侵入防御の誤検知をなくすためのDeepSecurity運用方針についてLTをしました

AmazonのプライムビデオやNetflixといった動画配信サービスが次々とやってきていろいろな映画を貪る毎日を送っている森永です。

セキュリティが叫ばれるようになって久しい昨今、インフラへの攻撃を「防ぐ」というのは常に意識をされているかと思います。
ただ、サービスを運用する上では、優良なユーザのアクセスをいかに「防がない」かも非常に重要です。

DeepSecurityには、「侵入防御」というIDS/IPSとWAFが組み合わさったような仕組みが用意されています。
先日行われた「TrendMicro Cloud Integator Consortium Communication Day」でこちらの誤検知を減らす運用についてLTを行ったので、LT資料に少し補足を加えて公開します。 あくまで一例で、うちはこんな運用をしているという意見が御座いましたらお教え頂けますと幸いです。

誤検知をなくすための運用

[slideshare id=52915645&doc=ds-150918012351-lva1-app6891]

以下、スライドに対しての補足

侵入防御とは

IDS/IPSとWAFを組み合わせたようなDeepSecurity独自の機能です。
WAFには「WEBアプリケーションの保護」というタイトルが付けられています。

脆弱性が発見された際に、公式にパッチが出るまでの期間の攻撃、所謂ゼロデイ攻撃に備えるために、まるでパッチを当てているかのように攻撃を防ぐ「仮想パッチ」という機能が備わっています。

検出モードから防御モード

およそ2週間に一回、定期的な侵入防御ルールのアップデートがあります。
それを適応する際に、「検出モード」で一括適用するということが出来ます。

一括適用した「検出モード」は、次のルールアップデートで再度「検出モード」一括適用した場合でも、自動的に「防御モード」に切り替わります。
ちなみに、手動で一つ一つ「検出モード」にすると（一括ではない）、ルールアップデート適用時に「防御モード」になることはありません。

最後に

お分かりいただいたように誤検知を本気でなくそうと考えたら、結構運用は面倒です。
TrendMicroさん側で誤検知を起こしそうなルールについては最初から検出モードで適用されるように設定されていそうなので、それを信じるというのも手だと思います。

実際の設定方法については改めて記事にしますので、今しばらくお待ち下さい。