解することができます。
Deny 1-Trusted 0-External tcp 10.0.1.2 198.51.100.2 55531 80 msg="ProxyDeny: HTTP Header IPS match" proxy_act="HTTP-Client.1" signature_id="1055396" severity="5" signature_name="WEB Cross-site Scripting -9" signature_cat="Web Attack" sig_vers="18.088" host="intext.nav-links.com" path="/util/intexteval.pl?action=startup" (HTTP-proxy-00)
この例では、署名 ID は 1055396 です。
IPS をテストする
IPS が適切なポリシーで有効になっていること、かつマルウェアを検出できることを確認するために、EICAR テスト ツールを使用できます。このツールを入手するには、Eicar.org を参照してください。
ポリシーを点検する
あらゆるポリシーで IPS を有効にすることができます。Intrusion Prevention 構成の ポリシー セクションで、IPS の概要を確認することができます。また、ポリシーを個別に調べて、IPS が有効かどうかを確認することもできます。
HTTPS のポリシーがプロキシ ポリシーで、その HTTPS プロキシ ポリシーでコンテンツの検査が有効にされていなければ、HTTPS 要求への侵入を検出できない可能性があります。
IPS 例外リストを確認する
IPS 例外に、攻撃の誤検出結果をバイパスする構成を含めた場合、本物の攻撃事例も許可されてしまう可能性があります。例外を調査および構成する方法の詳細については、次を参照してください:IPS 例外を構成する。