コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=IPS-alerts

IPS 警告への対処

侵入防御システム (IPS) は、ネットワークトラフィックを監視し、検出された脅威に対応します。

これによって、エクスプロイトを悪用して、攻撃者がローカルデバイスを乗っ取ることを防止できます。受信トラフィックと送信トラフィックが監視されます。

特定のアプリケーションやネットワークトラフィックをインスペクションから除外することができます。たとえば、特定のプロトコル (HTTP など) を許可したり、アプリケーションの誤った IPS 警告を防止したりすることができます。

これには、次の手順を実行します。

  • デバイス上のファイルまたはフォルダを除外します。これによって、送信 IPS インスペクションからアプリケーションが除外されます。
  • 悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」除外を使用して、ネットワークトラフィックを除外します。

除外の詳細は、グローバル除外を参照してください。

ローカルデバイス上のアプリケーションの除外

IPS 警告 (送信検出) からアプリケーションを除外するには、次の手順を実行します。

  1. 全般設定アイコン 全般設定アイコン。 をクリックします。
  2. 全般」の下で、「グローバル除外」をクリックします。

  3. 除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  4. 除外の種類」で、「ファイルまたはフォルダ (Windows)」を選択します。

  5. 」に、除外する実行ファイルやフォルダのパスを入力します。
  6. 除外対象」で、リアルタイム検索に対して除外を指定することを選択します。
  7. 追加」をクリックします。

詳細は、アプリケーション検出の停止を参照してください。

ネットワークトラフィックの除外

このような除外では、除外に一致するトラフィックは、IPS によって監視されません。ファイアウォールを個別に設定する必要があります。

ネットワークトラフィックを除外するには、次の手順を実行します。

  1. 全般設定アイコン 全般設定アイコン。 をクリックします。
  2. 全般」の下で、「グローバル除外」をクリックします。

  3. 除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  4. 除外の種類」で、「悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」を選択します。

  5. 除外するトラフィックを指定するには、次の設定を使用します。

    • 方向: 受信または送信接続。
    • リモートアドレス: トラフィックの送受信先コンピュータのアドレス。
    • リモートポート: 他のコンピュータとの間でトラフィックが送受信されるポート。
    • ローカルポート: ローカルコンピュータでトラフィックが送受信されるポート。

    少なくともアドレスまたはポートのいずれか 1つを設定してください。

  6. 追加」をクリックします。

ほとんどの TCP 接続では、元のポートとして、ランダムなポート番号が使用されます。ローカルポートを使用し、特定のプロトコル (RDP (3389) または HTTP (80) トラフィックなど) を許可リストに追加することを推奨します。

たとえば、管理者のコンピュータ 10.10.10.15 から他のコンピュータへの RDP 接続を許可するには、次の設定を使用します。

  • 方向: 受信接続
  • ローカルポート: 3389
  • リモートポート: 空白のままにする
  • リモートアドレス: 10.10.10.15