Endpoint Protection における IPS 過剰検知の疑いへの対応

book

Article ID: 196329

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

安全だと思われる Web サイトへのトラフィックによって、Symantec Endpoint Protection (SEP) の IPS (侵入防止機能)で予期せぬ IPS イベントが発生している。

Resolution

予期せぬイベントを過剰検知だと思わないでください!  合法的な Web サイトや公開されている内部の Web サーバーが攻撃者によって侵害されてマルウェアを提供している可能性があります。また、それらのページに掲載されている悪意のある広告 (maladvertizements) が、脆弱なブラウザ向けの ドライブバイダウンロード をホストするサイトに訪問者をリダイレクトしようとしている可能性があります。また、SEP のウイルス対策コンポーネントではまだ検出されていないマルウェアがコンピュータ上でひそかに活動している可能性があり、その悪意のあるトラフィックをブロックする IPS イベントは、感染が存在することを示す「赤旗」となります。 すべての IPS イベントを慎重に検討し、「システムが感染した」IPS イベントのトリガーとなっているコンピュータで 脅威分析スキャン を実行してください。

IPS は重要なプロアクティブ技術です。 詳細については、Security Response の記事 What Symantec's Intrusion Prevention System did for you in 2015 や Connect の記事 Two Reasons why IPS is a "Must Have" for your Network に掲載されています。

IPS イベントが過剰検知であると思われる場合は、以下の手順に従ってください。

  1. SEP クライアントに最新の利用可能な IPS 定義があることを確認します。LiveUpdate を実行するか、クライアント上の「ネットワークとホストのエクスプロイト緩和機能」定義の日付が、セキュリティアップデート に記載されている最新の利用可能なものと一致しているかを比較します。
  2. 侵入がインバウンドかアウトバウンドか、送信元と送信先の IP アドレス(またはドメイン)、正確な IPS イベント番号と名前をメモしてください。(これらの詳細は、疑わしい過剰検知を報告する際に提供する必要があります)。
  3. 公開されている Web サイトにアクセスしたときに IPS イベントが発生した場合は、問題を再現するために必要な正確な URL と詳細をコピーします。
  4. それ以外の場合は、Wireshark、TCPDump、またはその他のパケットキャプチャツールを使用して、そのドメインをホワイトリストに登録するか、IPS シグネチャを無効にしてから、IPS イベントのトリガーとなるトラフィックを記録しますネットワークトラフィックをキャプチャする方法を説明するビデオ があります。トラフィックを収集した直後に、もう一度 IPS シグネチャを有効にするようにしてください。
  5. URLと詳細 (上記 3)、または .pcap (パケットキャプチャ) をシマンテックの SymSubmit サイトに提供してください。ファイルの過剰検知ではなく、IPS (Network Intrusion Detection) 検出であることを必ず明記してください。

報告された過剰検知が調査されている間、管理者が過剰検知であると確信し、IPS イベントが重要なビジネスプロセスを混乱させている場合は、一時的にシグネチャを無効にすることができます。慎重に除外を適用してください。 

詳細については、Submit suspicious files to Symantec Security Response の What if I want to submit a file that I believe is being falsely detected? を参照してください。