コンテンツにスキップ

IPS 警告への対処

侵入防御システム (IPS) は、ネットワークトラフィックを監視し、検出された脅威に対応します。

これによって、エクスプロイトを悪用して、攻撃者がローカルデバイスを乗っ取ることを防止できます。受信トラフィックと送信トラフィックが監視されます。

特定のアプリケーションやネットワークトラフィックをインスペクションから除外することができます。たとえば、特定のプロトコル (HTTP など) を許可したり、アプリケーションの誤った IPS 警告を防止したりすることができます。

これには、次の手順を実行します。

  • デバイス上のファイルまたはフォルダを除外します。これによって、送信 IPS インスペクションからアプリケーションが除外されます。
  • 悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」除外を使用して、ネットワークトラフィックを除外します。

除外の詳細は、グローバル除外を参照してください。

ローカルデバイス上のアプリケーションの除外

IPS 警告 (送信検出) からアプリケーションを除外するには、次の手順を実行します。

  1. グローバル設定 > グローバル除外」を参照します。
  2. 除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  3. 除外の種類」で、「ファイルまたはフォルダ (Windows)」を選択します。

  4. 」に、除外する実行ファイルやフォルダのパスを入力します。
  5. 除外対象」で、リアルタイム検索に対して除外を指定することを選択します。
  6. 追加」をクリックします。

詳細は、アプリケーション検出の停止を参照してください。

ネットワークトラフィックの除外

このような除外では、除外に一致するトラフィックは、IPS によって監視されません。ファイアウォールを個別に設定する必要があります。

ネットワークトラフィックを除外するには、次の手順を実行します。

  1. グローバル設定 > グローバル除外」を参照します。
  2. 除外の追加」をクリックします。

    除外の追加」ダイアログが表示されます。

  3. 除外の種類」で、「悪意のあるネットワークトラフィックの防止 (IPS) (Windows)」を選択します。

  4. 除外するトラフィックを指定するには、次の設定を使用します。

    • 方向: 受信または送信接続。
    • リモートアドレス: トラフィックの送受信先コンピュータのアドレス。
    • リモートポート: 他のコンピュータとの間でトラフィックが送受信されるポート。
    • ローカルポート: ローカルコンピュータでトラフィックが送受信されるポート。少なくともアドレスまたはポートのいずれか 1つを設定してください。
  5. 追加」をクリックします。

ほとんどの TCP 接続では、元のポートとして、ランダムなポート番号が使用されます。ローカルポートを使用し、特定のプロトコル (RDP (3389) または HTTP (80) トラフィックなど) を許可リストに追加することを推奨します。

たとえば、管理者のコンピュータ 10.10.10.15 から他のコンピュータへの RDP 接続を許可するには、次の設定を使用します。

  • 方向: 受信接続
  • ローカルポート: 3389
  • リモートポート: 空白のままにする
  • リモートアドレス: 10.10.10.15
トップへ