Symantec Endpoint Protection (SEP) の侵入防止機能の監査シグネチャ (Audit Signatures) についての情報が必要である。これらのシグネチャのトラフィックを検出するが遮断しない。これは想定内の動作となるか。

例: [SID: 30226] Audit: Nessus Vulnerability Scanner Activity 2 攻撃を検出しましたが遮断しませんでした。アプリケーションパス: SYSTEM

SEP の監査シグネチャはネットワーク内の潜在的に不要なトラフィックに対する認識を高めることを目的としています。デフォルトでは遮断されません。ネットワーク上の侵入防止イベントのログを監視している管理者は、これらの監査イベントを記録し、対応する監査シグネチャのトラフィックを遮断するかどうかを決定できます。

概要

SEP の 6,000 以上の侵入防止シグネチャ のうち約 200 のシグネチャが監査シグネチャです。環境で必要とされているかどうか不明なトラフィックを認識させることを監査シグネチャは目的としています。インスタントメッセンジャー・ピアツーピア共有・torrent ダウンロード・コインマイニング・脆弱性スキャンおよび類似のプログラムの使用によりシグネチャはトリガされます。このトラフィックが正常で期待されたものと考えられる場合は何もする必要はありません。このようなトラフィックが環境内で望ましくないものである場合、管理者はその監査シグネチャの [処理] を [遮断] に変更することができます。 

変更は侵入防止ポリシーの [例外] セクションで設定します。異なる種類のトラフィックを許可または遮断する複数の異なる侵入防止ポリシーを作成し、異なる SEP クライアントのグループに割り当てることも可能です。

例

セキュリティ意識の高いネットワーク管理者がネットワーク内のエンドポイントに対して脆弱性スキャンを実行したいと考えています。しかしスキャンを実行すると、スキャナを実行しているエンドポイントにポップアップが表示されます。

SEP クライアントのログでは、トラフィックが検出されたが遮断されなかったことが確認できます。

スキャンされるクライアントにも同様の検出があります (このケースでは脆弱性ツールのポートスキャンがアクティブレスポンスを引き起こし、スキャナの IP とのすべての通信を遮断しています。 このような脆弱性スキャンを行う際にはアクティブレスポンスを一時的に無効にする必要があります。詳細な推奨事項については ネットワーク脆弱性スキャンのベストプラクティス を参照してください)。このトラフィックは現時点では必要なものなので、管理者は Nessus トラフィックを許可しログ記録しない侵入防止ポリシーを作成します。スキャンの対象となる SEP クライアントグループに作成したポリシーを適用します。

脆弱性スキャンは正常に完了し次回のスキャンは予定されていません。これらのシグネチャについて管理者はポリシーの動作を [遮断] と [ログ] に変更することを決定します。もし他の誰かがネットワーク上で既知の脆弱性を調べていたら、意識を高めて遮断するのが間違いなく賢明です。

「遮断とログ」のポリシーが保存・適用されると、同じ Nessus スキャンでも異なる処理が行われるようになります。

[英語文書] About Endpoint Protection Audit Signatures