Embed Size (px)
Citation preview
Public
Public
Trend Micro Deep Security 12.0 ベストプラクティスガイド 2
Public
本ドキュメントは英語版を翻訳したものです。また、一部には翻訳ソフトウェアにより機械的に翻訳した内容が含まれます。翻訳
については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のドキュメントでご確認
ください。
このガイドについて
Deep Security は、物理サーバ、仮想サーバ、およびクラウドサーバ、ならびにハイパーバイザと仮想デスクトップを保護す
るための、サーバセキュリティのための単一のプラットフォームを提供します。緊密に統合されたモジュールは、不正プロ
グラム対策、Web レピュテーション、侵入防御、ファイアウォール、変更監視、およびセキュリティログ監視など、詳細な防
御を提供するように簡単に拡張できます。Agent レスおよび Agent ベースのオプションで利用でき、すべての物理、仮想、
およびクラウドサーバの配置を単一のコンソールで管理できます。
このガイドは、ユーザが製品の中から最高の生産性を引き出せるようにすることを目的としています。エンタープライズ規
模の導入事例、ラボでの検証、現場で得られた教訓など、これまでに培われた知識に基づくベストプラクティスを紹介して
います。
事例や注意事項はあくまでも指針であり、厳格な設計要件ではありません。これらのガイドラインは、すべての環境に適
用されるわけではありませんが、最適なパフォーマンスを得るために Deep Security を設定する際に役立ちます。
Trend Micro Incorporated は、このドキュメントおよび製品を予告なく変更する権利を有します。本ソフトウェアをインストー
ルして使用する前に、Readme ファイルおよび該当するユーザドキュメントの最新バージョンを確認してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 3
Public
このベストプラクティスガイドには次が含まれます
配置に関する考慮事項と推奨事項
Deep Security を実装するためのサーバおよびストレージリソースのサイジングのガイダンス
アップグレードのガイドラインとシナリオ
システムパフォーマンスを最大化し、管理上のオーバーヘッドを削減するための推奨設定です。
VDI、プライベートクラウド、パブリッククラウドのベストプラクティスのヒント
Trend Micro Deep Security 12.0 ベストプラクティスガイド 4
Public
謝辞
このガイドは、このプロジェクトに時間と専門知識をボランティアした以下の個人によって作成されました。
Aldrin Ceriola、Jason Dablow、Erwin Dusojan、Mohamed Inshaff、Jill Maceda、Marion Mora、Winfred Lin、Reuel Morales、
Raphael Bottino、Ebenizer Padu、Igor Valoto、Kyle Klassen,Fernando Cardoso、および Ryoma Kobayashi
また、開発とレビューの際の著しい支持と貢献に感謝します。
Shiela Aballa、Rodel Villares、Ziv Huang、Marty Tsai、Cellina Lin、Chris Lai、Paul Liang、Zion Li
ドキュメントバージョン:1.2
前回のアップデート日時:2020 年 2 月 4 日
Trend Micro Deep Security 12.0 ベストプラクティスガイド 5
Public
目次
1 環境 .......................................................................................................................................................................................8
1.1 オペレーティングシステムとデータベースシステム .....................................................................................8
1.2 VMware vSphere および NSX と Deep Security との互換性 ........................................................................8
1.3 VMware Tools および NSX エンドポイントドライバ(Agent レス Anti-Malware の場合) ............................8
1.4 Environmental 推奨設定 for Trend Micro Apex Central 統合 ......................................................................9
1.5 Deep Security12.0 の新機能 ...........................................................................................................................9
2 サイジングの考慮事項 ...................................................................................................................................................... 10
3 インストールと配置 ............................................................................................................................................................. 11
3.1 Deep Security コンポーネント ......................................................................................................................... 11
3.1.1 Deep Security Manager .................................................................................................................................11
3.1.2 Deep Security Agent /Relay ...........................................................................................................................14
3.1.3 Deep Security Virtual Appliance(DSVA) ......................................................................................................18
3.1.4 データベース .................................................................................................................................................20
3.2 VMware コンポーネント ...................................................................................................................................23
3.3 配置シナリオサンプル ....................................................................................................................................25
3.4 Deep Security のテスト ....................................................................................................................................27
4 アップグレードと移行 ...........................................................................................................................................................28
4.1 Deep Security Manager のアップグレード推奨設定: ...................................................................................28
4.2 NSX-v から NSX-T への移行 ............................................................................................................................28
4.3 Deep Security Virtual Appliance のアップグレード ........................................................................................28
5 設定 .......................................................................................................................................................................................29
5.1 UI 設定 ..............................................................................................................................................................29
5.1.1 ダッシュボード ...............................................................................................................................................29
5.1.2 アラート ..........................................................................................................................................................29
5.1.3 ポリシー .........................................................................................................................................................29
5.1.4 スマートフォルダ ...........................................................................................................................................31
5.2 モジュール構成 ............................................................................................................................................... 32
5.2.1 不正プログラム対策 .....................................................................................................................................32
5.2.2 Web レピュテーション ...................................................................................................................................43
5.2.3 ファイアウォール ...........................................................................................................................................44
5.2.4 侵入防御 .......................................................................................................................................................48
5.2.5 変更監視 .......................................................................................................................................................50
5.2.6 セキュリティログ監視 ...................................................................................................................................53
5.2.7 アプリケーションコントロール ......................................................................................................................54
5.2.8 Connected Threat Defense (CTD) ...............................................................................................................55
Trend Micro Deep Security 12.0 ベストプラクティスガイド 6
Public
5.3 管理およびシステム設定 .................................................................................................................................. 58
5.3.1 推奨設定の検索 ........................................................................................................................................... 58
5.3.2 システム設定 ................................................................................................................................................ 59
6 パフォーマンスチューニングと最適化 ............................................................................................................................... 63
6.1 Deep Security Manager ...................................................................................................................................... 63
6.1.1 Deep Security Manager の最大メモリ使用率を設定する ......................................................................... 63
6.1.2 複数の Manager を設定する ....................................................................................................................... 64
6.1.3 Deep Security Virtual Appliance のパフォーマンスに関する考慮事項 .................................................... 65
6.1.4 パフォーマンスプロファイル ........................................................................................................................ 65
6.2 データベース ...................................................................................................................................................... 69
6.2.1 不正プログラム対策検索からデータベースファイルを除外する ............................................................ 69
6.2.2 自動拡張とデータベース管理 ..................................................................................................................... 69
6.2.3 データベースのインデックス作成 ............................................................................................................... 70
6.3 Deep Security Relay ............................................................................................................................................ 70
6.3.1 Deep Security Relay の場所 ......................................................................................................................... 70
6.3.2 Relay グループ .............................................................................................................................................. 70
6.4 NSX-v .................................................................................................................................................................. 71
6.4.1 NSX ファイアウォール ................................................................................................................................... 71
6.4.2 NSX セキュリティポリシー ............................................................................................................................. 71
7 災害復旧 .............................................................................................................................................................................. 73
7.1 高可用性 ............................................................................................................................................................ 73
7.2 災害時の Deep Security の保護から仮想マシンを削除する ........................................................................ 74
7.3 物理マシン(ビジネスセキュリティクライアントを使用)の惨事復旧 ............................................................. 75
7.4 アクセス不能な Deep Security Virtual Appliance の回復 ............................................................................... 76
7.5 深刻なセキュリティ問題を隔離する ................................................................................................................ 76
8 その他の配置シナリオ ........................................................................................................................................................ 79
8.1 複数テナント環境............................................................................................................................................... 79
8.2 チーム化 NIC を使用する環境 ......................................................................................................................... 80
8.3 エアギャップ環境 ............................................................................................................................................... 80
8.4 Solaris ゾーン ...................................................................................................................................................... 81
8.5 Microsoft クラスタサーバ .................................................................................................................................. 81
8.6 Microsoft Hyper-V .............................................................................................................................................. 81
8.7 仮想化環境(VDI) .............................................................................................................................................. 82
8.8 プライベート、パブリック&ハイブリッドクラウド環境 ....................................................................................... 85
8.9 SAP ...................................................................................................................................................................... 88
8.10 IBM Rational ClearCase ..................................................................................................................................... 89
8.11 ドッカーのサポート ............................................................................................................................................. 89
8.12 ゴールドイメージからの自動有効化 ................................................................................................................ 91
Trend Micro Deep Security 12.0 ベストプラクティスガイド 7
Public
8.13 Oracle RAC クラスタ ............................................................................................................................................ 96
8.14 SAML ................................................................................................................................................................... 96
Trend Micro Deep Security 12.0 ベストプラクティスガイド 8
Public
1 環境
Deep Security 12.0 は、複数のコンポーネントで構成され、保護機能を提供します。このセクションで提供される情報は、次の製品の互換性および推奨されるソフトウェアの決定に役立ちます。
a) オペレーティングシステム
b) データベースシステム
c) VMware vSphere と NSX の互換性
d) VMware Tools および NSX ゲストイントロスペクションドライバ
1.1 オペレーティングシステムとデータベースシステム
Deep Security のヘルプセンターのシステム要件を参照してください。
1.2 VMware vSphere および NSX と Deep Security との互換性
VMware および Deep Security の互換チャートは、多くの場合、特に vSphere の新しいバージョンがリリースされたときに変わります。最新の互換チャートを入手するには、Deep Security and VMware compatibility matrix を参照してください。
1.3 VMware Tools および NSX エンドポイントドライバ(Agent レス Anti-Malware の場合)
Deep Security によって提供される Agent レスの不正プログラム対策処理では、保護するために仮想マシンに NSX ファイルイントロスペクションドライバをインストールする必要があります。
VMware Tools 9.x には VMware NSX ファイルイントロスペクションドライバが含まれていますが、初期設定ではゲスト OS にはインストールされません。ゲスト VM にゲスト VM をインストールするには、次の表のインストールオプションを確認してください。
使用可能な VMware Tools インストールオプション
インストールオプション vShield Endpoint Action
標準 NSX ファイルイントロスペク ションドライバがインストールされない
このオプションを選択しない
完了 NSX ファイルイントロスペク ションドライバエンドポイントのインストール
すべての機能を使用するかどうかを選択し ます。
カスタム
NSX ファイルイントロスペク ションドライバを明示的にインストールする必要があります
[VMware デバイスドライバ] > [VMCI ドライバ] の順に展開します。[NSX ファイルイントロスペ クションドライバ]を選択し、[この機能はローカ ルドライブにインストールされます]を選択します
表 1:VMware Tools のインストールオプション
NOTE VMware Tools にバンドルされている NSX ドライバは、vSphere を 5.5 Update 2 にバージョンアップすると、ゲス
トイントロスペクションと呼ばれるようになりました。ただし、Guest Introspection サービスは NSX 6.1 以上で使用されま
す。NSX 6.0 以下を使用している場合、このサービスの名前は VMware エンドポイントです。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 9
Public
1.4 Trend Micro Apex Central 統合環境に関する推奨事項
Trend Micro Apex Central 2019 以降は、Trend Micro Deep Security 12.0以降でサポートされ、Connected Threat
Defense 戦略が新たな脅威や標的型攻撃に対する防御に使用されます。
Deep Security で Connected Threat Defense を設定する方法の詳細については、Deep Security のヘルプセンターで
Connected Threat Defense で新しく発生する脅威を検出を参照してください。
1.5 Deep Security 12.0 の新機能
Deep Security 12.0 の主な変更点のリストについては、Deep Security ヘルプセンターの新機能を参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 10
Public
2 サイジングの考慮事項
サイジングの推奨事項は、環境の種類やネットワーク、ハードウェア、ソフトウェア、アプリケーションなどのさまざまな
要因によって異なります。Deep Security Manager、Deep Security Agent、および Deep Security Virtual Appliance の最新
サイジングのガイドラインについては、Deep Security のヘルプセンターで サイジング を参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 11
Public
3 インストールと配置
Deep Security は、相互に通信する必要があるいくつかのコンポーネントで構成されています。高度にセグメント化されたネット
ワーク環境で展開する場合は、意図しない機能の中断を防ぐために、さまざまなポートに関する知識が役立ちます。必要な
ポートがすべて開かれていることを確認してください。
Deep Security で必要なポートのリストについては、Communication ports used by Deep Security を参照してください。
3.1 Deep Security のコンポーネント
図 1:Deep Security Manager
3.1.1 Deep Security Manager
A. 配置に関する考慮事項
1. 完全修飾ドメイン名(FQDN)を使用します。Deep Security Manager の FQDN を使用するように Deep Security
Manager を定義します。FQDN は他のすべてのコンポーネントで解決できます。インストール時に正しく定義されて
いない場合は、Deep Security Manager の[管理] > [システム情報]の順に選択して変更できます。
「アクティビティグラフ付きネットワークマップ」画面で指定された Manager のアドレスまたは名前は、Deep Security
Manager に接続するために他のコンポーネントによって使用されます。
2. 少なくとも 1 つのセカンダリ Deep Security Manager ノードを配信します。これは、冗長性を確保するために配
置することをお勧めします。複数のノード Manager を設定するを参照してください。
3. Deep Security Manager の仮想マシン設定の推奨事項は次のとおりです。
vNIC ドライバとして vmxnet3 を使用します。
vDisk コントローラとしての準仮想化 SCSI を使用します。
Thick Eager Zero Disk が推奨されます。
NOTE マルチノード配置は、地理的分散に対処するためのものではありません。したがって、Deep Security Manager
のノードとデータベースは同じネットワークセグメントに属している必要があります(例:ロンドンの DSM1 / DB があり、
DSM2 がパリの WAN 経由で接続されています)。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 12
Public
4. TLS1.2 は、Deep Security 10.1 以降で強化されています。ただし、一部のユーザがそのような適用を実装できな
い可能性があります。その場合は、Deep Security のヘルプセンターで、初期の TLS (1.0) を有効にするに記載さ
れている回避策を使用してください。
B. その他の推奨設定
1. 初期設定では、インストーラは 1GB のメモリを使用するように設定されています。インストーラが失敗し、インス
トール中に「java.lang.OutOfMemoryError」エラーが発生した場合は、メモリを使用しないようにインストーラを設
定する必要があります。
インストーラで使用できるメモリサイズを設定するには
a. インストーラのあるディレクトリに移動します。
b. インストールプラットフォームに応じて、「Manager-Windows-120.xxxx.x64.vmoptions」または
「Manager-Linux-12.0.xxxx.x64.vmoptions」という新しいテキストファイルを作成します(「xxxx」はイン
ストーラのビルド番号です)。
c. ファイルを編集するには、行: "-Xmx800m"を追加します。この例では、800MB のメモリがインストーラ
で使用可能になります。
d. ファイルを保存して、インストーラを起動します。
2. Deep Security Manager では、初期設定に代わるホスト名とポートを指定して、ロードバランサを a の前に配置で
きます。
Manager のユーザインタフェースポート(4119)
Manager のハートビートポート(4120)
Relay ポート(4122)
ロードバランサを設定するには、Deep Security Manager > 管理 > システム設定 > 詳細 > ロードバランサの順に選択し
ます。このセットアップは、マルチテナント(サービスプロバイダ)環境、特にクラウド環境での使用をお勧めします。
ロードバランサを使用すると、次のことが可能になります。
ポート 4119,4120、および 4122(443 を超えるトラフィック)のトンネリング(3 つのアドレス)を持つ 3 つ
のロードバランサ
環境内の各 Deep Security Agent および Deep Security Virtual Appliance に移動するアップデートトラフ
ィックを生成せずに、Deep Security Manager ノードをオンデマンドで追加および削除できます
Trend Micro Deep Security 12.0 ベストプラクティスガイド 13
Public
ロードバランサは、トラフィックごとに異なるポートを使用するように設定できます。ロードバランサがポートのリダイ
レクトをサポートしている場合は、ポート 443 で必要なすべてのプロトコルを公開するために使用できます(3 台の
ロードバランサを使用)。
図 2:ロードバランサのサポート
すべての場合、ロードバランサは、http または SSL 通信を終了させない https ロードバランサとして設定する必要が
あります。これにより、Deep Security Agent、Deep Security Virtual Appliance、および Deep Security Manager 間の直
接の通信交換が最初から最後まで確実に実行されます。次の接続は、別のノードとのバランスをとることができま
す。
Deep Security Manager ノードの数が固定されている環境では、Deep Security Manager の前でロードバランサを
使用する必要はありません。
図 3:Deep Security Agent または Relay
NOTE 高可用性とスケーラビリティのために、Deep Security Manager は、すべてのノードの URL アドレスをすべての
Agent および仮想アプライアンスに提供します。Agent と仮想アプライアンスはリストを使用して Manager
ノードをランダムに選択し、ノードに到達するまでリストの残りの部分を試し続けます。ノードに到達できない場合は、次
のハートビートまで待機してから再度実行してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 14
Public
3.1.2 Deep Security Agent /Relay
A. 配置に関する考慮事項
1. 各コンピュータは、正常に配信されるように Deep Security Manager の完全修飾ドメイン名を解決できる必要があ
ります。
2. Deep Security Agent(DSA)または Deep Security Relay (DSR)マシンの時計は、Deep Security Manager と 24 時間以
内に同期する必要があります。時刻を NTP サーバと同期することをお勧めします。
3. Deep Security Agent または Deep Security Relay がインストールされるクライアントコンピュータにウイルスバスター
Corp.クライアントがインストールされている場合は、インストール前にドライバ(tmactmon、tmevtmgr、および
tmcomm)を完全にアンインストールする必要があります。アンインストールが完了したら、ウイルスバスターCorp.
を再起動する必要があります。
Trend Micro Deep Security Agent とウイルスバスターCorp.クライアントは同じ名前を使用しますが、Deep Security
Agent はウイルスバスターCorp.クライアントのドライバを使用できません。ウイルスバスターCorp では Deep
Security Agent を使用できません。
4. Deep Security Manager 10.3 以降では、[Relay を有効にする]ボタンは削除されました。代わりに、「Relay の管理」
に進んでください。
新しい Relay 管理ページでは、ユーザは Relay グループの説明を追加または変更できません。
5. Deep Security 12.0 のコンバインモード機能により、Deep Security Virtual Appliance と Deep Security Agent を連携させてセキュリティを確保できます。コンバインモードでは、Deep Security Agent によって何らかの保護機能が提供されるように機能が分散され、Deep Security Virtual Appliance によって他の保護機能が提供されます。冗長性またはスタンバイの概念はないため、いずれかの Agent に障害が発生すると、対応する保護機能が失われます。
ポリシーレベルまたはコンピュータレベルの[設定]メニューでは、Deep Security Agent と Deep Security Virtual
Appliance の両方が次のように存在する場合に、どのコンポーネントから保護を提供するかを選択できます。
図 4:コンバインモード
NSX Advanced または Enterprise バージョンを使用せず、ESXi ホストの統合比率が高い場合(たとえば、1 台のESXi ホストに 100 台の VM)が含まれている場合は、Deep Security Virtual Appliance にて不正プログラム対策および変更監視を選択し、それ以外機能について Deep Security Agent を選択するとパフォーマンスが向上します。
NOTE Windows 10 Agent で Relay 機能を無効にすると、完了までに 10 分以上かかることがあります。
NOTE Agent レス保護を使用すると、不正プログラムは挙動監視やエンドポイントの相関などの高度な機能
をサポートしなくなります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 15
Public
6. Deep Security Agent のインストールの前後に、コンピュータの完全修飾ドメイン名(FQDN)を確認します。Agent のイ
ンストール処理中に、ネットワークの中断が発生した。動的ホスト構成プロトコル(DHCP)の自動登録に影響するこ
とがあります。コンピュータの FQDN(インストール前後の ping -a<ip またはサーバ名>)を確認することをお勧めし
ます。自動登録で問題が発生した場合は、ipconfig/registerdns を使用するか、コンピュータを再起動してください。
7. Deep Security Agent をインストールすると、iptables(Linux)または Windows ファイアウォール(Windows)が初期設
定で無効になり、競合が回避されます。Deep Security Agent のファイアウォール機能が使用されていない場合
は、次の手順を参照して、iptables を無効にしたり、Windows ファイアウォールに変更を加えないようにしてくださ
い。
a. Windows の場合は、Windows Firewall settings changed after installing Deep Security Agent (DSA) を参照して、Windows ファイアウォールが変更されないようにするための設定を行ってください。
b. Linux の場合は、次のパスを使用して空のファイルを作成またはタッチします。
/etc/use_dsa_with_iptables
ファイルが存在する場合、Deep Security Agent のスクリプトは iptables を無効にしません。
# touch/etc/use_dsa_with_iptables
# service iptables restart
# service ip6tables restart
8. 専用の Deep Security Relay を複数インストールして、冗長性を確保し、帯域幅使用率を最適化します。少なくとも
1 つの Deep Security Relay が Deep Security 環境に必要ですが、最低 2 つを推奨します。また、Deep Security
Relay 専用のサーバを配置することをお勧めします。
9. Deep Security Relay の通信方向を双方向に設定する必要があります。そうしないと、ルールのアップデートに
失敗する可能性があります。
10. 10.0 Deep Security Manager が 10.3 Deep Security Agent を有効化すると、不正プログラム対策機能に問題が発生
することがあります。Deep Security Manager 12.0 を使用して Deep Security 10.0,11,0 および 12.0 を管理すること
をお勧めします。
11. Deep Security Agent をインストールする場合は、インストール先のコンピュータにのみインストーラ(msi、rpm)ファ
イルを送信します。ポリシーに基づいてプラグインを Deep Security Agent に配信できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 16
Public
12. 分散スイッチを使用して NSX を配信することをお勧めします。ただし、ローカルストレージを使用する場合は、次の
手順に従ってください。
a) クラスタの各 ESXi で、ローカル VM ストアとスタンダードポートグループを使用するように[エージェント仮想マシ
ンの設定]を設定します。
b) サービス配信ウィザードで、データストアとネットワークの両方で[ホストで指定済み]を選択します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 17
Public
B. Agent インストールスクリプト
Deep Security Manager のインストールスクリプトジェネレータを使用すると、Agent をインストールするコンピュータ上で
実行されるスクリプトを生成できます。スクリプトを変更して、オプションで有効化やポリシーの割り当てなどの後続のタス
クを実行することもできます。
図 5:インストールスクリプト
次のシナリオでインストールスクリプトを使用することを検討してください。
複数の Agent を配信および有効化する必要のある環境。
有効化処理とポリシーの配信を自動化します。
サーバが直接通信またはクライアントを検出できない環境で、クライアントを有効化してクライアントに配信で
きますが、クライアントは問題なくサーバにアクセスできます。
Amazon Elastic Compute Cloud(Amazon EC2)および Azure 環境では、エンドポイントにバンドルしてインスタン
スを自動スケーリングする際に使用できます。 その他の注意事項:
1. インストールスクリプトは基本機能のみをサポートしているため、すべての環境ですべてのニーズを満たすことはでき
ません。特定のニーズに合わせてスクリプトを調整します。
環境によっては、ds_agent サービスの起動が遅くなる場合があります。ds_agent サービスが開始される前に
dsa_control 有効化コマンドが送信されると、有効化が正常に機能しない可能性があります。スクリプト内のスリープ時
間を延長して、これを回避します。
たとえば、Amazon Web Services(AWS)のテストでは、スリープ時間が 60 秒を超えるように設定された場合、100 イン
スタンスの同時起動でより良い結果が得られました。これは、AWS のシステム負荷、ディスク I/O, CPU 負荷、ネット
ワーク帯域幅、およびデータベース設定に大きく依存します。
2. Amazon Web Services(AWS EC2)環境では、新しいインスタンスで Web サービスにアクセスできる必要があります。
生成された配信スクリプトで指定された URL。これは、Deep Security Manager がインターネットに接続されているか、
VPN/Direct Link を介して AWS に接続されているか、または Amazon Web Services 上に配置されていることを意味し
ます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 18
Public
3. ベーステナントは、インストールスクリプトを使用する前に Agent パッケージをインポートする必要があります(シングル
およびマルチテナント配置の場合は)。
4. Agent からの有効化機能は、有効化タスクを実行するスクリプトに対して Deep Security Manager で正しく設定されて
いる必要があります。
Agent からの有効化オプションは、[管理] > [システム設定] > [Agent]タブで有効にする必要があります。
5. 初期設定では、ポート 4118 は AWS のセキュリティグループ(ファイアウォール)で開かれていません。Deep Security
Manager コンソールからアクティベートするには、Deep Security Agent が AWS のポート 4118 で通信できる必要があ
ります。AWS のセキュリティグループで 4118 を許可するには
a. AWS Web コンソールを開きます。
b. [ネットワーク&セキュリティ]に移動します。
c. [セキュリティグループ]を選択します。
d. TCP ポート(サービス)ポート 4118 が表示されているかどうかを確認します。そうでない場合は、[インバウン
ドルールの編集]-[ルールを追加]を選択します。
telnet でマシンに接続し、ポート 4118 の通信を確認できます。
AWS の新しいインスタンスを自動的に保護するには、Deep Security Agent の Deploying Deep Security agents using
the Amazon Web Services (AWS) management console を参照してください。
図 6:Deep Security Virtual Appliance
3.1.3 Deep Security Virtual Appliance(DSVA)
A. 配置に関する考慮事項
1. Deep Security Virtual Appliance を配信し、Deep Security Manager に vCenter Server を追加する前に、Deep
Security Virtual Appliance インストーラパッケージを Deep Security Manager にダウンロードする必要があります。
Deep Security 12 は、新しい RHEL7 OS を適用した新しいアプライアンスパッケージを提供します。
仮想マシン(VM)が Deep Security Virtual Appliance で Agent レスで保護されており、vMotion を使用して
VM を ESX A から ESX B に移動した場合(ESX A および ESX B の両方にアプライアンスがインストールされている場
合)に問題が発生します。このシナリオでは、ソースアプライアンスは一部の一時的なデータを Relay に保存し、
対象アプライアンスは Relay からパッケージをダウンロードします。ただし、Relay が無効、削除、または無効化さ
れている場合、対象アプライアンスはパッケージをダウンロードできないため、対象アプライアンス上の一部のデ
ータ(整合性監視ベースラインなど)の復元に失敗する可能性があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 19
Public
2. Deep Security Virtual Appliance で Deep Security Manager の FQDN を解決できること、および ESX Server がポート
4119 で Deep Security Manager の FQDN に接続できることを確認してください。ドライバをインストールして ESX が
Deep Security Virtual Appliance を配信できない場合、問題が発生します。
Deep Security Virtual Appliance で Deep Security Manager および vShield Manager の FQDN を解決できることを確
認します。
Deep Security Virtual Appliance 内の VMware Tools はアップデートしないでください。Deep Security Virtual Appliance
は、作成されたバージョンのツールに付属のデバイスドライバを使用します。ツールのアップグレードが実行される
と、Deep Security Virtual Appliance DSVA が起動しないことがあります。
3. インストール後に Deep Security Virtual Appliance の初期設定のパスワードを変更するには、<F2>を押し、コンソー
ルで[Configure Password]オプションを選択します。インストールされた Deep Security Virtual Appliance イメージの
初期設定のパスワードは「dsva」です。
4. NSX Manager に正しい vCenter および Lookup Service の設定があることを確認してください。NSX Manager のコン
ソールで、[Manage] > [NSX Management Service]の順に選択します。
図 7:NSX Manager 上の vCenter Server
NSX-T の場合は、NSX Manager コンソールで、[システム] > [ファブリック] > [コンピュータマネージャ]の順に選択し
ます。
図 8:NSX-T Manager 上の vCenter Server
Trend Micro Deep Security 12.0 ベストプラクティスガイド 20
Public
5. Deep Security Virtual Appliance で保護する VM を作成する場合は、次の点に注意してください。
ゲストイントロスペクションドライバがインストールされた VMware Tools 10.0.9 以降をインス
トールする必要があります。
サポートされる仮想ディスク:LSI Logic parallel、LSI SAS、または VMware 準仮想 SCSI ドライバ(Buslogic は
サポートされていません)。
NSX-T および NSX-V の使用開始方法の詳細については、Deep Security のヘルプセンターにある次の記事を参照してく
ださい。
Appliance のインストール (NSX-T)
Appliance のインストール (NSX-V)
B. その他推奨設定
Agent レスの不正プログラム対策環境では、エンドポイントに Agent がないため、Deep Security Virtual Appliance でファ
イル検索が実行されます。
Deep Security Virtual Appliance は、Smart Protection Server を使用しない従来の検索方法を使用します(推奨)。Web レ
ピュテーション機能は Deep Security Virtual Appliance で使用されます。VM 上の URL にアクセスしようとすると、その
URL の評価がまず Deep Security Virtual Appliance によって確認され、URL が不正でないことが確認されます。URL の評
価を確認するには、Deep Security Virtual Appliance がそのクエリを Smart Protection Server に送信します。
Smart Protection Network は、トレンドマイクロにより世界中で提供されています。初期設定では、Deep Security Virtual
Appliance がこの設定を使用します。URLs accessed by Deep Security の完全なリストについては、Deep Security がアク
セスする URL の記事を参照してください。URL が会社の ファイアウォール/プロキシで許可されていることを確認しま
す。
インターネットトラフィックがグローバルサーバに送信されないようにするには、スタンドアロンの Smart Protection
Server 3.1 以降をインストールしてください。
3.1.4 データベース
A. デプロイに関する考慮事項
1. Deep Security Manager は、データベースと同じネットワーク上に配置し、接続速度が 1Gbps 以上の LAN を使用する
必要があります。WAN 経由での接続はお勧めしません。
Deep Security Manager はほぼ全てのデータをデータベース上に保持します。そのため、データベースへの接続に
おいて待ち時間が増えると、Deep Security Manager のパフォーマンスと可用性に重大な悪影響が出る可能性があ
ります。
2. 他のアプリケーションと同居しない、専用のデータベースサーバの構築を推奨します。
3. データベース VM 設定の推奨事項:
vmxnet3 を vnic ドライバとして使用する
Paravirtual SCSI を vdisk コントローラとして使用する
Thick Eager Zero Disk を使用する
Trend Micro Deep Security 12.0 ベストプラクティスガイド 21
Public
4. Microsoft SQL Enterprise または Oracle Enterprise を推奨します。Microsoft SQL Server Express は、Deep Security
10.0 Update 2 以降が適用された非常に限られた環境でのみサポートされます(詳細については、「Microsoft SQL
Server Express に関する注意事項」を参照してください。
Microsoft SQL Enterprise Server
Deep Security Manager で使用するデータベースを予め作成してから、インストールしてください。
リモート TCP 接続がデータベースサーバで有効になっていることを確認します。 (Microsoft のドキュメン
ト「How to: Enable the TCP/IP Protocol for a Database Instance」)を参照してください。
使用するデータベースアカウントには、作成した Deep Security Manager データベースの db_owner 権限
が必要です。
マルチテナントを使用する場合は、dbcreator サーバの役割が必要です。
単純復旧モデルを使用してデータベースを設定します。 (Microsoft のドキュメント「View or Change the
Recovery Model of a Database (SQL Server)」)を参照してください。
Oracle Database Server
Oracle Listener サービスが開始され、データベースサーバでリモート TCP 接続が受け入れられていること
を確認します。
* 'dsm' データベースユーザを作成します。他のユーザ名を使用することもできます。
CONNECT, RESOURCE roles および UNLIMITED TABLESPACE システム権限をユーザ 'dsm'に付与します。
CREATE SEQUENCE, CREATE TABLE, CREATETRIGGER システム権限をユーザ 'dsm'に割り当てます。
マルチテナントを使用する予定の場合は、CREATEUSER, DROP USER, ALTER USER, GRANT ANY
PRIVILEGE, GRANT ANYROLE システム権限をユーザ「dsm」に付与します。
PostgreSQL の推奨事項については、Deep Security のヘルプセンターの PostgreSQL の推奨設定を参照してくださ
い。
5. TCP/IP チャネルを介してデータベースに接続することを推奨しています。
SQL Server への接続に名前付きパイプを使用する必要がある場合は、適切に認証された Microsoft Windows 通信
チャネルを Deep Security Manager のホストと SQL Server ホスト間で使用可能にする必要があります。
次の場合にはすでに存在する可能性があります。
SQL Server は Deep Security Manager と同じコンピュータ上にインストールされている
両サーバが同ドメインに参加している
サーバ間に信頼関係が構築されている
このような通信チャネルがない場合、Deep Security Manager は名前付きパイプを介しての SQL Server との通信
に失敗します。
6. インストール時に正しい接続設定が使用されていることを確認してください。Deep Security Manager のインストー
ラでデータベース接続の詳細を求めるプロンプトが表示されたら、[ホスト名]にデータベースサーバのホスト名、
[データベース名]に事前作成したデータベース名を入力します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 22
Public
図 9:SQL インスタンスに接続する
インストールでは SQL 認証と Windows 認証の両方がサポートされます。Windows 認証を使用している場合
は、[詳細]をクリックしてオプションを表示します。上記のスクリーンショットは、Windows 認証を使用して名前付
き SQL インスタンスに接続する例です。
※DSM 10.2 以降のバージョンでは、Windows ワークグループの
アカウントを使用して SQL Server に接続することはできなくなっております。
DS 10.2 以降で、「ドメイン」欄へワークグループ名を登録して
Windows 認証を試みた場合、通常、以下のエラーが発生します。
---------------------------------------------------
データベースに接続できません。予期しないエラーが発生しました。しばらく経ってから再度実行してください。
---------------------------------------------------
7. Oracle では、データベースユーザに特殊文字を使用しないでください。Oracle ではデータベースユーザオブジェク
トの設定時に特殊文字を使用できますが、Deep Security はデータベースユーザの特殊文字をサポートしていま
せん。
8. Microsoft SQL Server の場合、特にデータベース環境でマルチテナントが計画されている場合は、データベース
名を短くしてください。メインデータベースの短い名前を使用すると、テナントのデータベース名を簡単に読み取
ることができます。たとえば、メインデータベースが「MAINDB」の場合、最初のテナントのデータベース名は
「MAINDB_1」、2 番目のテナントのデータベース名は「MAINDB_2」となります。
9. PostgreSQL の推奨事項については、Deep Security のヘルプセンターで PostgreSQL の推奨設定を参照してくださ
い。
10. セキュリティ上の理由から、データベースのアカウントとパスワードの有効期限が切れている可能性がありま
す。この場合、Deep Security Manager(DSM)のデータベース資格情報の変更とポートの変更の記事に従って、
Deep Security Manager のデータベースのアカウントとパスワードを変更できます。
11. デッドロックを回避するために、Microsoft SQL Server を使用してインストールする場合、Deep Security がデータベ
ースの READ_COMMITTED_SNAPSHOT を「On」に設定します。インストールまたはアップグレードが実行された場
合、データベースでは「Is Read Committed Snapshot On – True」がフラグされます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 23
Public
3.2 VMware コンポーネント
図 10:VMware コンポーネント
A. 配置に関する考慮事項
1. 最新のセキュリティパッチが vCenter、ESXi、および NSX Manager に適用されていることを確認します。
バージョンの互換性の詳細については、Deep Security および VMware 互換性マトリクスを参照してください。
2. すべての VMware コンポーネントが NTP サーバに接続されていることを確認します。環境全体に対して同じ NTP サー
バを使用することをお勧めします。これらのサーバはすべて同期されています。
3. NSX を配信するには、OVA パッケージを VMware の Web サイトからダウンロードできます。
NSX-V:
https://my.vmware.com/web/vmware/info/slug/networking_security/vmware_nsx_data_center_for_vsphere/6_x
NSX-T:
https://my.vmware.com/web/vmware/info/slug/networking_security/vmware_nsx_t_data_center/2_x
Deep Security 12.0 の場合は、VMware NSX Manager 6.3 以降/ VMware NSX-T 2.4 以降を使用することをお勧めしま
す。詳細については、Deep Security のヘルプセンターのシステム要件を参照してください。
NSX フリーライセンスを使用している場合は、Deep Security Virtual Appliance を配信する前に「ホストの準備」の必要は
ありません。
4. Deep Security にコンポーネントを接続する場合は、vCenter および NSX Manager にアクセスできるログオン情報が必要です。これらのアカウントのパスワードが変更されるたびに、Deep Security で接続の詳細をアップデートして、同期の問題が発生しないようにしてください。これは DSM> [コンピュータ]から実行できます。[vCenter] > [プロパティ]を右クリックします。権限の詳細については、Deep SecurityPermissions required for Deep Security Virtual Appliance (DSVA) deployment and operations を参照してください。
5. VM にゲストイントロスペクションドライバを配信する
VDI 環境では、マスターイメージでドライバを有効にします。
大規模な導入については、VMware 製品の Windows VirtualMachine で VMware Tools の自動インストールを
参照してください。
任意の VM でドライバが起動していることを以下のコマンドにより確認します。
sc query vsepflt
sc query vmci
NOTE vCenter が Windows にインストールされている場合、アップデートマネージャを有効にする必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 24
Public
6. 複数の vCenter
Deep Security は、複数の vCenter Server をサポートします。仮想マシン UUID は、すべての vCenter インスタンスで一
意である必要があります。たとえば、複数の vCenter Server 上のインベントリに VM を追加すると、UUID の重複問題が
発生することがあります。リンクモードを使用している場合は、リンク先の vCenter Server を個別に Deep Security
Manager に追加する必要があります。
7. クラスタ設定で 仮想マシン/ホスト ルールを使用して Deep Security Manager とデータベースサーバを同じ ESXi ホスト
に保持します。
図 11:仮想マシンを一緒に保存
Trend Micro Deep Security 12.0 ベストプラクティスガイド 25
Public
3.3 配置シナリオサンプル
A. 小規模な標準的な配置
図 12:小規模な標準的な配置
小規模な標準展開の場合、ベストプラクティスは次のとおりです。
冗長性確保のため Deep Security Manager を 2 ノードで構成(1 つのノードのみが図 12 に示されています)
データベースサーバを独立したホストにインストール
Deep Security Manager とデータベースを同じデータセンターに配置
コンポーネント配信のための Deep Security Relay を 1~2 台配置
ハートビート感覚を 10 分に設定
ハートビートの詳細については、ハートビートのセクションを参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 26
Public
B. VPN ユーザを含む中規模の配置
図 13:リモートシステムから定期的に VPN に接続する
図 14:中規模規模の配置
中規模の展開の場合、ベストプラクティスは次のとおりです。
冗長性確保のため Deep Security Manager を 2 ノードで構成
Deep Security Manager とブロードバンドの両方をデータセンターに配置
双方向通信を利用
コンポーネント配信のための Deep Security Relay を 2 台配置
ハートビート間隔を 10 分に設定
デスクトップやノートパソコンなどのハートビート間隔を 60 分に設定
リモートラップトップの場合は 10 分ハートビート(変化する可能性がありますが、ハートビート頻度は VPN セッ
ションの平均頻度未満にする必要があります)。
ハートビートおよび通信方法の詳細については、ハートビートのセクションを参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 27
Public
3.4 Deep Security のテスト
インストール後に Deep Security の機能と機能を検証およびテストします。Deep Security の各モジュールのテストに関する
ガイドラインについては、DeepSecurity モジュールのドキュメントのテストを参照してください。この記事では、VMware、
Active Directory、および SIEM ツールとの統合テストの手順と、failover/high availability テストおよびシナリオについても説
明します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 28
Public
4 アップグレードと移行 4.1 Deep Security Manager のアップグレード推奨設定:
1. Deep Security Manager をアップグレードする前に、Deep Security Manager データベースの完全バックアップを作成して
ください。万が一アップグレードに問題が発生した場合、以前の Manager(一時的に作成したデータベースを使用)をイン
ストールして、リストアしたデータベースに再度接続することでロールバックできます(dsm.properties を編集)。
2. ピークを避けた時間帯において、アップグレードを実行します。
3. マルチノード Deep Security Manager の場合は、Deep Security Manager のすべてのノードでアップグレードを実行する必要
があります。たとえば、Deep Security Manager のノード 1、ノード 2、ノード 3 の順にアップグレードする必要があります。
アップグレードの前に、すべてのノードを同じバージョンで実行する必要があります。
4. 以前のバージョンの Deep Security Manager がシステムにインストールされている場合は、[既存のインストールをアップ
グレード]と[既存のインストールの変更]のいずれかを選択します。
a. インストールをアップグレードすると、Deep Security Manager が最新バージョンにアップグレードされますが、侵
入防御ルール、ファイアウォールルール、およびアプリケーションの種類などのポリシーは上書きされず、ネット
ワーク内のコンピュータに適用されるセキュリティ設定も変更されません。
b. 既存のインストールを上書きすると、以前のインストールに関連するすべてのデータが消去され、フィルタ、
ルール、ポリシーなどの最新のパラメータがインストールされます。
5. マルチテナント環境の場合:
a. インストーラが既存のインストールを検出すると、アップグレードオプションが提供されます。アップ
グレードが選択されている場合、インストーラは他のノードにシャットダウンするように通知してから、アップグ
レードプロセスを開始します。
b. プライマリテナントが最初にアップグレードされ、その後、テナントが並行して処理されます(5 テナントずつ)。イン
ストーラが終了すると、残りの Deep Security Manager ノードで同じインストーラパッケージが実行されます。
6. データベースが大規模な環境では、アップグレード時のスキーマの変更に時間を要します(アップグレードに 8 時間以
上かかる場合があります)。
4.2 NSX-v から NSX-T への移行
現在、NSX-T と NSX-V の間の Deep Security Virtual Appliance の移行パスはありません。
4.3 Deep Security Virtual Appliance のアップグレード
Deep Security Virtual Appliance をアップグレードする方法については、Deep Security のヘルプセンターで Deep Security
VirtualAppliance をアップグレードするを参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 29
Public
5 設定
Deep Security はモジュラー型のソリューションで、さまざまな環境に対応できるため、製品を設定するための正しい方法と間
違った方法はありません。以下は、Deep Security のほとんどの配置で使用される一般的な設定、除外、その他の便利な設定
です。これらの推奨事項を適用する前に、会社のポリシーを再度確認してください。
5.1 UI 設定
5.1.1 ダッシュボード
次のウィジェットは、少なくともダッシュボードページに表示される領域に配置して配置することをお勧めします。
a. アラートステータス – オフラインになっているコンピュータのセキュリティアップデートや保護など、すぐに必要とな
る可能性のある重要なアイテムについて通知します。
b. コンピュータステータス – クライアントのステータスの概要を表示します。
c. ユーザ情報の概要– 現在ログインしているユーザに関する情報が表示されます。
d. ソフトウェアアップデート – 最新ではない最新の Agent に関する情報が表示されます。
大規模環境の管理を容易にするために、複数のダッシュボードを作成して使い方(一般、不正プログラム対策、アップデート
など)でグループ化します。管理者は、タブ付きの表示から簡単に切り替えることができます。各ダッシュボードには時間とコン
ピュータのフィルタがそれぞれ異なるため、複数のビューがシステムに表示されます。
5.1.2 アラート
初期設定では、ほとんどのアラートは有効になっています。大規模な環境では、一部のアラートを削除して、処理を必要と
するアラートだけがトリガされるようにすると便利です。アラートは最も関連性の高い情報を提供するように設定する必要
があります。適切な処理を実行できます。[アラート]画面から、[アラートの設定]を選択して、アラートを有効または無効に
することができます。
5.1.3 ポリシー
ポリシーは、同様のセキュリティ要件を持つサーバおよびデスクトップにセキュリティ設定を複製します。同様の設定、ソフ
トウェアのインストール、アプリケーション、または機能を持つコンピュータは、ポリシーを割り当てるときに戦略的にグルー
プ化することをお勧めします。
Deep Security で構築された初期設定ポリシーは例であり、事前設定なしでは使用しないでください。
A. ポリシー、 コンピュータレベルルールと構成の割り当て
管理を容易にするために、ポリシーを使用してほとんどのルールを割り当てることをお勧めします。
ポリシーを使用する利点は次のとおりです。
ユーザはポリシー設定を変更またはテストしてから、コンピュータに割り当てることができます。
コンピュータのポリシー割り当てを解除したり、まったく新しいポリシーを割り当てるだけで、ルールや設定を
すばやく削除できます。
ポリシーは複製され、ポリシーを作成して今後作成するポリシーのベースライン設定として使用されます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 30
Public
コンピュータレベルのルール割り当てを使用するタイミング:
自動割り当ての活用
さまざまなコンピュータがあります(つまり、各コンピュータで異なるアプリケーションや OS のアップデート
などが使用されるため、グループ化することは事実上不可能です)
B. ポリシーのグループ化
以下に、ポリシーを効果的に利用するために推奨されるコンピュータグループを示します。
オペレーティングシステム別(Windows 2008 Server、Windows XP、および Linux)
サーバ機能(メールサーバ、Web サーバ、ユーザラップトップ、Point of Sale システムなど)
アプリケーション別 installed/version (ウイルスバスターCorp.サーバ、Oracle 10 データベースサーバ、MS SQL
2005 サーバなど)
推奨する検索を効果的に管理するには、コンピュータを適切にグループ化することが不可欠です。
ポリシーの個々のメンバーに対してレ推奨設定の検索が実行されると、その特定の Agent(Deep Security Agent)の推
奨設定もポリシーに表示されます。
ポリシーレベルで推奨事項を承認または適用すると、ポリシーのすべてのメンバーにルールが適用されます。この方
法の利点は、メンテナンスが容易であることです。しかし、欠点は、不要なルールが特定のメンバーに割り当てられる
可能性があることです。このため、影響を受けてはいけないコンピュータに対して脆弱性が検出されないようにするに
は、コンピュータを適切にグループ化することをお勧めします。
ポリシーの継承を使用したポリシーのグループ化の例:
図 15:ポリシーの継承
NOTE ポリシーとコンピュータレベルの割り当てを組み合わせて使用する場合、コンピュータからポリシーを割り当て
解除すると、ルールが適用される可能性があることに注意してください。これは、ルールがポリシーとは独立して割り当
てられている場合に発生します。
NOTE Deep Security 12 は、複数レベルのポリシー継承をサポートします。新しく作成したポリシーは、そのポリシーの
すべてまたは一部を親ポリシーから継承するように設定できます。セキュリティポリシーのツリー構造を作成できます。
たとえば、「Windows Server」という名前の親ポリシーと、その親ポリシーから継承した 2 つの子ポリシー 「Windows
Server 2008」および「Windows Server 2003」を作成できます。各下位ポリシーは、Windows Server のエディションごとに
独自の下位ポリシーを設定できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 31
Public
C. ポリシー名
ポリシーの命名規則を使用して、環境内の複数のポリシーをより簡単に管理することをお勧めします。
図 16:命名規則の例
5.1.4 スマートフォルダ
スマートフォルダ機能を使用する場合は、コンピュータの名前とフォルダの表示名を正しく識別してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 32
Public
5.2 モジュール構成
5.2.1 不正プログラム対策
A. 設定
[ポリシー] > [共通オブジェクト] > [その他] > [不正プログラム検索設定] で設定をダブルクリックし、 [検索設定]に移動
します。
推奨 リアルタイム検索 の設定
一般 推奨設定
検索するファイル すべてのファイル
検索対象ディレクトリ すべてのディレクトリ
修復処理
推奨される初期設定を使用 無効
カスタム処理を使用: 有効
ウイルス 駆除
トロイの木馬 削除
パッカー 隔離
スパイウェア 隔離
CVE 攻撃コード 隔離
アグレッシブ検出ルール 放置
その他の脅威 隔離
検出時の不正プログラム トレンドマイクロの推奨処理
潜在的な不正プログラム トレンドマイクロの推奨処理
オプション
スパイウェア/グレーウェア対策を有効にする 有効
圧縮ファイルの検索 有効
解凍した個別ファイルの最大サイズ カスタマイズされたサイズ
最大圧縮レイヤ 2
解凍するファイルの最大数 10
埋め込みの Microsoft Office オブジェクトを検索する Enabled
攻撃コード Code for Microsoft Office Objects の検索 Enabled
検索する OLE 層 3
IntelliTrap を有効にする* 無効
ネットワークディレクトリ検索を有効にする 有効**
ファイルを検索する条件 読み取り/書き込み時
Trend Micro Deep Security 12.0 ベストプラクティスガイド 33
Public
..この不正プログラム検索設定でイベントが記録され
たときにアラートを発令する
有効
表 2: リアルタイム検索 の設定
Trend Micro Deep Security 12.0 ベストプラクティスガイド 34
Public
* IntelliTrap は、圧縮されたリアルタイムの実行可能ファイルをブロックし、他の不正プログラムの特性と組み合わせることができま
す。IntelliTrap はそのようなファイルをセキュリティ上の危険として特定するため、安全なファイルを間
違ってブロックする場合があります。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrap を
無効にしてください IntelliTrap はリアルタイム検索でのみ機能します。
**リアルタイム検索の実行中に最大限のパフォーマンスを維持するには、ネットワーク検索を無効にする必要があります。
ただし、これらのネットワークリソースはローカルのセキュリティ対策製品によって保護されている必要があります。これらのネッ
トワーク共有に他のセキュリティ対策製品がない場合は有効のままにしてください。
推奨 予約検索 の設定
一般 推奨設定
検索するファイル すべてのファイル
検索対象ディレクトリ すべてのディレクトリ
処理
推奨される初期設定を使用 無効
カスタム処理を使用: 有効
ウイルス 駆除
トロイの木馬 削除
パッカー 隔離
スパイウェア 隔離
CVE 攻撃コード 隔離
アグレッシブ検出ルール 放置
Cookie 削除
その他の脅威 隔離
潜在的な不正プログラム トレンドマイクロの推奨処理
オプション
スパイウェア/グレーウェア対策を有効にする 有効
圧縮ファイルの検索 有効
解凍した個別ファイルの最大サイズ カスタマイズされたサイズ
最大圧縮レイヤ 3
解凍するファイルの最大数 10
埋め込みの Microsoft Office オブジェクトを検索する 有効
攻撃コード Code for Microsoft Office Objects の検索 Enabled
検索する OLE 層 3
CPU 使用率 中
…この不正プログラム検索設定でイベントが記録されたときにアラート
を発令する
有効
Trend Micro Deep Security 12.0 ベストプラクティスガイド 35
Public
表 3:予約検索設定
Trend Micro Deep Security 12.0 ベストプラクティスガイド 36
Public
手動検索の推奨設定
一般 推奨設定
検索するファイル すべてのファイル
検索対象ディレクトリ すべてのディレクトリ
処理
推奨される初期設定を使用 無効
カスタム処理を使用 有効
ウイルス 駆除
トロイの木馬 削除
パッカー 隔離
スパイウェア 隔離
CVE 攻撃コード 隔離
アグレッシブ検出ルール 放置
Cookie 削除
その他の脅威 隔離
潜在的な不正プログラム 隔離
オプション
スパイウェア/グレーウェア対策を有効にする 有効
圧縮ファイルの検索 有効
解凍した個別ファイルの最大サイズ カスタマイズされたサイズ
最大圧縮レイヤ 2
解凍するファイルの最大数 10
埋め込みの Microsoft Office オブジェクトを検索する Enabled
攻撃コード Code for Microsoft Office Objects の検索 Enabled
検索する OLE 層 3
CPU 使用率 高
この不正プログラム検索設定でイベントが記録されたときにアラートを
発令する
有効
表 4: 手動検索設定
Trend Micro Deep Security 12.0 ベストプラクティスガイド 37
Public
不正プログラムが検出されたときに実行する処理を決定する際に、初期処理が失敗した場合に実行される対応する
2 次処理があることに注意してください。
プライマリアクション
(コンソールで設定)
セカンダリアクション
(ハードコーディング)
隔離 放置
駆除 隔離
削除 駆除
拒否 隔離
B. 検索スケジュールの設定
検索設定に加えて、リアルタイム検索 スケジュールを設定することもできます。これは、パフォーマンスを向上させる
ためにリアルタイム検索を無効にする特定の期間がある場合に便利です。
サンプルのシナリオ:
ファイルサーバでは、毎日午前 2 時〜午前 4 時にすべてのファイルのバックアップが作成されます。
このサーバでは、この間にアクティビティが発生する可能性が高く、リアルタイム検索 アクティビティからの午前
2:00〜4:00 のタイムスロットをホワイトリストに登録すると、バックアップタスクとサーバリソースの両方のパ
フォーマンスが大幅に向上します。
C. マルチスレッド処理
リアルタイム検索 では、初期設定ではマルチスレッド検索が使用されます。ただし手動検索と予約検索の場合
は、環境に応じてこのオプションを設定する必要があります。
[ポリシー/コンピュータ] > [不正プログラム対策] > [詳細] > [不正プログラム検索のリソース割り当て]に移動します。
図 17:不正プログラム検索のリソース割り当て
物理 Deep Security Agent を使用する物理コンピュータのオプションを有効にして、パフォーマンスを向上させます。変
更を有効にするには、コンピュータを再起動する必要があります。
この設定を有効にしない場合のシナリオは次のとおりです。
Agent レス環境
マルチスレッドがオプションでない場合、マシンリソースは制限されているため(CPU バウンドタスクでは一般
的です)
単一のオペレータが同時にリソースを保持する必要がある場合(IO バインドタスクの場合は共通)
NOTE 実際のバックアップタスクを実行する前に、サーバ上で完全な手動検索を実行します。毎週の予約検索は、すべての保護対象コンピュータで実行することをお勧めします。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 38
Public
D. クイック検索とフルスキャン
クイック検索機能を使用すると、Agent ベース(Windows のみ)の検索時間が短縮されます。これにより、感染の可能
性が最も高い重要なファイルのみを検索できるようになります。これにより、より頻繁なクイック検索のスケジュールを
低頻度で実行できるようになります。また、より少ない頻度でフル検索を実行することもできます(週次)など)。
不正プログラムのフル検索:
すべてのプロセスおよびファイルに対してシステム全体の検索を実行します。
手動検索の設定を使用します(ディレクトリ)に含めるように設定されたディレクトリ、拡張子、ファイルに基づ
いてファイルを検索します)。
スケジュールされたタスクまたは手動検索を作成して、予約された時間に実行します(オンデマンド)
不正プログラム対策をサポートするすべてのプラットフォームで実行されます。
完了までに時間がかかります。
不正プログラムのクイック検索:
現在アクティブになっている脅威に対する重要なシステム領域を高速かつ高レベルで検索します。
現在アクティブな不正プログラムを検索しますが、深刻なファイル検索を実行して、休止状態のファイルや感
染した感染ファイルを検索しません。
大きなドライブでのフルスキャンよりも大幅に高速です。
Windows Agent ベースのシステムでのみ使用できます。
設定はできません。検索設定は使用されません([ディレクトリ] > [検索]や[ファイル > ]などの設定はチェックさ
れません)
オンデマンドでのみ利用可能です。クイック検索はタスクの一部としてスケジュールできません。
図 18:不正プログラムのクイック検索
E. 検索キャッシュ
この機能は Deep Security Virtual Appliance で使用され、不正プログラム対策および変更監視検索における検索の重複
を有効にすることで、仮想マシンの不正プログラム対策および変更監視の検索効率を最大化します。これにより、類
似する VM(仮想デスクトップインフラストラクチャ(VDI)にリンクされたクローンなど)の次回の検索で検索時間のパフォー
マンスが向上します。
検索キャッシュ:
VM がリンククローンである場合に最適です(VDI はプライマリです)
同一ファイルが 2 回検索されるのを防ぎます
Deep Security Virtual Appliance のメモリに保存されます。
ターゲットキャッシュとの競合を回避するために、VM が別のホストに vMotioned されている場合、情報は転
送されません。対象の Deep Security Virtual Appliance のキャッシュは、新しく移行された VM に適用されま
す。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 39
Public
検索キャッシュの設定を変更するには
a. Deep Security Manager コンソールで、[管理] > [システム設定] > [詳細]に移動します。
b. [検索キャッシュ設定]> [検索キャッシュ設定の表示]の順にクリックします。
c. 次の設定を行います。
不正プログラム対策リアルタイム検索キャッシュ:15 分
不正プログラム対策 オンデマンド検索キャッシュ:1 日
変更監視検索キャッシュ:1 日
キャッシュ値を変更するときは
キャッシュの有効期限が短くなると、リフレッシュ頻度が増えます。セキュリティを強化するには、これを低い値
に設定することを検討してください。
独立した検索キャッシュを持つ VM に対して、専用の検索キャッシュポリシーを作成します。これは、同じイン
フラストラクチャを共有するさまざまな部門に適しています。
ホストあたりの VM 数が多い場合(VDI 環境の)では、ディスク I/O と CPU 使用率を監視しています。検索時
間が長すぎる場合は、キャッシュのサイズを増やすか、必要なパフォーマンスを得るために検索キャッシュの
設定を調整することを検討してください。
キャッシュサイズを大きくする必要がある場合は、Deep Security Virtual Appliance システムのメモリを適宜調
整できます。
アップデートシーケンス番号(USN)を使用するタイミング:
この設定を有効にすると、Deep Security はファイルの USN 値を確認できます。リアルタイム検索では、ファイルの一部
の内容が読み取られ、ファイルが同一であるかどうかが判断されます。
詳細については、Microsoft 社のドキュメントで Change Journals を参照してください。
この設定はパフォーマンスを低下させ、通常はより高いキャッシュ設定を必要とします。セキュリティの強化が必要な
場合にのみ、この設定を使用します。
VM およびポリシーの特定の検索キャッシュの設定は、次の場所で変更できます。
ポリシー > 不正プログラム対策 > 詳細> 仮想マシンの検索キャッシュ
ポリシー > 変更監視 > 詳細 >仮想マシンの検索キャッシュ
F. 検索除外
ディレクトリリスト、ファイル拡張子リスト、およびファイルリストは、[ポリシー]タブの[共通オブジェクト]セクションで設定
できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 40
Public
図 19:ディレクトリ、ファイル拡張子、およびファイルリスト
これらのリストは、[不正プログラム検索設定]の[検索除外]タブで参照されます。
図 20:不正プログラム検索設定の[検索除外]タブ
このリストを開始点として使用し、環境とパスに基づいて修正します。 一般的な除外設定と、Windows Update または自動アップデートファイルの除外
ファイル: pagefile.sys NTUser.pol registry.pol ${Windir}\Software Distribution\Datastore\DataStore.edb
${Windir}\Software Distribution\Datastore\Logs\Edb*.log
${Windir}\Software Distribution\Datastore\Logs\Res1.log
${Windir}\Software Distribution\Datastore\Logs\Res2.log
Trend Micro Deep Security 12.0 ベストプラクティスガイド 41
Public
${Windir}\ Software Distribution\Datastore\Logs\Edb.chk
${Windir}\ Software Distribution\Datastore\Logs\tmp.edb
${Windir}\ Software Distribution\Datastore\Logs\hiberfil.sys
${Windir}\ Software Distribution\Datastore\Logs\pagefile.sys
${Windir}\ Software Distribution\Datastore\Logs\Edbres00001.jrs
${Windir}\ Software Distribution\Datastore\Logs\Edbres00002.jrs
${Windir}\ Security\*.edb
${Windir}\ Security\*.sdb
${Windir}\ Security\*.log
${Windir}\ Security\*.chk
ディレクトリ:
${allusersprofile}\
${Windir}\ system32\GroupPolicy \
${Windir}\ Cluster \
拡張機能の除外設定:
*.pst
Microsoft Windows Server ドメインコントローラ
ファイル: TEMP.edb EDB.chk
ディレクトリ:
${Windir}\SYSVOL\
${Windir}\NTDS\
${Windir}\ntfrs\
${Windir}\system32\dhcp\
${Windir}\system32\dns\
Trend Micro Deep Security 12.0 ベストプラクティスガイド 40
Public
Microsoft SQL Server
大規模なデータベースは、パフォーマンスを低下させる可能性があるため、検索しないでください。Microsoft SQL
Server のデータベースは動的なので、ディレクトリとバックアップフォルダを検索リストから除外します。データベー
スファイルを検索する必要がある場合は、オフピーク時にスケジュールされたタスクを検索して検索できます。
ディレクトリ:
${ProgramFiles}\Microsoft SQL Server\MSSQL\Data \
${Windir}\WINNT\Cluster\ # SQL Clustering を使用している場合
Q:\ # SQL Clustering を使用している場合
ファイルサーバ
共有ドライブ上のファイルにアクセスすると、パフォーマンスが低下する可能性があります。一部の種類のファイルを
検索するには、ほんの一部のコンテンツしか必要ありません。その他のファイルタイプでは、完全検索または解凍を必
要とします。
ファイルサーバは検索から除外され、ローカルファイルサーバ自体で検索が実行されることをお勧めします。除外が適
切に設定されているため、アクセス時にファイルを検索する必要がなくなり、パフォーマンスが向上します。
パフォーマンスを向上させるために、ファイルサーバの Agent 保護を使用することもお勧めします。
G. 隔離設定:
Agent レスの不正プログラム対策機能を使用すると、隔離ファイルは Deep Security Virtual Appliance に保存されるた
め、Deep Security Virtual Appliance ディスクに十分な空き容量を確保する必要があります。
隔離されたファイルの初期設定が推奨設定です。設定にアクセスするには、Deep Security Manager > [ポリシー] > (任
意のポリシーをダブルクリック) > [不正プログラム対策] > [詳細]に移動します。
NOTE ここに記載されていないカスタムアプリケーションがある場合は、ソフトウェアベンダに問い合わせて、推奨さ
れる検索除外を取得してください。また、Trend Micro Endpoint 製品の推奨検索除外リストも参照できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 41
Public
図 21:アドバンス不正プログラム対策の設定
検出ファイルの保存に使用される最大ディスク容量:Deep Security Virtual Appliance で Deep Security Manager が確保
する最大ディスク容量です。すべての保護された仮想マシン(VM)からのファイルは、この領域を共有する必要があり
ます。
検索するファイルの最大サイズ:隔離可能な最大のファイルです。
Deep Security Virtual Appliance から隔離されたファイルが自動的に削除されるのは、次の場合です。
VM が vMotion を実行すると、その VM に関連付けられた隔離されたファイルが Deep Security Virtual
Appliance から削除されます。
Deep Security Manager から VM が非アクティブ化されると、その VM に関連付けられている隔離ファイルが
Deep Security Virtual Appliance から削除されます。
Deep Security Virtual Appliance を Deep Security Manager から非アクティブにすると、Deep Security Virtual
Appliance に保存されているすべての隔離ファイルが削除されます。
Deep Security Virtual Appliance が vCenter から削除されると、その Deep Security Virtual Appliance に保存さ
れているすべての隔離ファイルも削除されます。
H. 不正プログラム対策の最大パフォーマンス設定:
不正プログラム対策の機能を最大限に活用するには、次の処理をお勧めします。
1. 検索キャッシュを有効にし、実際の状況に基づいてキャッシュ時間を変更します。
2. ファイルの検索には[読み取り]の間に検索ファイルを使用します。
3. UNC パスを除外リストに追加します。同時に、リアルタイム検索が有効になっていることを確認し、すべての
VM が保護されていることを確認します。
4. 適切な除外リストを設定して、フォルダ、ファイル、または拡張子を除外します。
5. スキャンの制限を設定して、指定されたサイズを超えるファイルを検索しないようにします。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 42
Public
読み取り/書き込み時:
読み取り時:
システムは、ファイルを読むときにウイルスを検索します。つまり、テストウイルスをディスクにダウンロードし、実行す
るまでファイルのイベントが検出されたときにテストウイルスを検出できます。
書き込み時:
書き込みは重要ですが、パフォーマンスに影響します。一部の FTP クライアントおよびブラウザでは、本文を複数に分
割してファイルをダウンロードします。
例:100 MB のファイルをダウンロードします。
ブラウザは毎回 1 MB をダウンロードできます(1 MB を書き込み、ファイルを閉じ、別の 1 MB を書き込み、ファイルを
閉じるなどして、ファイル全体がダウンロードされるまで)。つまり、ファイルを 100 回スキャンする必要があります。最
悪の場合のシナリオは、不正プログラムが最後のバイトに自身を隠す場合です。書き込み時に検索されず、不正プロ
グラムである場合、実行されることなくディスク上に置かれているため安全である可能性があります。実行時(読み取
り)に不正プログラムを検出し、不正プログラムが検出された場合に実行を阻止することができます。
書き込みは時間内に不正プログラムを検出する可能性がありますが、パフォーマンスに大きな影響を与えます。
I. セキュリティ強化機能を使用する:
サーバプラットフォーム
サーバプラットフォームでは、初期設定でセキュリティ拡張機能を無効にする「Default Real-Time Scan Configuration」が使
用されます。サーバプラットフォームでセキュリティ強化を有効にする場合は、次の点を参考にしてください。
1. ステージング環境でまずテストしてから運用環境に適用してください。
2. 重要なアプリケーションを挙動監視保護の除外 に追加できます。これにより False-Positive が回避され、ビジネスに
影響を与える可能性があります。一方、重要なアプリケーションが侵害された場合、保護機能が失われます。
注意:重要なアプリケーションを以前に[コンピュータ/ポリシー] > [不正プログラム対策] > [不正プログラム検索設定]
の編集をクリック > [検索除外]タブ > [プロセスイメージファイルリスト] に追加している場合は、挙動監視保護の除外
に追加する必要はありません。不正プログラム対策機能は、プロセスイメージファイルリスト 除外に追加した場合、ア
プリケーションのアクティビティを監視しません。
3. 過検知が発生したら、まずセキュリティの強化を無効にします。これには、挙動監視、エンドポイント相関、リアルタ
イム不正プログラム対策でのプロセスメモリ検索などが含まれます。
可用性
セキュリティ強化の保護は、トレンドマイクロのバックエンドサービスに依存しています。これらのバックエンドサービスの
ネットワーク接続が失われた場合、Security Enhancement では、ランサムウェア攻撃などの高度な脅威からユーザを保護
できない場合があります。トレンドマイクロのバックエンドサービスがご利用の環境から接続可能で、プロキシ設定が正し
いことを確認してください。
セキュリティ強化は、システムアクティビティの監視に依存します。プロセス。セキュリティ強化は、これらのシステムイベン
トを追跡することで不正な挙動を検出します。[不正プログラム対策設定] [検索設定] > [ディレクトリ]の設定を[すべてのデ
ィレクトリ]から特定のディレクトリリストに変更すると、このディレクトリリストからのファイルイベントのみが監視されます。
ディレクトリリスト外の監視機能が失われるため、検出機能と保護機能も失われます。たとえば、ディレクトリリストを
「C:\MyFolder」に設定した場合、C:\MyFolder の外部にあるファイルを暗号化したランサムウェアは検出されません。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 43
Public
エアギャップ (オフライン) 環境
前述のとおり、セキュリティ強化機能はトレンドマイクロのバックエンドサービスに依存しています。Deep Security 12.0 を大
規模環境に配置する場合は、プラットフォームに関係なく、[Security Enhancement]をオフにすることをお勧めします。空白
になった環境でセキュリティ強化機能を無効にすると、不正プログラム対策機能のトラフィックがネットワークトラフィックに
よってバックエンドサービスに届かない可能性があります。また、パフォーマンスも向上します。
過検知の軽減
正当なプログラムがセキュリティ強化により不正プログラムとして検出された場合は、そのプログラムを[挙動監視保護
の除外]に追加します。それでも問題が解決しない場合は、Endpoint Correlation を無効にしてみてください。この機能は
除外をサポートしていないためです。エンドポイント相関を無効にしない限り、プログラムを除外リストに追加することは
できません(挙動監視保護の除外を含む)。
不正プログラムを手動で駆除する
ランサムウェア対策を含む挙動監視では、不正プログラムを隔離することはできません。プログラムファイルを変更せず
に、悪質なプロセスのみを終了させることができます。不正プログラムが実行キーをインストールするか、システムスケジ
ュールタスクに自身を追加した場合、システムの再起動後またはタスクのスケジュール後に再度実行される可能性があり
ます。挙動監視は定期的にそれを停止させます。 システム管理者がプログラムが不正プログラムであることを確認したら、不正プログラムを手動で削除して破損を防ぐ必
要があります。
5.2.2 Web レピュテーション
初期設定のセキュリティレベル「中」は、ほとんどのユーザに適しています。ただし、さらにセキュリティを強化する場合
は、[高]レベルに調整できます。
Web レピュテーション クエリは、Smart Protection サーバ(有効な場合)またはクラウド上の Web れぴゅーてーしょんサー
バに送信されます。ローカルの Smart Protection サーバを社内に設定して、必要なインターネットクエリの数を制限することを
お勧めします。パフォーマンスの低下につながる可能性があります。
Websense の製品を使用している場合は、Deep Security Web レピュテーション と Websense の URL フィルタとの間に互換
性がない可能性があることに注意してください。保護されたコンピュータが Websense Edge アプライアンスの内側にある場
合は、Web レピュテーション を無効にすることをお勧めします。 許可またはブロックする特定の Web ページがある場合は、[コンピュータ/ポリシー] > [Web レピュテーション] > [除外]タブ
で Web ページを設定します。初期設定では、Web レピュテーション はポート 80 と 8080 に対して有効になっています。
HTTP プロキシサーバが他のポートを使用している場合は、[詳細]タブで HTTP プロキシサーバのポートを設定します。
1. プロキシポートを含む[ポリシー] > [共通オブジェクト] > [リスト] > [ポートリスト]から新しいポートリストを作成します
(例:3128)。
2. [コンピュータ/ポリシー] > [Web レピュテーション] > [詳細] > [ポート]で作成したポートリストを選択し
ます。 その他の推奨設定:
[トレンドマイクロででテストしていないページをブロック]オプションのチェックマークをはずす必要があります。そ
うしないと、誤検出が発生する可能性があります。
[除外]の[許可]リストに社内の URL を含めます。ワイルドカードがサポートされています。
グローバル Smart Protection サーバを使用している場合は、会社の ファイアウォール/プロキシサーバ が
Smart Protection Network へのトラフィックを許可していることを確認してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 44
Public
5.2.3 ファイアウォール
ファイアウォール の設定と管理は慎重に実行する必要があります。すべての環境に適合する単一のルールセットはありま
せん。このガイドでは、独自のルールを作成する際に参考資料やガイドラインとして使用できるヒントや推奨事項をユーザ
に提供することを目的としています。
A. インラインモードとタップモード
インラインモードを使用する(Deep Security Manager> [ポリシー]> [設定]> [ネットワークエンジン]>[詳細]> [ネットワ
ークエンジンモード])インラインモードで動作する場合、実際のパケットストリームはネットワークエンジンを通過し
ます。ステートフルテーブルが維持され、ファイアウォールルールが適用され、トラフィックの正規化が実行されま
す。結果として、侵入防御ルールをペイロードコンテンツに適用できます。
ルールが[検出]に設定されたインラインモードを使用するには、運用環境に配置する前に設定とルールをテストす
る必要がある場合があります。このように、トラフィックを分析する実際のプロセスは、パケットのブロックや拒否な
どの処理を実行することなく実行されます。
Deep Security をタップモードで実行することはお勧めしません。Deep Security をテストや評価のために実行することは
ベストプラクティスではありません。このモードのトラフィックパターンは、管理者がインラインモードに切り替えることを
決定した場合のネットワークの動作を表していません。
Deep Security Manager 10.2 以降では、Deep Security Manager の新しいドロップダウンメニューを使用して障害応答を
設定できます。適切なオプションが[fail open]に切り替わっていることを確認してください。
ラットツールを使用して、次のように「ratt -s var」コマンドを実行すると、現在の設定が表示されます。
#ratt -s var
CHECK_FO_SYSTEM_FAILURE ( checkFailOpenSystemFailure ) = 2
CHECK_FO_SANITY_FAILURE ( checkFailOpenSanityFailure ) = 2
B. ファイアウォールルールの処理
ルールを作成する前に、ファイアウォールルールの処理の違いを把握しておく必要があります。各ルールは、次のい
ずれかの処理を実行できます。
拒否 – ルールに一致するトラフィックを明示的にブロックします。
強制的に許可 – パケットが「強制的に許可」ルールに一致した場合、パケットは渡されますが、この場合でも侵入
防御によってフィルタされます。イベントはログに記録されません。この種類の処理は、UDP および ICMP トラフィッ
クに使用する必要があります。
バイパス – ファイアウォールと侵入防御の両方の分析をバイパスするトラフィックを許可します。これはペアで作
成する必要があります(受信トラフィックと送信トラフィックの両方).ネットワーク負荷の高いプロトコルの場合にの
み、この設定を使用します。
ログのみ – パケットが[ログのみ]ルールと一致する場合、パケットは渡され、イベントがログに記録されま
す。その他の処理は実行されません。
許可 – パケットが許可ルールに一致する場合、そのトラフィックは許可され、そのルールでカバーされてい
ないトラフィックはすべて暗黙的に拒否されます。これは慎重に使用してください。
C. 厳格または寛容な ファイアウォール
一般に、ファイアウォールポリシーは、2 つの設計戦略のどちらかに基づいています。いずれかのサービスは、明示的
に拒否されない限り、または明示的に許可されない限り、すべてのサービスを拒否しない限り、任意のサービスを許
可します。ルールを作成および管理するための管理オーバーヘッドを軽減するために、実装するファイアウォールのタ
イプを決定します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 45
Public
寛容なファイアウォール
すべてのトラフィックを初期設定で許可し、シグネチャやその他の情報に基づいてトラフィックが不正と判断す
るトラフィックのみをブロックします。
ただし、実装は簡単ですが、セキュリティが最小限であり、複雑なルールが必要になります。
ファイアウォールを使用していないが、ポートをブロックするためにファイアウォールを利用したい場合を除い
て、まれに使用されます。
拒否ルールを使用して、トラフィックを明示的にブロックします。
厳格なファイアウォール
セキュリティの観点から推奨されるベストプラクティスです。
すべてのトラフィックを初期設定で停止し、明示的に許可されたトラフィックのみを許可します。
計画されているファイアウォールの主な目的が不正アクセスをブロックすることになっている場合は、接続を
有効にするのではなく、制限することが重視されます。
メンテナンスが簡単で、セキュリティが強化されています。
許可ルールを使用して、ファイアウォールを通過する特定のトラフィックだけを許可し、他はすべて拒否しま
す。
D. ステートフルインスペクション
ファイアウォールがオンの場合は、ステートフルな設定を使用する必要があります。
ステートフルフィルタエンジンは、トラフィックの履歴、パケットのヘッダ値の正確さ、およびプロトコルの状態遷移のコン
テキスト内でパケットを分析することを含む、個々の基準で各パケットを検査および検証します。これにより、DoS(サー
ビス拒否)などの攻撃から保護できます。ただし、ステートフル TCP/ICMP/UDP を使用する初期設定では有効で、要請
された応答のみが許可されます。
[UDP ステートフル]オプションが有効な場合は、UDP サーバ(DHCP など)の実行時に 強制的に許可を使用する必要があ
ります。
Deep Security Agent に対して DNS サーバまたは WINS サーバが設定されていない場合、NetBIOS に対して受信の
UDP ポート 137 を強制的に許可するルールが必要になることがあります。
ステートフルログは、ICMP/UDP プロトコルで必要でない限り無効にする必要があります。
E. インタフェース制限
インタフェース制限では、一度に 1 つのインタフェースのみを使用するよう強制できます。これにより、攻撃者が 2 つの
インタフェース間でブリッジすることを防ぐことができます。通常、ワイヤレスラップトップを使用してユーザを保護するた
めに使用されます。
これを[ポリシー] > [ファイアウォール] > [インタフェース制限]で設定します。
コンピュータのインタフェースの名前と優先順位が一致する文字列パターンを入力します。
アクティブなインタフェースの数を任意の時間に 1 つに制限します。
これをグローバルレベルで有効にすることはお勧めしません。ポリシーで有効にします。
NOTE 許可ルールは、一致するトラフィックを明示的に許可します。さらに、定義されていない他のすべてを暗黙的に拒
否します。関連ルールを正しく定義せずに許可ルールを作成する場合は注意してください。
そうすることで、許可ルールが作成されたトラフィックとは別のすべてのトラフィックがブロックされる可能性があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 46
Public
NOTE インタフェースパターンは、アスタリスク (*) や正規表現などのワイルドカードを受け入れます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 47
Public
F. その他推奨設定
ルールのバイパス
バイパスルールは、強制的に許可 のように動作しますが、パケット処理パイプラインの残りの部分はスキップする
ため、侵入防御もスキップされます。この処理は、ファイアウォールと侵入防御の両方で許可するトラフィックに使
用します。
トラフィックの種類ごとにルールのペアを作成することをお勧めします。たとえば、受信トラフィックをバイパスする
ルールと、送信トラフィックをバイパスするルールを作成します。
ルール優先度
ルールの優先順位はフィルタが適用される順序を決定し、優先順位の高いルールが優先順位の低いルールの前
に適用されるようにします。アクションの優先順位が同じ場合、ルールの優先順位は、[バイパス]、[強制的に許
可]、 [拒否]の順になります。ただし、優先度の高い拒否処理は優先度の低いバイパス処理よりも優先されます。
許可ルールの優先度は 0 のみです。許可ルールを使用してトラフィックを暗黙的に拒否します(許可ルールに一
致しないトラフィックはすべて拒否されます)。これは、拒否ルールがリストに追加された場合、既存のすべての許
可ルールよりも優先されます。常に許可する必要があるトラフィック(ARP など)に対しては、[強制的に許可]を使
用します。
ファイアウォールルールの管理を簡素化するには、特定の優先度レベルを特定の処理に予約することを検討して
ください。たとえば、バイパスルールには初期設定の優先順位 3 を、優先順位 2 には強制的に許可ルールを、拒
否ルールには優先順位 1 を適用します。こうすることで、ルールの競合を削減できます。
ARP トラフィック
常に ARP を許可します。コンピュータが動的 ARP に依存している場合は、ARP を許可する適切なルールを含めま
す。ARP は、TCP/IP スタックの基礎を形成します。ARP 機能は、IP アドレスからイーサネットアドレスへの変換を提
供します。イーサネットアドレスは、ローカル LAN セグメント上の他のシステムにパケットを送信するために不可欠
です。この変換がないと、他の形式のピアツーピア IP 通信は実行できません。
Deep Security Agent は、ARP パケットを削除するように Deep Security Agent に指示する必要はありません(実際に
は必要でない場合は、設定でスタティック ARP テーブルが使用されます)。これを確認するには、次のガイドライン
に従ってください。
- Trend Micro-provided ARP force allow rule を有効にします。
- ブロードキャスト ARP パケットをブロックしないでください。
ポリシーで未許可
許可されていないポリシー(ポートを開く)イベントは、ルールの誤設定をすばやく検出するのに役立ちます。TCP、
UDP、および ICMP の詳細設定のこれらのイベントを生成すると、ポリシーの構築と調整に役立ちます。
これを設定するには、[ポリシー] > [ファイアウォール] > [詳細設定] > [ファイアウォール イベントの生成]で、許可さ
れていないポリシーに該当するパケットを選択します。
ポート、IP、および MAC のリストを使用する
これらのリストは、複数のルールで再利用できるオブジェクトです。複数のファイアウォールルールの設定でこれ
らのリストを使用すると、アップデートする必要があるのが 1 つの共通リストのみであるため、設定の変更が容易
になります。いずれかのリストに対して実行された変更は、それらが使用または割り当てられたすべてのルール
によって選択されます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 48
Public
ルールの数
100 を超えるルールの割り当ては、システムパフォーマンスに影響する可能性があるため、避けてください。
ファイアウォールルールの変更をすべて文書化
ファイアウォールルールの[説明]フィールドを使用して、ルールが作成された理由、時期、目的などをメモします。
メンテナンスを容易にするために、ルールが作成および削除される時期と理由を確認してください。
ネットワークエンジンの詳細設定
これを設定するには、[ポリシー] > [設定] > [詳細] > [ネットワークエンジンの詳細オプション] の順に選択します。
タイムアウト:
このパラメータは、アイドル状態の接続を維持できる最大時間を定義します。特定のアプリケーションではアクティ
ブな接続を長くする必要がある場合があります。そのようなアプリケーションを使用していて、「接続が確立されて
いません」というイベントが発生した場合は、値を大きくしてください。
コールドスタートタイムアウト:
ステートフルメカニズムが開始される前に確立された接続に属する可能性のある非 SYN パケットを許可する時間
を指定します。この値を大きくすると、Deep Security Agent を再起動したり、新しいプロファイルを配信したりする際
に、「接続が確立されていません」というイベントが回避されます。
最大 TCP 接続数と最大 UDP 接続数:
最大同時 TCP/UDP 接続は許可されます。これらのパラメータを調整する前に、ヒープメモリサイズを検討してくだ
さい。
デバッグモードを有効にする:
デバッグモードでは、Deep Security Agent および Deep Security Virtual Appliance は一定数のパケットをキャプチャし
ます(次の「デバッグモードで保持するパケット数」で指定します。ルールがトリガされ、デバッグモードがオンになる
と、Deep Security Agent および Deep Security Virtual Appliance は、ルールが実行される前に最後に通過したパケ
ットのレコードを保持します。これらのパケットは Deep Security Manager にデバッグイベントとして返されます。
デバッグモードで保持するパケットの数:
保持するパケット数を指定し、デバッグモードがオンの場合にログに記録します。
すべてのパケットデータをログに記録:
特定のファイアウォールまたは侵入防御ルールに関連していないイベントのパケットデータを記録します。これら
は、「再送の破棄」や「不正な ACK」などのイベントのログパケットデータです。
最小フラグメントサイズ:
正当なトラフィックがブロックされ、「最初のフラグメントが最小サイズ未満」のファイアウォールイベントがある場合
は、その値を「0」に変更してチェックを無効にします。
最小フラグメントオフセット:
正規のトラフィックがブロックされ、「最小オフセット値以下の IP フラグメント」のファイアウォールイベントがある場
合は、その値を「0」に変更してチェックを無効にします。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 49
Public
Deep Security ファイアウォールのヒントと詳細については、Deep Security ファイアウォールの機能についての記事を参照し
てください。
5.2.4 侵入防御
A. ルールの変更
侵入防御ルールは、グローバルレベル([Deep Security Manager] > [ポリシー] > [共通オブジェクト] > [ルール] > [侵
入防御ルール])で変更することはできません。復元する手段がないためです。ポリシーまたはコンピュータをオーバ
ーライドすることで設定を行う必要があります。この方法でルールの初期設定のマスターコピーはグローバルレベル
で保持され、変更を元に戻す必要がある場合には参照元として使用できます。
ルールが正しくないと、ダウンタイムが発生する可能性があります。ルールは署名のみに基づいて作成できます。これ
らの高度なルール(Start/End/Patterns または XML 形式)については、トレンドマイクロのテクニカルサポートにお問い
合わせください。
B. 検出のみまたは防御モードの使用
特定のルールで誤検出が発生している場合は、そのルールを検出のみモードに設定するか、ルールの割り当
てを解除します。
設定が必要なルールには、対象のコンピュータ用にルールを設定できるようになるまで検出のみモードを割
り当てる必要があります。
新しい展開の場合は、ルールを検出のみモードに設定して、誤検出をより簡単に識別できるようにすること
をお勧めします。
テストと追加の設定が完了したら、ルールを防御モードに切り替えて、ルールに一致するパケットのブロックを
開始します。
C. HTTP プロトコルデコード
HTTP プロトコルデコードフィルタは、Web サーバの共通アプリケーションタイプで最も重要なフィルタです。このフィルタ
は、他のルールで HTTP トラフィックを検査する前に HTTP トラフィックの復号を行います。さらに、このフィルタを使用す
ると、復号プロセスのさまざまなコンポーネントを制御できます。
このルールは、Web Application Common フィルタまたは Web Server Common フィルタのいずれかを使用する必要が
ある場合に必要です。Deep Security Manager は、このルールを他のルールで必要に応じて自動的に割り当てます。
Web アプリケーションごとに異なる Web アプリケーションがあるため、このフィルタを使用するポリシーは、防御モード
に切り替える前に一定の期間、検出のみモードで実行し、設定の変更が必要かどうかを判断する必要があります。無
効な文字のリストに変更が必要なことがよくあります。
このルールの詳細と調整方法については、次の記事を参照してください。
Deep Security における HTTP プロトコルの復号
Deep Security Agent が違法と見なす URI 文字のリストを変更しています
Deep Security の「URI の不正な文字」エラーのトラブルシューティング
D. クロスサイトスクリプティングと汎用 SQL インジェクションルール
アプリケーション層への攻撃として最も代表的なものに、SQL インジェクションとクロスサイトスクリプティング (XSS) があ
ります。SQL インジェクションルールとクロスサイトスクリプティングは、初期設定で攻撃の大半を阻止します。特定のリ
ソースが誤検出の原因になっている場合は、ドロップのしきい値を調整します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 50
Public
両方のルールは、Web サーバのカスタム設定が必要なスマートフィルタです。Web アプリケーション脆弱性検索ツールから出力された場合は、その情報を活用して保護を適用します。たとえば、login.asp ページの[user name]フィールドが SQL インジェクションに対して脆弱である場合、SQL インジェクションルールが、ドロップするしきい値が低いパラメータを監視するように SQL インジェクションルールが設定されていることを確認します。
詳細は次の記事を参照してください。:汎用 SQL インジェクション防止ルールについて
E. SSL データストリームのフィルタ
Deep Security Manager は、SSL トラフィックの侵入防御分析をサポートし、SSL で暗号化されたデータストリームをフィル
タできます。SSL トラフィックのフィルタ処理は、Deep Security Agent でのみサポートされ、Deep Security Virtual Appliance
ではサポートされません。Deep Security Agent は、圧縮を使用する SSL 接続をフィルタしません。
これは、個々のコンピュータで割り当ておよび設定できます。設定するコンピュータの[詳細]画面を開き、侵入防御 > 詳
細 > SSL 設定 > SSL 設定の表示に進みます。
この機能が有効になっている場合は、HTTP 応答の検査を無効にしてパフォーマンスの低下を回避することをお勧め
します。保護対象となるすべての Web 攻撃は HTTP 要求に含まれ、HTTP 応答には含まれないため、応答に対する
検査を無効にするとパフォーマンスが向上します。
これを設定するには
a. コンピュータまたはポリシー> 侵入防御に移動します。
b. [Web サーバ共通]のアプリケーションタイプのルールを選択し、[アプリケーションの種類] > [プロパティ]の順に
クリックします。
c. [設定]タブに移動し、[継承]のチェックマークをはずします。
d. [Web サーバからの応答を監視]チェックボックスをオフにします。
e. コンピュータまたはポリシーへの変更を更新します。
F. その他推奨設定
[管理] > [システム設定] > [アップデート]の順に選択し、[新しいルールアップデートを自動的にポリシーに適用]を選択します。このオプションが選択されていない場合は、[管理] > [アップ デート] > [セキュリティ]の順に選択し、[ルールをポリシーに適用]ボタンをクリックして、ダウンロードしたルールのアップデートをポリシーに手動で適用する必要があります。
ディスク領域を節約するためにドロップされたパケットだけをログに記録するルールを設定します。
ルールを手動で割り当てる場合は、100 を超えるルールを割り当てないでください。システムのパフォーマン
スに影響します。
ベストプラクティスとパフォーマンスに必要なルールを適用するには、[推奨設定の検索]を使用します。
攻撃の送信元を調べる場合は、[常にパケットデータを含める]オプション([ルールのプロパティ] > [一般] > [イ
ベント]より設定)のみを選択します。ただしパケットデータのログオンを残すと、より大きなログサイズが作成
されます。
侵入防御ルールに基づくアプリケーションの種類は、使用する前に確認する必要があります。
たとえば、ウイルスバスターCorp.およびトレンドマイクロウイルスバスターコーポレートエディションには、初期
設定では 8080,4343,26964,24880,46485 のポートがあるかどうかが検査されます。
ウイルスバスターCorp.ポートは変更できます。特に、ランダムな 5 桁のクライアントポートを変更できます。
これらのルールは、ウイルスバスターCorp.設定に一致するように再設定する必要があります。
NOTE この機能により、パフォーマンスに影響を与える可能性があります。1 秒あたりの接続数が多いサーバには
推奨されません。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 50
Public
1 つのポートを 8 つ以上のアプリケーションタイプに割り当てることはできません。
G. インタフェースのタグ付け
初期設定では、ファイアウォールルールと侵入防御ルールはコンピュータ上のすべてのインタフェースに割り当てられ
ます。インターフェイスタイプを使用すると、複数のインタフェースを持つコンピュータ上の特定のインタフェースにファイ
アウォールルールまたは侵入防御ルールを割り当てることができます(たとえば、ワイヤレスネットワークインタフェース
にのみ適用する特定のルールがある場合など)。 設定するには、[ポリシー] > [インタフェースの種類] > [ネットワークインタフェースの種類]の順に選択します。
ポリシーの作成時に異なるインタフェースの保護の違いについて考えてみてください。Deep Security Agent で保護され
ている可能性のあるすべてのコンピュータで使用可能なさまざまなネットワークに基づいて、インタフェースの種類を設
定してください。
H. ランサムウェア検出
ルールのロールアウトに関する推奨事項が記載された、ランサムウェアの検出と予防(Deep Security を参照して
ください。
I. TippingPoint Network Security
多くのお客様は、TippingPoint のネットワークセキュリティと Deep Security のホストセキュリティの両方から利益を得て
います。IPS(侵入防御)ルールに、同等の TippingPoint ルールの TippingPoint ID が表示されるようになりました。
5.2.5 変更監視
オペレーティングシステム、アプリケーションファイル、およびディレクトリを監視することは、サーバ上のデータの整合
性を維持するための優れた方法です。これらのファイルへの予期しない変更は、不審なものが発生したため、調査す
る必要があることを示す良い指標になります。 変更監視用に作成されたルールは、パフォーマンスを改善し、競合や
誤検出を避けるために、できるだけ具体的にする必要があります。ハードドライブ全体を監視するルールを作成しない
でください。
A. 変更監視を使用したマルウェア対策
変更監視 では、ファイルとレジストリを監視できます。通常、不正プログラムは、特定のレジストリキーやさまざまなシ
ステムファイルを変更することでシステムに感染します。初期設定の Deep Security ルールを使用すると、感染したシス
テム内の不正プログラムによって最も一般的に変更される内容を監視することで、コンピュータの整合性を監視できま
す。ここでは、Windows プラットフォームのすべての種類の状況に適用可能なサンプルルールをいくつか示します。
ルール 1002773 – Microsoft Windows – ‘Hosts’ file modified
ルール 1002776 – Microsoft Windows – ‘All Users’ Startup programs modified
ルール 1002778 – Microsoft Windows – System DLL or EXE file modified
新しいソフトウェアやセキュリティパッチがインストールされていない限り、これらのファイルを変更する必要はありま
せん。このようなイベントが発生した場合、管理者はコンピュータで何が起きているかを調べて、感染しているかどう
かを判断できます。 特定の脅威を監視するカスタムルールを作成することもできます。特定のウイルスの挙動をユーザが把握している環
境では、ウイルスによって作成された特定のレジストリキーまたはファイルを確認する特別な監視ルールを作成でき
ます。これにより、ウイルスの拡散が含まれているかどうかを判断できます。 変更監視 では、システムに対する変更が検出されますが、これらの変更は防止または元に戻すことはできません。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 51
Public
B. ベースライン
ベースラインは、変更監視ルールがコンピュータに割り当てられている場合に自動的に作成されます。発生する可能
性のある異常な挙動を認識するためには、ベースラインを取得する必要があります。トレンドマイクロでは、コンピュ
ータの変更監視の有効化をお勧めします。
C. 推奨設定の検索からのルール
通常、推奨される変更監視ルールでは、監視対象のエンティティおよび属性が多すぎます。クリティカルなルールと
何を監視するルールかを決定し、カスタムルールを作成したり、既存のルールを調整したりします。
頻繁に変更されるプロパティ(プロセス ID やオープンポートなど)を監視するルールに注意してください。ルールは非
常にアクティブになり、調整が必要な場合があります。
D. 信頼できる送信元ベースのイベントのタグ付け
変更監視 機能が使用されている場合、ルールや設定に応じて、どのイベントが良好で情報を提供しているか、さらに
詳細な調査が必要なイベントを検索および判断するのが難しい場合があります。
Deep Security の自動タグ機能を使用すると、複数のイベントをグループ化してラベル付けして、正当な変更に対する
セキュリティイベントを抑制できます。
この機能を設定するには、Deep Security Manager > [イベントとレポート] > [変更監視イベント] > [自動タグ付け] > [新し
い信頼済みのソース]の順に選択します。
Trend Micro Deep Security では、トレンドマイクロがホストする内部参照サーバ、ソフトウェア安全性評価サービス、また
はグループ内の他のコンピュータと比較することで、許可された変更に自動的にタグを付けることができます。ソフトウェ
ア安全性評価サービスは、トレンドマイクロが既知の正常なファイルとして認定している、クラウドベースのシグネチャデ
ータベースです。信頼できるソースベースのイベントタグを有効にする方法の詳細については、オンラインヘルプおよび
Deep Security の管理者ガイドを参照してください。
信頼するソースの選択:
信頼済みのローカルコンピュータ
ゴールデンホストモデルを実装する場合に使用します。ここでは、ゴールデンホストにインストールされたアプリ
ケーションとファイルが比較の基礎として使用されます。
このモデルは、次の場合に最も便利です。
ローカルの信頼されたコンピュータに社内アプリケーションがインストールされています。
ソフトウェア、Service Pack、または Patch はローカルの信頼されたコンピュータにインストールされ、他の
コンピュータの参照として使用できます。
ローカルの信頼されたコンピュータには、不正プログラムがなく安全です。
ローカルの信頼されたコンピュータには、変更監視ルールが含まれています。このルールは、参照として
使用するコンピュータに似ています。
ベストプラクティス:
信頼されたコンピュータからのセキュリティイベントは、他のコンピュータからのセキュリティイベントの前
に収集する必要があります。スケジュールされたタスクを使用して、信頼するコンピュータを自動的に検
索できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 52
Public
2 つの変更監視の予約タスクを作成します。最初の検索では、信頼されたコンピュータのみがチェックさ
れ、2 回目の検索ではその他の検索がチェックされます。
[メンテナンス]画面の一部として生成されたイベントのみを信頼するには、[自動タグルール]のプロパティ
で使用可能な[収集の一時停止]機能を使用します。この機能により、コレクションが一時停止されたとき
に、信頼されたソースの変更に基づいて、既知の正常なストアへの新しい情報の自動追加が無効になり
ます。一時停止すると、以前に信頼されたイベントに関連する関連するコンピュータからのイベントには
引き続きタグが付けられます。ただし、収集が再開されるまで、新しい情報は Known Good Store に追加
されません。
ソフトウェア安全性評価サービス
ローカルの参照サーバがなく、ユーザが単独でまたは任意の時点でソフトウェアをインストールおよびバージョン
アップすることが自由である場合に、これを使用します。このシナリオでは、トレンドマイクロの既知の正常なファイ
ルのデータベースとファイルが比較されます。
ベストプラクティス:
このクラウドベースのサービスにクエリを送信するには、Deep Security Manager がインターネットに接続している
ことを確認してください。
ソフトウェア安全性評価サービスは、SHA-1 のみをサポートします。このサービスを使用する場合は、[ポ
リシー] > [変更監視 ] > [詳細設定]タブ > [コンテンツハッシュアルゴリズム]を SHA-1 に設定する必要があ
ります。
3 つの信頼されたソースベースのイベントタグ付けメカニズムのうち、ソフトウェア安全性評価サービス
は、参照サーバを維持する必要がないため、最も安全で最も安全です。トレンドマイクロは、クラウドサー
ビスに既知の良好なファイルのみが含まれるようにします。
ソフトウェア安全性評価サービスは、他の自動タグルールよりも優先される必要があります。
信頼済みの共通ベースライン
複数のコンピュータが参照として相互に使用できる場合は、これを使用します。このグループ内のコンピュータの
ベースラインが共通のベースラインに追加されます。このグループ内のコンピュータは安全で、不正プログラムか
ら保護されている必要があります。1 台のコンピュータの変更が自動的にベースラインに追加されるためです。グ
ループ内の別のコンピュータで同様のイベントが発生すると、イベントには自動的にタグが付けられます。
ベストプラクティス:
共通のベースライングループのコンピュータに変更監視ルールを適用する前に、信頼された共通のベース
ラインの自動タグ付けルールを設定する必要があります。
同じオペレーティングシステムと機能を共有するコンピュータをグループ化します(Windows 2008 R2 上
で動作する Microsoft SQL サーバなど)。
信頼された共通ベースラインのセットアップとメンテナンスは、ローカルの信頼されたコンピュータと比較
して簡単ですが、グループ内のすべてのコンピュータが信頼されていると見なされるため、保護レベルが
低くなります。信頼できる共通ベースラインは、最も低い優先順位に設定する必要があります。
E. リアルタイムファイル変更監視
Deep Security 12.0 では、アップデートされたファイル監視エンジンがアプリケーション制御と共有され、Linux および
Windows の両方のファイル変更をリアルタイムで検出できます。以前は、Linux の整合性検索は予約検索のみでし
た。この機能強化により、コンプライアンス要件を満たす Deep Security の機能が強化されます。
Deep Security 12.0 から、変更監視では、Linux と Windows の両方のファイル変更のリアルタイム監視がサポート
されています。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 53
Public
32 ビット Windows プラットフォームはレガシモードで動作し、リアルタイムの変更イベントに対してユーザおよびプ
ロセスの情報を提供しません。以前のリリースと同様に、32 ビット Linux プラットフォームではリアルタイムの整合
性監視は使用できません。
リアルタイムファイルイベントのみが、変更を行った user/process に関する情報を含んでいます。以前のリリースと
同様に、サービスの変更や実行中のプロセスなど、その他のタイプの整合性監視イベントにはこの情報は含まれ
ません。
F. 詳細を変更
Deep Security 12.0 では、アップデートされたファイル検索エンジンは、「誰が」監視対象ファイルに変更を加えたかを取
得します。この属性は、ユーザが変更イベントを適切に調査し、適切に対応し、コンプライアンス要件を満たすのに役
立つことが非常に重要です。
G. 変更監視機能のためのローカル Agent 上のディスク領域
SQLite データベースのサイズは、ホスト上で発生するイベントの数によって異なります。ディスク空き容量が 5 MB 未
満になると、変更監視は一時停止されます。dsp.ImThread スレッドは、次の条件が満たされた場合にデータベー
スを消去します。
進行中の変更監視検索がない。
データベース内の未使用ページのサイズが 4 MB を超えている。
5.2.6 セキュリティログ監視
Windows イベントログやその他のアプリケーション固有のログからのイベントは、サーバおよびアプリケーションのステー
タスに関する重要な情報源です。セキュリティログ監視は、これらのログファイルで不審なイベントやアラートを検査する自
動化されたソリューションであり、多層防御戦略に含めることができる重要な機能です。
この機能は、監視対象のログファイル内の重要なイベントへのアクセスを手動で追跡することなく、簡単にアクセスできる
ようにする場合に特に便利です。
セキュリティログ監視 ルールを正しく設定する必要があります。最も推奨されるルールは正常に動作しますが、
Windows イベントルールを調整して、要件に関連するセキュリティイベントを収集する必要があります。トリガされ
て保存されるログエントリが多すぎると、Deep Security Manager データベースに大量のイベントが発生することが
あります。
重要度のクリッピング
Deep Security Agent および Deep Security Virtual Appliance のイベントを、次の重大度レベル以上になる
と Syslog に送信します。通常は、Syslog サーバが使用されている場合に変更する必要があります。この
設定は、ルールによってトリガされるイベントが Syslog サーバに送信されるかどうかを決定します(Syslog
が有効な場合は)。
Deep Security Manager および Deep Security Virtual Appliance でイベントを保存し、後で Deep Security
Manager で次の重大度レベル以上になると取得できるようにします。この設定は、データベースに保存
され、[セキュリティログ監視イベント]画面に表示されるログ検査イベントを決定します。カスタムルール
は、含まれているルールセットにないログを監視するために作成できます。
NOTE 64 ビット Windows および 64 ビット Linux の Deep Security Agent は、アプリケーション制御プラグインに
依存して、変更監視プラグインに送信されるリアルタイムのファイルシステムイベントをトリガするようになりまし
た。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 54
Public
5.2.7 アプリケーションコントロール
アプリケーションコントロールは、Deep Security 10.0 で追加された新機能です。Deep Security 12 では、次のプラットフォー
ムをサポートしています。
Windows
2008 R2
2012 R2
2016
Linux
CentOS 6(64 ビット)
CentOS 7(64 ビット)
RedHat 6(64 ビット)
RedHat 7(64 ビット)
Debian 8(64 ビット)
Cloud Linux 7 (64 ビット)
SUSE 12(64 ビット)
Oracle Linux 7(64 ビット)
Ubuntu 16(64 ビット)
AWS Linux(64 ビット)
アプリケーションコントロールがブロック可能な実行可能ファイルに対して有効になっている場合、次の拡張機能は特にブ
ロックされます。
.class
.jar
.war
.ear
.php
.py
.pyc
.pyo
.pyz
上記の拡張子があり、安全なファイルと見なされる環境の場合は、ソフトウェアインベントリのホワイトリストに追加してくださ
い。
Deep Security 11.0 以降、アプリケーションコントロールでは、管理者がアプリケーションコントロールブラックリスト施行の
ために既知の不良ハッシュ値を Deep Security に送信できるようにする新しい Block by Hash 機能が強化されました。
アプリケーションコントロールは、ブロックするハッシュ値のリストを含む新しい「グローバルルールセット」を認識します。こ
のルールセットは、既存の共有ルールまたはローカルルールセットの他のルールよりも優先され、アプリケーションコント
ロールで有効になっているすべての Deep Security Agent によって適用されます。この機能を使用すると、望ましくないソフ
トウェアや不正なソフトウェアがグローバルなシステムレベルで実行されないようにすることができます。設計により、ワー
クフローを完全に自動化できます。グローバルルールセットの作成、ハッシュ値の追加と削除のための API を使用します。
アプリケーションコントロールは、保護されたシステム上に新しい実行可能ファイルが検出されるたびに、ソフトウェア変更
イベントログを作成します。この変更は、信頼済みソフトウェアの通常動作の一部として生成されることがあります。たとえ
ば、Windows がコンポーネントのアップデートを自己開始すると、何千もの新しい実行可能ファイルがインストールされま
す。アプリケーションコントロールは、既知の Windows プロセスによって作成されたこれらのファイル変更の多くを自動的
に承認し、対応する変更ログイベントを作成しなくなります。予想されるソフトウェアの変更に関連する「ノイズ」を除去する
ことで、ユーザは注意が必要な変更をより明確に把握できます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 55
Public
この機能をエンドユーザ環境に配信する前に、Deep Security のヘルプセンターにある(サポート対象機能プラットフォーム
別)のアプリケーションコントロール対サポート機能のサポートマトリックスを確認してください。
5.2.8 Connected Threat Defense (CTD)
トレンドマイクロは、「Connected Threat Defense (CTD)」というコンセプトを開発しました。Deep Security は、バージョン 10.0
から CTD への参加が強化され、不審ファイルを Deep Discovery Analyzer サンドボックスにプッシュできるようになりました。
危険性が高いと検出されたファイルに対しての情報が収集されると、その周辺に不審オブジェクトが生成され、Control
Manager(TMCM)にプッシュされます。その後、TMCM は Deep Security Manager に最新の不審オブジェクトリストを送信し
ます。Deep Security Manager から不審オブジェクトリストを受信するように設定されているすべての Agent は、情報を受信
し、実行前に情報を停止できるようになります。
図 22: Connected Threat Defense プロセス
NOTE Application Control を使用している場合、ゴールドイメージを作成する場合は、必要なパッチを適用してアッ
プデートし、共有ルールセットを作成してから、その共有ルールセットを他のコンピュータに適用します。同じパッ
チを他のコンピュータにインストールすると、共有ルールセットに含まれているため実行できます。ただし、パッチの
アップデートは[ソフトウェアの変更]ページに表示されます。これを回避するには、パッチ適用時に アプリケーション制
御 を[メンテナンスモード]に設定する必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 56
Public
ベストプラクティス:
ご使用の環境で Deep Discovery Analyzer が動作していることを確認してください。詳細については、Deep
Discovery Analyzer 管理ガイドを参照してください。
[管理] > [システム設定] > [Connected Threat Defense]の順に選択し、[Deep Discovery Analyzer への不審ファイル
の送信を有効にする]チェックボックスがオンになっていることを確認します。
図 23:DDAN に不審ファイルの送信を有効にする
[自動ファイル送信を有効にする]も選択します。これは、すべての不審ファイルが 15 分ごとにアナライザに送信
されることを保証するためです。
図 24:自動ファイル送信
Trend Micro Deep Security 12.0 ベストプラクティスガイド 57
Public
[管理] > [システム設定] > [Connected Threat Defense]の順に選択し、[オブジェクトを不審オブジェクト リストと照合
する]が選択されていることを確認します。
Deep Security Manager の不審ファイルリストを手動でアップデートすることで、不審オブジェクトリストアップデート
の更新または配信を実行できることに注意してください。[管理] > [アップデート] > [セキュリティ]に移動し、[不審オ
ブ
ジェクトリストのアップデート]列のコントロールを使用して最新のリストを取得し、保護されているコンピュータに送
信します。アップデートされたリストがないかを定期的に確認する予約タスクを作成することもできます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 58
Public
不正プログラム検索設定 > 一般 > [ドキュメントの脆弱性対策]の[ドキュメントの脆弱性を突いた攻撃コードを検
索する]がオンになっていることを確認し、[既知の脆弱性に対する攻撃に加え、未知の攻撃コードも積極的に検
索する]オプションが選択されていることを確認します。
図 25:エクスプロイト用文書の検索
不審オブジェクトが検出された場合に Deep Security Agent から期待される動作を設定する方法の詳細については、
Control Manager ガイドを参照してください。
5.3 管理およびシステム設定
5.3.1 推奨設定の検索
推奨エンジンは Deep Security Manager 内に存在するフレームワークで、セキュリティ設定を自動的に割り当てることがで
きます。これにより、そのコンピュータを保護するために必要なセキュリティのみを簡単に割り当てることができます。
推奨設定の検索は、Deep Security Manager のパフォーマンスに影響します。そのため、他のタスクが実行されていない時
間帯に予約タスクを設定してください。
A. 毎週推奨検索を実行する
推奨設定の検索は、Deep Security Manager のパフォーマンスに影響する可能性があるため、頻繁に検索することは
避けてください。頻繁に変更されない環境の場合は、検索頻度を減らすことができますが、変更が発生するタイミング
を制御できない環境の場合は、より頻繁に検索する必要があります。
推奨検索の継続的な実行は推奨されません。この設定は「いいえ」に設定する必要があります。
([ポリシー/コンピュータ] > [設定]> [検索]> [推奨設定] > 推奨される検索を実行する)
進行中の検索が自動的に開始されるように設定されている場合、管理者は、いつ検索を実行するかを制御できま
せん。ベストプラクティスは、「推奨設定のコンピュータの検索」タイプの新規予約タスクを作成し、週に 1 回実行するこ
とです。
B. 大きな変更の後にスキャンを実行する(パッチの適用、新しいアプリケーションのインストールなど)
コンピュータに大きな変更があった場合には、追加のルール適用が必要かどうかを判断するために推奨検索を実行
する必要があります。
C. 新しい Deep Security Update の適用後に検索を実行します。
これにより、最新または未割り当てのルールを適用できます。
NOTE カスタム処理を使用するように修復処理を変更する必要がある場合は、このルールをトリガするファ
イルが分析のために送信されることを保証するため、[アグレッシブ検出ルール]が[放置]に設定されているこ
とを確認してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 59
Public
D. コンピュータではなく、ポリシーに推奨ルールを割り当てます。
ベストプラクティスとして、推奨ルールは各コンピュータではなく、ポリシーに割り当てることが推奨されます。
推奨ルールは、推奨検索が実行されたコンピュータにのみ、自動的に適用できます。詳細については、Policy のセク
ションを参照してください。
E. 類似の機能を持つコンピュータで検索を実行します。
類似の機能を持つコンピュータを使用する環境では、一部のコンピュータで検索を実行してベースラインの推奨事項を
すべて収集できます。
F. 侵入防御の推奨設定を自動的に適用する
このオプションは初期設定では無効になっています([ポリシー/コンピュータ] >[侵入防御] > [一般] >[ 推奨設定])。
コンピュータごとにこのオプションを有効にすることは推奨しません。ただし、コンピュータが単独で存在し、他のコン
ピュータと関連付けることができない場合は例外となります。この設定を有効にすると、ルールが適用可能であると
判明した場合、またはルールに関連するアプリケーションがコンピュータ上に見つかった場合に、侵入防御ルール
が自動的に適用されます。
詳細については、Policy vs Computer Level を参照してください。
この設定を無効にすると、管理者は推奨ルールの割り当てと割り当て解除の管理をより適切に制御できます。
5.3.2 システム設定
A. 通信方向
このオプションは、ポリシーまたはコンピュータごとに設定できます。ほとんどの本番環境では、初期設定の
Agent/Appliance から開始 が推奨され、使用されています。
Manager から開始は、通常、データセンター内の Deep Security Manager に接続できない DMZ 内のコンピュータでの
み使用します。 Agent がファイアウォールの内側にある環境(モバイルワークステーションなど)の場合は、
Agent/Appliance から開始 の方式を使用することをお勧めします。Agent から開始する方法の欠点は、必要に応じて
ポリシーを更新できないことです。ポリシーの変更を配信するには、次のハートビートを待つ必要があります。
この設定を行うには、[ポリシー/コンピュータ] > [設定] > [コンピュータ] > [通信方向]の順に選択します。
B. ハートビートの設定
これは、ポリシーレベルまたはコンピュータレベルで設定できます。ポリシー/コンピュータの[設定] > [コンピュータ] > [ハ
ートビート]の項目を開きます。
ハートビート間隔
サーバ – 10 分
デスクトップ – 60 分
間隔の設定を選択する上で最も重要な要素は、イベントがトリガされてから Deep Security Manager にイベントが配信
されるまでの許容時間です。高頻度を選択すると、Deep Security Manager のパフォーマンスに悪影響が及ぶ可能性
があります。
Q.サーバがより頻繁なハートビートを必要とするのはなぜですか?
Trend Micro Deep Security 12.0 ベストプラクティスガイド 60
Public
A.これらは通常、より重大な資産であるため、管理者により関連イベントを頻繁に通知する必要がある場合がありま
す。
Q.ローミング端末に保護が実行されている場合、ネットワークを通して Deep Security Manager に接続する必要がある
のはなぜですか。
A.ローミング端末でポリシーをアップデートできるようにするためです。また、イベントは、Deep Security Manager に配信
されたタイムスタンプではなく、イベントのタイムスタンプとともに Deep Security Manager に保存されます。過去 24 時間
にハートビートを実行しなかったデバイスでは、過去のイベントを取得できないことがあります。
Q.何回ハートビートが失敗するとアラートが発生しますか。
A.初期設定では、値は「2」に設定されています。2 回試行した後にハートビートが検出されない場合、Agent はオフラ
インとしてタグ付けされます。ほとんどの環境でこの値を増やすことをおすすめします。この値を増やすことで、オンラ
インのクライアントが頻繁にアラートを発生することはなくなります。
さらに、ハートビートに失敗すると、接続が復元されるまで、イベントが Deep Security Agent または Deep Security Virtual
Appliances のローカルに保存されます。
SIEM または Syslog サーバを使用してイベントを保存する場合、ハートビートの設定は問題になりません。Agent はバ
ッチ処理や次のハートビートを待つことなく、イベントを Syslog にリアルタイムで送信します。
C. Agent からの有効化
このオプションは、分散インストールが大規模な環境で最も一般的に使用されます。この場合、Deep Security Manager
ではなく Deep Security Agent によって有効化を開始することをおすすめします。
多数のコンピュータが Deep Security のインストールに追加され、スクリプトを使用して有効化プロセスを自動
化する場合に非常に役立ちます。Deployment Scripts を参照してください。
Agent からの有効化を成功させるには、[管理] > [システム設定] > [Agent]タブで Agent からのリモート有効
化を許可オプションを有効にする必要があります。
サーバが直接通信またはクライアントを直接検出できないが、クライアントが問題なくサーバに到達できる
場合に使用されます。
Deep Security Agent は、ローカルで実行されるコマンドラインツールを使用して有効化プロセスを開始できま
す。
有効にするには、[管理者として実行]を使用して cmd.exe を開き、次のコマンドを実行します。
dsa_control /a dsm://dsmhost:4120/
有効化の間、Agent は割り当てられたポリシーを適用できます。さらに、Agent は、アクティベートされた後に
検索またはアップデートを要求できます。これは、検索をパッチ管理などの他の変更と緊密に統合するために
使用できます。詳細については、製品のオンラインヘルプまたは管理者ガイドを参照してください。
クローン化された VM の再有効化を許可します。
これは、VM クローンを使用する環境で使用されます(たとえば、事前に有効化された VM、テンプレート、また
は AWS イメージから新しい VM/instance を複製する場合など)。また親なしの VM/instance を vCenter または
クラウド管理下の VM/instance に戻すこともできます。
有効下を実施すると、Deep Security Manager はその VM をクローンとして認識し、新しいコンピュータとして再
有効化を行います。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 61
Public
以下は、考慮すべき注意事項です。
VM/Instance は Cloud Account/vCenter.の下で管理する必要があります
VM/Instance には一意のシステム ID(BIOS UUID、MAC アドレス、ホスト名、IP)が必要です。
環境内のネットワーク通信に通信の問題がないことを確認します。これにより、ホストがオフラインに
なったり、不一致が発生したりするのを防ぐことができます。
VM の複製 – 元の VM はアクティベートしたままにします。
アクティベーションの複製は、元の VM からのポリシーまたは設定の移行はされません。
不明な VM の再有効化を許可する
これにより、クラウド環境から削除され、Deep Security Manager から削除された以前にアクティベートされた
VM を VM のインベントリに追加し直すと、その VM が再アクティベートされるようになります。
これは、サーバが誤って Agent を削除した場合、またはサーバが Agent を無効化したが
Agent が無効化要求を受信しなかった場合に活用できます。
以下は、考慮すべき注意事項です。
VM は、有効なサーバ証明書を持っている必要がありますが、現在の Deep Security Manager サーバに
有効なアクティベーションレコードがない。
不明な端末のアクティベーションは元の VM からポリシーまたは設定を移行しません。
D. ポリシーの変更を即時送信
初期設定では、この設定はオンになっています。Deep Security 環境内の設定に変更が加えられると、影響を受けた
すべてのコンピュータがただちにアップデートされます。
設定を変更するには、[ポリシー/コンピュータ] > [設定] > [コンピュータ] > [ポリシーの変更をコンピュータに自動的に送
信する]に移動します。
このオプションは無効にすることをお勧めします。代わりに、予約タスクを使用してポリシーの変更をアップデートする
か、クライアントに手動でアップデートすることができます。手動または予約アップデートでは、管理者は既存の変更管
理プロセスに従うように、より多くの制御を行うことができます。予約タスクは、メンテナンス期間中やトラフィックが少な
い時間外、その他の時間にコンピュータをアップデートするように設定できます。
コンピュータが最後にアップデートされた日時は、管理者は Deep Security Manager の[コンピュータ]タブにある[前回
のアップデート成功]情報をから確認できます。
E. Agent セルフプロテクション
初期設定では、不正プログラム対策機能がインストールされている場合、Deep Security Agent は自身からのシャット
ダウンを含むあらゆる変更から、サービス、インストールディレクトリ、およびステータスを保護できます。
この設定が有効になっている場合、[ポリシー/コンピュータ] > [設定] > [Agent セルフプロテクション]の順に選択して、
ローカルオーバーライド設定のパスワードを有効にして設定します。
F. 予約タスク
タスクは、特定の共通タスクをスケジュールに従って自動化するように設定できます。以下に、設定を推奨する予約タ
スクのリストを示します。
セキュリティアップデートのダウンロード(頻度:毎日 1 回)
Trend Micro Deep Security 12.0 ベストプラクティスガイド 62
Public
コンピュータの不正プログラム検索(頻度:毎週 1 回、または会社のポリシーに従って)
推奨設定(頻度:毎週 1 回)
ポリシーの送信(頻度:毎週 1 回、必要に応じて実行)
推奨検索のスケジュールを設定する場合は、グループごとに(ポリシーごと、またはコンピュータ数が 1,000 を超えな
いグループごとに)タスクを設定し、他の予約タスクと別の日時に設定することをお勧めします(例:データベース
サーバの推奨検索は毎週月曜日、メールサーバの推奨検索は毎週火曜日にスケジュール)
推奨設定の検索は Deep Security Manager で CPU を大量に使用する可能性があるため、グループごとに異なるスケ
ジュールを設定することでパフォーマンスの問題を回避できます。頻繁に変更されるシステムの場合は、推奨検索の
頻度を高く設定します。
G. ログ保存期間
Deep Security Manager に組み込まれている機能を実行することをお勧めします。より長い期間ログセットを保持するコ
ンプライアンス要件がある場合は、サードパーティの SIEM 製品を使用してデータを保存することをお勧めします。
[管理] > [システム設定] > [ストレージ]の順に選択します。
イベントの保存は、適度なサイズのデータベースを維持するために必要です。初期設定の保存期間は次のとおりで
す。
セキュリティイベント(AM、FW、IPS、IM、LI)の 7 日間
システムまたは Agent のイベント用ではありません(これらは監査の目的に使用するため)
カウンタの場合は 13 週間(レポートに使用され、セキュリティイベントログと比較して非常に小さい場合)
H. タグをイベントに使用する
イベントにタグを付けることで、管理者は事前に定義されたラベルまたはカスタムラベルをイベントに手動でタグ付け
できます。これにより、ログの監視とレビューがより効率的になります。
タグおよび自動タグルールを設定するには、[ポリシー] > [共通オブジェクト] > [その他] > [タグ]の順に選択します。
「信頼済みソースベースイベントのタグ付け」も参照してください。
I. Active Directory との同期(ユーザとコンピュータ)
Deep Security は、Active Directory を使用したコンピュータの検出とユーザ管理のためのユーザのインポートをサポー
トしています。ユーザアカウント情報を機密情報となり、暗号化せずに送信すべきではないため、ユーザアカウント情
報の同期に、非 SSL ベースの LDAP は、使用できません。ドメインコントローラは、ディレクトリ同期が機能するように
LDAP(ポート 636)をサポートする必要があります。
LDAP を有効にする方法の詳細については、Microsoft 社の次の情報を参照してください。
サードパーティ認証機関との LDAP over SSL を有効にする方法
LDAP over SSL(LDAPS)証明書
ただし、Active Directory を使用するコンピュータの検出および同期は、取得される情報が機密情報ではないため、標
準の LDAP(ポート 389)を使用して実行できます(ユーザの資格情報はにプルダウンされません)。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 63
Public
6 パフォーマンスのチューニングと最適化
図 26:DSM のパフォーマンスチューニング
6.1 Deep Security Manager
6.1.1 Deep Security Manager の最大メモリ使用率を設定する
Deep Security Manager の初期設定ではメモリ使用量の最大値はる 4GB です。Deep Security ヘルプセンターで サイジング
を参照して、Deep Security Manager に割り当てられている推奨サイズを確認してください。
Deep Security Manager で使用可能なメモリの量を設定するには、次の手順を実行します。
Windows の場合:
1. Deep Security Manager ディレクトリ(Deep Security Manager.exe と同じディレクトリ)に移動します。例:
C:\Program Files\Trend Micro\Deep Security Manager)。
2. Deep Security Manager.vmoptions という新しいファイルを作成します。
3. 次の行を追加してファイルを編集します-Xmx8g(この例では、「8g」は Deep Security Manager)で使用可能な
8GB のメモリを作成します。
4. ファイルを保存し、Deep Security Manager を再起動してください。
Linux の場合:
1. Deep Security Manager ディレクトリ(/opt/dsm)に移動します。
2. dsm_s.vmoptions という名前の新しいファイルを作成します。
3. 次の行を追加してファイルを編集します-Xmx8g(この例では、「8g」は Deep Security Manager)で 8GB のメモリを使用可能にします。
4. ファイルを保存し、Deep Security Manager を再起動してください。
新しい設定を確認するには、[システム] > [システム情報]の順に選択し、[システムの詳細]>[Manager ノード] > [メモリ]の
最大メモリの値に新しい設定値が表示されます。
CPU やメモリ を Deep Security Manager のコンピュータに追加する場合は、新しい Deep Security Manager ノードの追加も
検討してください。4 つの CPU/8G メモリを持つ 2 つの Deep Security Manager ノードは、ほとんどの場合、8 つの
CPU/16GB メモリを持つ 1 つの Manager ノードよりも優れたパフォーマンスを発揮します。Configure Multi-Node Managers
を参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 64
Public
6.1.2 複数の Manager を設定する
複数の Manager を 1 つのデータベースを使用して並列に実行し、インストールします。複数のノードを実行すると、信頼
性、高可用性、スケーラビリティ、およびパフォーマンスが向上します。
各ノードはすべてのタスクを実行できるため、ユーザは任意のノードにログインしてタスクを実行できます。ノードの障害
は、タスクに影響を与えたり、データを失なわせることはありません。
Manager ノードは、ダウンタイムなしでいつでも追加(または削減)できます。
図 27:Manager ノードの設定
各ノードでは、同じバージョンの Deep Security Manager ソフトウェアを実行する必要があります。いずれかの Manager ノード
を新しいバージョンにアップグレードすると、他のノードは同じバージョンにバージョンアップされるまで自動的にシャットダウ
ンされます。
新しい Manager ノードを追加するには
1. 新しいハードウェアと OS を準備します。
2. そのハードウェア上で Deep Security Manager インストーラを実行します。
3. Deep Security Manager の既存の Manager と同じデータベースを選択します。
4. [新しい Manager ノードを追加]を選択します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 65
Public
図 28:新しい Manager ノードの追加
ご利用の際は、2 つの Manager ノードが推奨されます。3 つ以上の Manager ノードによりデータベース I/O のボトルネック
が発生し、パフォーマンスが低下する可能性があります。3 つ以上の Manager ノードを追加する代わりに、システム
RAM、JVM 割り当て、および CPU を増やしてスケーラビリティを向上させてください。サイジングのガイドラインについて
は、Deep Security のヘルプセンターで サイジング を参照してください)。サイジングのガイドラインに従って、Manager ノー
ドが実装に不十分であると感じる場合は、サポート担当者に問い合わせてください。
マルチノード Manager 環境では、すべての Agent と仮想アプライアンスにすべての Manager ノードのアドレスが割り当てられ
ます。Agent と仮想アプライアンスはアドレスのリストを使用して、連絡先のノードをランダムに選択します。Agent と仮想アプ
ライアンスは、ノードに到達できなくなるかすべてのノードがビジー状態になるまで、リストのノードへのアクセス試行を実施し
ます。
ロードバランサ環境でマルチノード Manager を使用する場合は、[管理] > [システム設定] > [詳細] > [ロードバランサ]の順
に選択して、ロードバランサの設定を行います。「ロードバランサのサポート」を参照してください。
6.1.3 Deep Security Virtual Appliance のパフォーマンスに関する考慮事項
Deep Security Virtual Appliance の初期設定では 4GB の RAM が使用されますが、アプライアンスで必要なメモリが増えれば
増やすことができます。アプライアンスの RAM を変更する方法については、Deep Security のヘルプセンターの Deep
Security Virtual Appliance のメモリ割り当てを参照してください。
6.1.4 パフォーマンスプロファイル
パフォーマンスプロファイルは、特定の種類の機能に対して同時に実行できる操作の数を決定します。これには、Deep
Security Virtual Appliance によって開始された Deep Security Agent の接続数と、仮想環境でのスキャンストリームを回避す
るための設定が含まれます。
この設定では、特定の Deep Security Manager の制限を調整し、必要な負荷を設定できます。この機能を使用すると、環境
内で行われた検索を制御して検索を無制限に実行できるようになります。また、検索の制限により、パフォーマンスの問題を
回避できます。
[Deep Security Manager] > [管理] > [システム情報]からパフォーマンスプロファイルを変更できます。
マップ上で目的の Manager をクリックし、パフォーマンスプロファイルを変更します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 66
Public
プロファイルの各タイプの処理については、次の表を参照してください。
A. アグレッシブプロファイル
初期設定では、新しいインストールではアグレッシブなパフォーマンスプロファイルが使用されます。このプロ
ファイルは、専用の Deep Security Manager 用に最適化されています。つまり、Deep Security Manager をホスト
するコンピュータは他のタスク(データベースサーバや Web サーバなど)を実行しません。
処理 2 コアシステム 4 コアシステム 8 コアシステム
有効化 10 15 20
アップデート 25 37 50
推奨設定の検索 5 7 12
ステータスの確認 100 100 100
Agent/Appliance-Initiated ハート
ビート
20 アクティブ 30 アクティブ 50 アクティブ
40 Queued 40 Queued 40 Queued
エンドポイントディスク&ネット
ワークジョブの同時実行
50
50
50
エンドポイントディスク&ESX あ
たりのネットワークジョブの同時
実行
3
3
3
表 5:攻撃的なプロファイル
このプロファイルは、次のシナリオで使用します。
仮想化環境(Deep Security Virtual Appliance および VMware を使用した Agent レス環境)
Hyper-V、Citrix、または物理 Agent が保護を提供するために使用されるその他のハイパーバイザ
初期設定のプロファイルでは、同時スキャンは ESX ホストごとに 3 つ、他の仮想化プラットフォーム上の物理マ
シンまたは VM に対してはグローバルに 50 に制限されており、検索の嵐を回避します。
同時の制限には、不正プログラム検索、推奨設定の検索、整合性検索、ベースラインの再構築、およびアップ
デートが含まれます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 67
Public
サンプルシナリオ:
図 29:攻撃的なプロファイルのサンプル
すべての 250 台のコンピュータで検索が実行されると、同時に 250 台のコンピュータすべてに対して検索を実
行するのではなく、次の手順で要求が処理されます。
Deep Security Agent で保護されている最初の 3 つの VM を検索します。残りの 47 台の VM がキューに入
れられます。それらはコンソールで「Scan Pending」と表示されます。1 つの検索ジョブが終了すると、
キュー内の次の検索が開始されます。
Deep Security Agent で保護されている最初の 50 台の物理マシンを検索します。残りの 50 台のコンピュー
タがキューに配置されます。1 つの検索ジョブが終了すると、キュー内の次の検索が開始されます。
Deep Security Virtual Appliance で保護されている 1 台の VM を検索します。残りの 99 台の VM がキュー
に入れられます。それらはコンソールで[検索保留中]と表示され、1 台の Agent レス VM が検索を終了す
るとすぐに処理されます。
Deep Security Virtual Appliance の最大同時スキャン数は初期設定で「1」に設定されています。ただし、Deep
Security Virtual Appliance のプロパティで変更できます。[設定]>[一般]>[Virtual Appliance]>[同時検索の最大数]
の順に選択します。
図 30:最大同時検索数
この設定は、仮想アプライアンスが同時に実行する検索の数を決定します。推奨最大数は「5」です。10 を超える
数を増やすと、検索パフォーマンスが低下する可能性があります。検索要求は Deep Security Virtual Appliance に
よってキューに入れられ、到着した順に実行されます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 68
Public
B. 標準プロファイル
アグレッシブなプロファイルを設定しても同様の設定ですが、下限値に設定されています。
処理 2 コアシステム 4 コアシステム 8 コアシステム
有効化 5 10 10
アップデート 16 26 46
推奨設定の検索 3 5 9
ステータスの確認 65 100 100
Agent/Appliance-Initiated ハー
トビート
20 アクティブ 30 アクティブ 50 アクティブ
40 Queued 40 Queued 40 Queued
エンドポイントディスク&ネット
ワークジョブの同時実行
50
50
50
エンドポイントディスク&ESX あた
りのネットワークジョブの同時
実行
3
3
3
表 6:標準プロファイル
このプロファイルは、次のシナリオで使用します。
Deep Security Manager が他のリソース集約型ソフトウェアを使用するシステムにインストールされており、
リソースが制限されている場合のみ。
C. 無制限の Agent ディスク&ネットワーク使用率
この設定はアグレッシブと同じですが、エンドポイントのディスクおよびネットワークの使用状況に制限はありません。
処理 2 コアシステム 4 コアシステム 8 コアシステム
有効化 10 15 20
アップデート 25 37 50
推奨設定の検索 5 7 12
ステータスの確認 100 100 100
Agent/Appliance-Initiated ハート
ビート
20 アクティブ 30 アクティブ 50 アクティブ
40 Queued 40 Queued 40 Queued
エンドポイントディスク&ネットワ
ークジョブの同時実行
無制限
無制限
無制限
エンドポイントディスク&ESX あ
たりのネットワークジョブの同時
実行
無制限
無制限
無制限
表 7:Agent ディスク&の無制限ネットワーク使用状況
Trend Micro Deep Security 12.0 ベストプラクティスガイド 69
Public
このプロファイルは、次のシナリオで使用します。
完全な物理環境
このプロファイルを使用すると、できるだけ多くの検索を同時に実行し、共有ディスクがないと見なします。
1. *ディスクとネットワークの使用が制限されています – このプロファイルは、以前のバージョンの Deep
Security にのみ存在します。Deep Security 環境をアップグレードした場合、追加のプロファイルとして表示さ
れることがあります。
2. カスタムパフォーマンスプロファイル– さらに初期設定のプロファイルを調整する必要がある場合は、テクニ
カルサポートにお問い合わせください。
カスタムパフォーマンスプロファイルが必要かどうかを判断するのに役立ついくつかの現象は、次のとおりです。
頻繁なクライアントのハートビート拒否
完了までに時間がかかる推奨設定の検索
完了までに時間がかかりすぎる不正プログラム検索
図 31:データベースのパフォーマンスチューニング
6.2 データベース
6.2.1 不正プログラム対策検索からデータベースファイルを除外する
安定したデータベースパフォーマンスを最適化して確立するには、データベース関連のファイル(dsm.mdf および dsm.ldf )を
任意の種類の不正プログラム検索から除外する必要があります。
6.2.2 自動拡張とデータベース管理
Microsoft SQL Server の場合は、初期設定の自動拡張設定をより高い値に調整することで、今後自動拡張イベントを少な
くすることができます。
データベースのメンテナンスジョブを監視および実行して、正常に機能していることを確認し、断片化された大量のデータ
ベースが作成されないようにします。パフォーマンスに問題が発生する可能性があります。
NOTE 自動拡張イベントが実行されるたびに、SQL Server によってデータベース処理が遅延されます。つまり、その
データベースに対する処理は、自動拡張イベントが完了するまで遅延されます。これにより、増加中のデータベースに対し
て処理中の他の SQL コマンドの応答時間が遅くなる可能性があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 70
Public
6.2.3 データベースのインデックス作成
パフォーマンスを向上させるには、データベースのインデックスを定期的に再構築することをお勧めします。
インデックスは、データベースエンジン内のテーブル(およびビュー)で動作する特殊なデータ構造で、データの検索および
並べ替えに役立ちます。データベースエンジンが結果を迅速に返すためには、インデックスが不可欠です。
インデックスが操作される基礎となる表でデータが変更されると、インデックスは断片化されます。インデックスが断片化す
るほど、問合せ時間は長くなります。この状況を修正するには、Microsoft SQL または Oracle でインデックスを再編成また
は再作成してください。
以下に、便利なリンクと、これを行う方法に関する追加情報を示します。 インデックスの再編成と再構築 インデックス再構築テクニック
6.3 Deep Security Relay
6.3.1 Deep Security Relay の場所
少なくとも 1 つの Deep Security Relay がすべての Deep Security 環境で必要です。Deep Security Manger インストーラと同
じフォルダに Deep Security Agent パッケージを配置すると、Deep Security Relay を Deep Security Manager と同じノードに
配置できます。
追加の Relay を設定して冗長性を確保することをお勧めします。Deep Security Agent の Relay 機能はいつでも有効にでき
ます。
6.3.2 Relay グループ
Relay は Relay グループに属します。Deep Security Agent および Deep Security Appliance は、個々の Relay ではなく、
Relay グループに割り当てられます。初期設定では、Deep Security Manager には「初期設定の Relay グループ」のみがあ
り、すべての Relay がこのグループに属します。複数の Relay グループを作成して階層内に配置できます。1 つのトップレ
ベルグループがトレンドマイクロのアップデートサーバからアップデートを取得し、サブグループの階層を下に通過させま
す。
新しい Relay グループを追加するには、[管理] > [アップデート] > [ Relay の管理] の順に選択します。
図 32:Relay グループ
Trend Micro Deep Security 12.0 ベストプラクティスガイド 71
Public
6.4 NSX-v
6.4.1 NSX ファイアウォール
NSX ファイアウォールルールを作成して、ファイアウォールおよび IPS インスペクション用に Deep Security Virtual Appliance
にリダイレクトされる前に、不要なトラフィックをフィルタで除外することができます。Deep Security Virtual Appliance は、次
の一般的な設計上の考慮事項に基づいて、NSX インフラストラクチャ内の別の層にファイアウォール機能を提供します。
VMWare NSX 分散型 ファイアウォール (DFW)は、VM vNIC 層で直接ファイアウォールを適用するためのもので、SDDC
環境でのトラフィックのフィルタリングに使用されます。
ほとんどの場合、VMWare NSX Edge ファイアウォール は、North-South トラフィックを処理しますが、トラフィックはデ
ータセンターを通過しています。
Deep Security は NSX のクラスタレベルでサービスとして配信され、Deep Security Virtual Appliance は ESXi ホストレベ
ルで展開されます。Deep Security Virtual Appliance のファイアウォールおよび IPS エンジンのネットワークトラフィックフ
ィルタは、NSX Security Policy Network Introspection Services レイヤで定義されています。このレイヤは、NSX ファイアウ
ォールルールの階層の後にフィルタされます。
初期設定の Deep Security ポリシーには、ファイアウォールルールと IPS ルールが設定されています。これらのルール
は、主にアプリケーションとサーバの OS の種類に基づいています。
自動ポリシーの割り当ておよび VM の有効化ステータスの管理には、Deep Security イベントベースタスク(EBT)を使用する
ことをお勧めします。Deep Security EBT は、Network Introspection Service をリダイレクトする NSX のサービスプロファイル
として NSX Security Policy に挿入されます。適切な NSX セキュリティポリシーと NSX セキュリティグループの設計は、Deep
Security ポリシーにとって重要です。そのため、VM は一貫したセキュリティ設定を受信できます。
6.4.2 NSX セキュリティポリシー
一般に、VMWare では、NSX セキュリティポリシーを作成するためのさまざまなオブジェクトグループ設定モデルを推奨して
います。
ネットワークベースのポリシー:これは L2 または L3 要素に基づくグループ化の伝統的なアプローチです。グループ化
は、MAC アドレス、IP アドレス、またはその両方の組み合わせに基づいて行うことができます。
これは、VM およびアプリケーショントポロジが急速に変化するクラウド自動配信などの動的環境では推奨されない
アプローチです。
インフラストラクチャベースのポリシー:グループは、vCenter クラスタ、論理スイッチ、分散ポートグループなどの SDDC
インフラストラクチャに基づいています。環境に物理的または論理的境界がない場合は、この方法を使用しないことを
お勧めします。
アプリケーションベースのポリシー:このアプローチでは、グループ化はアプリケーションの種類に基づいています。
NSX を配信する場合は、インフラストラクチャベースのポリシーまたはアプリケーションベースのポリシーを使用することを
お勧めします。したがって、Deep Security のポリシー管理と NSX のセキュリティグループおよびポリシー設計とを事前に関
連付けることをお勧めします。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 72
Public
NSX Security Group は、次の図に示すように、複数の包含および除外を使用して定義できます。
図 33:NSX のセキュリティグループ
NSX では、VM を複数のセキュリティグループに割り当てることができます。ただし、Deep Security ポリシーの割り当ての
観点からは、個々の VM を 1 つの NSX セキュリティグループに割り当てる必要があることは重要です。そうしないと、複
数の Deep Security ポリシーが VM に割り当てられる可能性があります。
NSX Security Group Change EBT を使用して Deep Security セキュリティポリシーの割り当てを管理する場合は、個々のシナ
リオで次の設定を使用してタスクを作成することをお勧めします。
可能であれば、完全な NSX セキュリティグループの一致を使用してください。管理作業を軽減するには、必要に
応じて java regex matching pattern を使用します。
保護されていない VM は、[Appliance protection available] = TRUE、[Appliance Protection activate] = False のみで
アクティベートします。
VM が NSX セキュリティグループから脱退した場合は、VM を非アクティブにします。
個々の NSX セキュリティグループに対して EBT を作成し、それに応じて Deep Security のセキュリティを割り当て
ます。
複数の vCentre を Deep Security Manager にインポートする場合は、vCenter を EBT 一致条件で指定し、EBT
を期待される vCenter のみで使用できるようにします。
パフォーマンスを向上させるには、異なる Deep Security の機能が有効になっているコンピュータのグループごとに、異なる
セキュリティポリシーを定義します。たとえば、AM のみが有効なコンピュータのセキュリティポリシーを定義します。このポ
リシーでは、Network Introspection Services を指定しないでください。
Deep Security ファイアウォールを使用しているコンピュータでは、Network Introspection Services で 1 つのサービスを追
加して、すべてのトラフィックを Deep Security Virtual Appliance にリダイレクトします。IPS のみを使用する場合は、Network
Introspection Services の追加時に Deep Security Virtual Appliance を確認する必要があるポートだけをリダイレクトするこ
とを検討してください。たとえば、Web サーバの場合は、ポート 80 のルールのみが割り当てられます。次に、NSX セキュ
リティポリシー内のポート 80 トラフィックだけをリダイレクトします。これにより、他のトラフィックが VM に直接到達できるよ
うになります。
NOTE Deep Security と NSX 6.2.3(またはそれ以上のバージョンの)との間には、いくつかの互換性の問題があ
ります。詳細については、こちらをクリックしてください。
Deep Security 12.0 は NSX 6.2.x をサポートしていません。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 73
Public
7 災害復旧
Deep Security は、すべての構成と設定にデータベースを使用します。適切な災害復旧計画を実施することを強くお勧めしま
す。これにより、災害発生時に最も迅速に運用環境を正常に復旧することができます。
図 34:バックアップ、復元、および復元
Deep Security データベースの定期的なバックアップがスケジュールされていることが重要です。特にパッチまたはソフトウェア
へのアップグレードを適用する場合は、注意が必要です。
Microsoft SQL Server Management Studio を使用してデータベースをバックアップおよび復元することをお勧めします。
詳細な手順については、Microsoft 社のドキュメントで SSM を使用したデータベースバックアップの復元を参照してく
ださい。
Oracle データベースをバックアップおよび復元するには、Oracle サポートに問い合わせるか、Oracle ドキュメントでデー
タベースのバックアップと復元を参照して、Oracle Recovery Manager ツールを使用してタスクを実行してください。
データベースファイルと同じ物理的な場所にバックアップを保存しないでください。物理ドライブが正常に動作しない場合は、バッ
クアップを保存した別のドライブまたはリモートの場所を使用して復元を実行できるはずです。
Deep Security Manager と同じバージョン番号のデータベースのみを復元してください。
7.1 高可用性
データベースクラスタリングは Oracle 環境と Microsoft SQL 環境の両方でサポートされており、惨事復旧の場合に推奨さ
れます。
Oracle Data Guard および Microsoft SQL データベースミラーリングの両方には、通常の Deep Security 機能に副作用がな
いため、安全に使用できます。
惨事から復旧するには、データベースが完全にミラー化または復元され、環境内で使用可能であることを確認してくださ
い。コールド・スタンバイの Deep Security Manager を準備し、ミラーリングまたはリストアされたデータベースをポイントして
サービスを開始します。
NOTE Microsoft SQL の高可用性環境では、Deep Security Manager はインストール時にデータベースのリスナ IP に
接続する必要があります。そのため、データベースが別の場所に復元されるたびに Deep Security Manager で設定を
変更する必要はありません。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 74
Public
7.2 物理マシン(Deep Security Agent を使用)の惨事復旧
場合によっては、不適切なポリシーまたはルールを割り当てると、マシンがネットワークから完全に隔離されます。障害の
発生したルールまたはポリシーを削除するには、次のいずれかを実行します。
1. ルールがポリシーにのみ適用されている場合は、ポリシーからルールを削除し、影響を受けたコンピュータ
にポリシーを送信します。
a. [ポリシー]に移動し、影響を受けたポリシーをダブルクリックします。
b. ファイアウォール > 割当/割り当て解除 でルールを解除し保存します。
c. 影響を受けたコンピュータを右クリックし[ポリシーの送信]をクリックします。
2. ルールがマシンに直接適用されている場合は、影響を受けた各マシンの詳細を開き、ルールに問題がある場合は
削除します。
a. 影響を受けたコンピュータに移動し、ダブルクリックして詳細を開きます。
b. ファイアウォール > 割当/割り当て解除 でルールを解除し保存します。
c. [概要] > [処理] > [ポリシーの送信]に移動するか、影響を受けるコンピュータを右クリックして、 [処理] >
[ポリシーの送信]の順に選択します。
3. どのルールに問題があるかわからない場合は、マシンからポリシー全体を削除してください。
a. 影響を受けたコンピュータを右クリックし、[処理] > [ポリシーの割り当て] > [なし]の順に選択します。
b. 影響を受けたコンピュータを右クリックし、[処理] > [ポリシーの送信]の順に選択します。
4. 関係するルールがファイアウォールルールまたは侵入防御ルールの場合は、ファイアウォールと侵入防御の状
態を「オフ」にすることも検討できます。これは、影響を受けたコンピュータまたはポリシーの詳細 > 概要から設定
できます。
5. Deep Security Manager が Agent と通信できない場合は、コンピュータにローカルでログオンし、Agent のリセットを
実行して、Agent 上のすべての設定を完全にクリアして無効にします。
ローカル Agent のコマンドプロンプトで、次のコマンドを実行します。
dsa_control -r
[リセット]処理では次の処理が実行されます。
Deep Security Agent のすべての設定と Deep Security Agent のメモリをクリーンアップします。
Deep Security Agent と Deep Security Manager との関係を削除します。
データベースから対応するエントリを削除します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 75
Public
6. 最近の変更を行わずに新しいポリシーを使用して再有効化してください。
7.3 アクセス不能な Deep Security Virtual Appliance の回復
アクセス不能な Deep Security Virtual Appliance を復元するには、次の手順を実行します。
1. Deep Security Virtual Appliance を再起動します。
2. 再起動しても問題が解決しない場合は、既存の Deep Security Virtual Appliance をシャットダウンします。
3. Deep Security Manager にログインして、アクティブでない Deep Security Virtual Appliance を無効にして、
「Deactivation Failed」([コンピュータ] > [Deep Security Virtual Appliance] > 右クリック > [処理] > [無効化])の画面
が表示されるまで待ってください。
4. その Deep Security Virtual Appliance の警告とエラーをクリアします([コンピュータ] > [Deep Security Virtual
Appliance] > [処理] > [警告とエラーのクリア])
5. Deep Security Manager から新しい Deep Security Virtual Appliance を再配信します。
再配信の方法は Deep Security Virtual Appliance(DSVA)を削除/再配信する方法 を参照してください。
6. すべての VM を新しい Deep Security Virtual Appliance に再有効化します。
障害の発生した Deep Security Virtual Appliance を交換すると、元の Deep Security Virtual Appliance のすべてのログ、設
定、および隔離されたファイルが失われることに注意してください。
7.4 深刻なセキュリティ問題の隔離
1. Agent を無効化またはアンインストールするのではなく、まず問題の原因となったモジュールを隔離することをお
勧めします。関連するイベントログで、問題に関する情報と手がかりを確認してください。
関連するログがなく、複数の機能が使用されている場合は、疑わしいモジュールを 1 つずつオフにして、原因を
探してください。
たとえば、HTTP ブロックトラフィックに問題がある場合は、まず Web レピュテーションをオフにしてからファイアウ
ォールをオフにします。
2. Web レピュテーション関連の問題:
特定のサイトへのトラフィックがブロックされている場合は、ポリシー/コンピュータ > Web レピュテーション
> [除外]タブに移動して、「許可」URL に URL トラフィックを追加することを検討してください。許可リストに
URL を入力し、ポリシーを保存してから送信します。
サイトを許可リストに追加しても問題が解決しない場合は、Web レピュテーションをオフにしてください(ポリ
シー/コンピュータ > Web レピュテーション > 一般 > 設定)。
Web レピュテーションがオフになっていても問題が解決しない場合は、有効なその他の機能を確認してくだ
さい。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 76
Public
3. ファイアウォール関連の問題:
新しいルールまたはルールの変更が発生した場合に注意してください。疑わしいルールの割り当てを解除
し、問題が解決するかどうかを確認します。
問題の原因となっているルールが不明な場合は、影響を受けたコンピュータに割り当てられているポリシーを
削除することを検討してください。問題が引き続き発生するかどうかを確認します。
最近変更が発生していないのにトラフィックがブロックされている場合は、ファイアウォールをオフにしてくだ
さい。これを実行するには、ポリシー/コンピュータ > ファイアウォール > 一般 > ファイアウォール に移動しま
す。
ファイアウォールが無効で問題が解決しない場合は、ファイアウォールステートフル設定も「なし」に設定されて
いることを確認してください。(ポリシー/コンピュータ > ファイアウォール > 一般 > ファイアウォールステートフル
設定)。
両方の設定がオフになっていても問題が解決しない場合は、ネットワークエンジンを[タップ]モードに切り替え
ます。[ポリシー/コンピュータ ] > [設定] >[詳細]> [ネットワークエンジン設定] > [ネットワークエンジンモード]の
順に選択します。
それでも問題が解決しない場合は、有効になっているその他の機能を確認してください。
4. 侵入防御に関連する問題の場合:
新しいルールのアップデートが適用されているか、ルールの変更が実行されているかどうかを確認します。疑
わしいルールの割り当てを解除するか、ルールアップデートをロールバックし問題が解決するかどうかを確認
します。
問題の原因となっているルールがわからない場合は、影響を受けたコンピュータに割り当てられているポリ
シーを削除することを検討してください。問題が引き続き発生するかどうかを確認します。
最近の変更またはアップデートが適用されていないがトラフィックがブロックされている場合は、その動作を
[防御]から[検出]に切り替えたり、侵入防御をオフにします。両方の設定は、[ポリシー/コンピュータ] > [侵入
防御] > [一般] > [侵入防御]で選択してください。
侵入防御がオフになっていても問題が解決しない場合は、ネットワークエンジンを[タップ]モードに切り替えま
す。[ポリシー/コンピュータ ] > [設定] >[詳細]> [ネットワークエンジン設定] > [ネットワークエンジンモード]の順
に選択します。
引き続き問題が解決しない場合は、有効になっているその他の機能を確認してください。
5. 不正プログラム対策に関する問題:
パフォーマンス関連:
不正プログラム対策モジュールをオンにしたときにパフォーマンスやアクセスの問題が発生した場合は、最初に検
索対象のディレクトリまたはファイルを除外リストに追加することを検討してください。これを実行するには、ポリシ
ー/コンピュータ で使用される検索設定に移動します(ポリシー/コンピュータ] > [不正プログラム対策] > [一般] >
[各検索の種類] の [編集] > [除外設定])。問題が引き続き発生するかどうかを確認します。
除外にファイルまたはディレクトリを追加できない場合は、影響を受けたコンピュータに割り当てられているポリシ
ーを削除してください。
問題が解決しない場合は、不正プログラム対策による保護をオフにしてください。ポリシー/コンピュータ
> 不正プログラム対策 > 一般 > 不正プログラム対策状態 に移動します。
問題が解決しない場合は、Agent を無効化します。
それでも問題が解決しない場合は、有効になっているその他の機能を確認してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 77
Public
検出の問題:
問題に検出された不正プログラムが含まれている場合は、不正プログラム対策の状態を確認し、エラー
がないことを確認してください。[ポリシー/コンピュータ] > [不正プログラム対策] > [イベント]で失敗したイ
ベントを確認します。
Smart Protection 設定を確認して、接続エラーがないことを確認してください([ポリシー/コンピュータ] >
[不正プログラム対策] > [Smart Protection])。
問題が解決しない場合は、トレンドマイクロのテクニカルサポートにお問い合わせください。
6. 変更監視に関する問題の場合:
新しいルールのアップデートが適用されているか、ルールの変更が実行されているかどうかを確認しま
す。追加の変更が行われたことに注意し、設定の変更を確認してください。また、疑わしいルールの割り
当てを解除するか、ルールアップデートをロールバックすることもできます。問題が解決しない場合は、確
認してください。
最新の変更またはアップデートが適用されていないのにアラートが引き続き生成される場合は、[ポリシ
ー/コンピュータ] > 変更監視 > 一般 > 設定に進み、オフにします。
それでも問題が解決しない場合は、有効になっているその他の機能を確認してください。
7. セキュリティログ検査に関する問題の場合:
新しいルールのアップデートが適用されているか、ルールの変更が実行されているかどうかを確認しま
す。追加の変更が行われたことに注意し、設定の変更を確認してください。また、疑わしいルールの割り
当てを解除するか、ルールアップデートをロールバックすることもできます。
最新の変更またはアップデートが適用されていないのにアラートが引き続き生成される場合は、[ポリシ
ー/コンピュータ] > セキュリティログ検査 > 一般 >設定の順に選択して、オフにします。
それでも問題が解決しない場合は、有効になっているその他の機能を確認してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 78
Public
8 その他の配置シナリオ 8.1 複数テナント環境
マルチテナントを使用すると、同じ Manager およびデータベースインフラストラクチャを使用して、Deep Security の独立し
た環境を作成できます。これは、サービスプロバイダや、部門間や業務部門間の強力な隔離が必要な企業で使用できま
す。
マルチテナント環境のサイジング情報については、Deep Security のヘルプセンターを参照してください。
マルチテナント環境の設定:
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/multi-tenancy.html#scalability
Deep Security Manager のサイジング:
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Get-Started/sizing.html
Deep Security 10.2 以降、PostgreSQL データベースを使用している場合はテナントごとに別々のデータベースにマルチテ
ナントがサポートされています。
推奨設定:
1. 攻撃の予兆 IP リスト
マルチテナント環境では、テナントは、ポリシー >共通オブジェクト > リスト>IP リスト にある Ignore Reconnaissance IP リ
ストを手動で追加する必要があります。これは、「攻撃の予兆の検出: ネットワークまたはポートの検索」という警告メ
ッセージが表示されないようにするためです.
2. マルチデータベースサーバ
マルチテナントは、Microsoft SQL の場合は複数のデータベースを使用するか、Oracle の場合は複数のデータベー
スを使用します。さらに拡張するには、Deep Security Manager を複数のデータベースサーバに接続して、新しいテ
ナントを使用可能な一連のデータベースサーバに自動的に配信できます。
追加のデータベースを設定するには、
[管理] > [システム設定] > [テナント] > [データベースサーバ]
3. チャージバック機能を使用してテナントの使用状況を監視する
監視は、Deep Security Manager の使用率を保護時間ごとに判断するのに役立ちます。Deep Security Manager では、
テナントの使用状況に関するデータが記録されます。この情報は、ダッシュボードの テナントの保護アクティビティウィジ
ェット、テナント プロパティウィンドウの 統計タブ、およびチャージバックレポートに表示されます。
この情報をカスタマイズして、レコードに含まれる属性を特定できます。また、システム全体の使用状況を監視し、異
常なアクティビティのインジケータを検索する機能も備えています。たとえば、単一のテナントでセキュリティイベントア
クティビティが急上昇した場合、は攻撃を受けている可能性があります。
4. テナントの「削除の保留中」状態
テナントは削除されましたが、処理はまだ実行されていません。これにより、レコードが削除される前にすべてのテ
ナント関連ジョブが終了することが保証されます。最も長いジョブが毎週実行されるため、データベースが削除される
までテナントは約 7 日間削除保留状態になります。
5. [システム設定] のマルチテナントのオプション
Trend Micro Deep Security 12.0 ベストプラクティスガイド 80
Public
「初期設定の Relay グループ」内の Relay の使用をテナントに許可
これにより、テナントはプライマリテナントで設定された Relay に自動的にアクセスできるようになり、テナントがセ
キュリティアップデート専用の Relay を設定する必要がなくなります。
予約タスク「スクリプトの実行」の使用をテナントに許可:
スクリプトは、潜在的に危険なレベルのシステムへのアクセスを示します。ただし、ファイルシステムアクセスを使
用して Deep Security Manager にスクリプトをインストールする必要があるため、リスクを軽減できます。 8.2 チーム化 NIC を使用する環境
Windows NIC チーミングソフトウェアは、新しい仮想マスターインタフェースを作成します。このインタフェースでは、最初の
下位インタフェースの MAC アドレスが使用されます。初期設定では、Windows Agent はインストール時にすべての仮想お
よび物理インタフェースとバインドされます。その結果、チーム化された NIC 環境では、クライアントは物理インタフェースと
チーム化ソフトウェアによって作成された仮想インタフェースとをバインドします。Agent は、同じ MAC アドレスを持つ複数
のインタフェースでは正しく機能しません。
1. チーム化された NIC 環境で正しく機能するためには、クライアントはチーミングソフトウェアによって作成された仮想
インタフェースにのみバインドされている必要があります。詳細については、次の記事を参照してください:
Deep Security Agent and Vulnerability Protection Agent are unable to attach to Intel Teamed NIC Virtual Adapter
2. Windows 2003 のチーム NIC 環境で Agent を使用するには、SP 2 以降が必要です。
3. Deep Security Agent のネットワークドライバは、インストールまたはアップグレード期間の間だけネットワークインタ
フェースにバインドされます。インストール後、チーム化された NIC との間でネットワークインタフェースを追加または
ネットワークインタフェースを削除すると、そのバインドが自動的に調整されなくなります。
そうすると、ネットワーク接続の問題が発生したり、システムが適切に保護されないことがあります。Agent のネットワー
クドライバがインストールされているチーム化された環境でネットワークインタフェースを追加または削除した後、ドラ
イバが仮想インタフェースにのみバインドされており、物理アダプタにバインドされていないことを確認します。
4. 同じサブネット上に複数のインタフェースがある Solaris システムでは、任意のインタフェースを経由するようにパケット
のルーティングを OS で指定できます。そのため、すべての ファイアウォール ステートフル設定オプションまたは侵入
防御ルールをすべてのインタフェースに等しく適用する必要があります。
5. Deep Security 10.1 以降では、Deep Security Agent のインストールまたはアップグレード時に Windows ネットワーク
の中断を回避できます。つまり、tbimdsa.sys Windows ドライバのインストール、アンインストール、またはバージョン
アップ時に TCP 接続が維持されます。
8.3 エアギャップ環境
少なくとも 1 つの Deep Security Relay がすべての Deep Security 環境で必要です。Relay は、トレンドマイクロのアップデート
サーバからアップデートをダウンロードできる必要があります。残りの Relay、Agent、およびアプライアンスは、 Relay に接
続してアップデートを配信してください。
NOTE Windows XP および Windows Server 2003 では、OS が NDIS 5 フレームワークを使用しているため、1 回限りのネットワーク切断が発生します。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 81
Public
Deep Security Relay でインターネット経由で Relay サーバまたはアップデートサーバに接続できないようにするには、別の
方法を使用して、アップデートパッケージを他の Deep Security ソフトウェアコンポーネントに配信する Relay にインポートで
きます。
アップデートバンドルの生成の詳細については、ビジネスセキュリティポータルで Manually updating the Deep Security
Relay Agent (DSR)を参照してください。
エアギャップのあるシナリオで作業する際の混乱を避けるために、[システム設定] > [アップデート]で次のオプションを無効
にすることをお勧めします。
Relay に接続できない場合、セキュリティアップデート元からの直接ダウンロードを Agent/Appliance に許可
Deep Security Manager にアクセスできない場合、セキュリティアップデートの自動ダウンロードを Agent/Applianceに許可
8.4 Solaris ゾーン
Solaris ゾーンでは、複数の Solaris インスタンスを 1 つの共有カーネルで実行できます。
Solaris 版 Deep Security Agent は、Global/Root ゾーンでのみ実行できます。詳細については、Installing the Deep Security
Agent (DSA) on Solaris in global zone を参照してください。
8.5 Microsoft クラスタサーバ
クラスタサーバでは、クラスタがフェールオーバーを実行したときにスワップバックされる共有リソース(データベース、ディス
ク、IP アドレス)を使用して、基になる OS の 2 つのインストールを実行します。
Deep Security は、クラスタ内の 1 つのノードまたはその両方を保護するように設定できます。この環境では、次の点を考慮
してください。
Deep Security Agent を共有ディスクではなくローカルディスクにインストールしていること。
クラスタソフトウェアが専用のネットワークインタフェースカードでネットワークハートビートを使用する場合は、このインタフェースにルールを割り当てる必要がありません。バイパスルールを作成して、ハートビートが検査されないようにすることもできます。
現在、ESXi 5.5 コンピュータで Microsoft クラスタまたは SQL クラスタを有効化および無効化する際に、いくつか
の問題が発生しています。VMware ESXi 5.1 にはこの問題はありません。この問題を回避するには、回避策とし
て Deep Security Agent をインストールしてください。
Deep Security Agent をインストールまたはアンインストールすると、ドライバのバインドまたはバインド解除により、クラス
タが一時的に切断されることがあります。これが実行されるのに適切な時間を選択してください。
8.6 Microsoft Hyper -V
Deep Security を Microsoft Hyper-V 環境に配置する場合は、各仮想マシン(VM)のゲスト OS ごとに Deep Security Agent
をインストールする必要があります。これにより、各ゲストに最大量のコンテキストとセキュリティが提供されます。
推奨設定の検索は、ゲストごとに必要な侵入防御、変更監視、およびログ監視ルールの適用可能なセットを決定する
ために使用できます。
不正プログラム対策、Web レピュテーション、およびファイアウォールの各ポリシーは、Deep Security Agent の配信を
使用してゲストごとに個別に設定することもできます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 82
Public
親パーティション(管理 OS とも呼ばれます)を保護する場合は、ネットワークトラフィックが 2 回検査されないように、追加
の手順が必要です。
次のいずれかのオプションを選択することをお勧めします。
親パーティションでは侵入防御を使用しないでください。
親パーティションでは侵入防御を使用しますが、ホストパーティション内の Agent に割り当てられたファイアウォール
ポリシーを使用して、ホストされている VM の IP に対する送受信トラフィックを回避します。
これは、着信トラフィックに対してゲストの宛先 IP 範囲で動作する 2 つのバイパスルールと、発信トラフィックに対してゲ
ストの発信元 IP 範囲で動作する 2 つのバイパスルールで実行できます。
バイパスは、侵入防御ルールの処理をスキップして、親パーティションとゲスト仮想マシンの両方でトラフィックの重複検
査を防止します。
また、親パーティションにファイアウォールポリシーがある場合は、上記の 2 番目のオプションのように、バイパスルール
を使用することをお勧めします。 8.7 仮想化環境(VDI)
1. ゴールデンイメージを使用してゲストイントロスペクション Thin Agent をインストールする
従来のインストール方法または Microsoft Deployment Toolkit(MDT)を使用し、Golden Master Image を準備する場
合は、VMware Tools の一部である VMware ゲストイントロスペクション Thin Agent をインストールしてください。
2. 永続 VM および非永続 VM
永続的なビューデスクトップと非永続的なビューデスクトップの両方で、ウイルス対策が必要です。Agent レス保護
は、両方のシナリオで使用することをお勧めします。VMware Tools を仮想マシンにインストールしてから、リンクされ
たクローンの親仮想マシンに変換します。
Agent ベースの保護が必要な場合は、仮想マシンが親仮想マシンになる前に、非アクティブ化された Deep Security
Agent を VM にインストールしてください。
3. Deep Security Notifier
Notifier ファイル "ds_notifier.vif"は、インフラストラクチャの変更により除外対象に追加しないでください。VMware
VMCI はトレンドマイクロの通知機能では使用されなくなりました。通知が機能していない場合は、
C:\ProgramData\ds_notifier.vif が除外リストに追加されていないことを確認してください。
4. 仮想マシンの有効化の自動化
Deep Security Virtual Appliance は、仮想マシンが作成され、特定のポリシーが自動的に割り当てられると、仮想マシ
ンの仮想 Agent をインスタンス化およびアクティブ化できます。イベントベースのタスクは、Deep Security Virtual
Appliance で保護された仮想環境に仮想マシンが追加されたときに Instant Protection 機能を起動できるように作成
する必要があります。
イベントベースのタスクを設定するには、[管理] > [ イベントベースタスク]の順に選択します。
イベントベースのタスクでは、条件を使用して処理をトリガできます。条件は標準の正規表現を使用します。正規表現の
使用についてさらに詳しく知り、設定されたパターンをテストするには、次のサイトを参照できます。
http://www.regular-expressions.info/(Regex リファレンス)
http://regexpal.com/(正規表現テスター)
Trend Micro Deep Security 12.0 ベストプラクティスガイド 83
Public
5. 保護されている VM の数に注意してください
Deep Security Manager は、保護されている ESXi ホストごとに実行されている保護されている VM の最大数を制御する
必要があります。不適切なサイジングは、Deep Security Virtual Appliance のパフォーマンスを低下させる可能性があ
ります。Deep Security のヘルプセンターの サイジング を参照してください。
VMware View での不正プログラム対策の保護に関するベストプラクティスの詳細については、次のドキュメントを参照
してください。
http://www.vmware.com/files/pdf/VMware-View-AntiVirusPractices-TN-EN.pdf
VMware 側の制限については、NSX for vSphere 6.4.5 Configuration Limits を参照してください。
6. イベントベースのタスクを使用した仮想マシンのアクティベート
有効化を正常に実行するには、イベントベースのタスクの遅延時間を設定することをお勧めします。ビジネスセキュリ
ティポータルの Activating virtual machine (VM) using Event-Based Task fails in Deep Security を参照してください。
7. ゴールデンイメージ
VDI 環境でゴールドイメージを使用する場合は、正しい OS の種類を選択して、Deep Security Manager で検出できない
不正プログラム対策を報告しないようにする必要があります。
Citrix XenDeskop
1. 非アクティブ化された Deep Security Agent をマスターイメージにインストールします。
Deep Security Virtual Appliance(Agent レス)は、純粋な Citrix 環境(Citrix XenServer)で実行されている VM では
機能しません。
これらの環境では、物理的な Agent ベースのソリューションが推奨されます。Agent をマスターイメージにインスト
ールし(無効化)、プロビジョニングプロセスで Agent ベースの有効化を実行します。イベントベースのタスクを使
用して、使用可能な属性に基づいて正しいポリシーを割り当てます(コンピュータ名など)。
Deep Security Manager コンソールを使用した Agent の有効化には制限があります。これらの制限は、ネットワー
クトポロジまたはファイアウォールの制約により、Manager が開始する有効化ジョブが実行されないことがあるた
めです。Deep Security Agent を自動的に有効化して設定する最も一般的な方法は、さまざまなスクリプト手法
(ScriptLogic、PowerShell、バッチスクリプトなど)を使用することです。
または、Deep Security Agent が Master イメージにインストールされ、ストリーミング(PVS)Citrix VDI デスクトップが
VMware vSphere Environment 上で実行されている場合と同じ結果を得ることができます。
· 同じ名前のコンピュータがすでに存在する場合:既存のコンピュータを再度有効にします。
· クローン Agent を再有効化する
· 未知の Agent を再有効化する
この設定では、Deep Security Manager が起動されたストリーミング VM から Deep Security Manager に初めてアク
セスしたときに、以前に有効化されたマスターイメージの Deep Security Agent が再度有効化されます。これはす
べて、最初のハートビートのコンテキストで発生します。2 番目のハートビートは必要ありません。この機能は、
Agent から開始した通信モードと双方向通信モードの両方で機能することに注意してください。Deep Security
Manager は、Agent への接続を確立する必要はありません(Agent が Deep Security Manager に接続できる限り)。
ネットワークで一方向通信のみが許可されている場合(Agent-to-Manager など)は、「Deep Security Manager から
Agent/Appliance 通信への方向」を「Agent/Appliance 開始」に変更することをお勧めします。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 84
Public
個人用 vDisk との競合解決(永続的)
XenDesktop の Citrix Personal vDisk(PvD)で Deep Security Agent を正常に動作させるには、PVD コンテンツを常に
上書きして ds_agent.config ファイルを生成できるように、フォルダとファイルのルールをマスターイメージに追加す
る必要があります。
フォルダルールを使用すると、マスタイメージの:\programdata\Trend Micro\Deep Security Agent\dsa_core ディ
レクトリ内のファイルが強制的に PVD コンテンツを上書きします。このルールは機能しますが、Agent の操作で
は ds_agent.config ファイルを生成できません。このファイルがないと、Agent サービスは正常に開始されないた
め、Agent の自動再有効化は失敗します。したがって、ds_agent.config ファイルを作成できるようにするには、フ
ァイルルールも作成する必要があります。
ファイルルールは PVD アップデート時にフォルダルールと組み合わされます。
files_rules.txt 追加
[Rule-Begin] Type=File-Catalog-Construction Action=Catalog-Location-Guest-Modifiable name="%ALLUSERSPROFILE%\Trend Micro\Deep Security Agent\dsa_core\ds_agent.config" name="%PROGRAMFILES%\Trend Micro\Deep Security Agent\AgentData\dsa_core\ds_agent.config" [Rule-End]
custom_folders_rules.txt 追加
[Rule-Begin] Type=Conflict-Resolution Action=Rebuild-Dst name="%ALLUSERSPROFILE%\Trend Micro\**\*" name="%PROGRAMFILES%\Trend Micro\**\*"
[Rule-End]
2. Deep Security Agent および Citrix ターゲットデバイスドライバ
Citrix PVS 6.0 環境で、(In-Guest)Deep Security Agent をインストールしている場合、競合の可能性があるため、
Citrix Target デバイスドライバがプロビジョニングサーバに正常に接続されない場合があります。
NOTE Deep Security Virtual Appliance(Agentless)を使用すると、プールされている Citrix VDI デスクトップを
VMware vSphere 上で実行している場合に保護を提供できます。また、アプライアンスベースの保護を使用する
ために必要な vShield Endpoint ドライバを含めるには、VMware ツールをマスターイメージ内にインストールする
必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 85
Public
ディスクプロビジョニングを使用して PVS サーバに接続されている Windows OS に Deep Security Agent をインス
トールする場合、一時的な回避策は、システムの起動時に tbimdsa ドライバのロード順序を PNP_TDI から NDIS
に変更することです。
これを実行するには、Deep Security Agent で使用される tbimdsa ドライバのロード順序を手動で変更します。
a. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tbimdsa に移動します。
b. 文字列「 」の値を「NDIS」に追加または変更します。
c. DWORD "Start"の値を "0"に追加または変更します。
「PNP_TDI」から「NDIS」に Group を変更し、Start の値を「3」から「0」に変更することで、Citrix ドライバのロー
ド後に tbimdsa ドライバをロードできます。
d. マシンを再起動してください。PVS Target Device は、起動時に vDisk に接続できるようになります。
詳細については、ビジネスセキュリティポータルの Citrix Target Device driver cannot connect to the provisioning
server when in-guest Deep Security Agent (DSA) is installed on Citrix PVS 6.0 environment を参照してください。
Citrix XenApp
1. Citrix XenApp の API フック
Citrix の API フックを使用すると、Deep Security Agent サービスが開始されない場合があります。これを解決する
には、ds_agent.exe を XenApps の除外リストに追加する必要があります。詳細については、How to Disable Citrix
API Hooks on a Per-application Basis を参照してください。
2. 不正プログラム対策 除外(Citrix)
トレンドマイクロでは、Deep Security による検索から Citrix ファイルを除外することをお勧めします。推奨検索除
外リストの詳細については、ビジネスセキュリティポータルの Citrix 推奨の Citrix-recommended exclusions on
Deep Security を参照してください。
8.8 プライベート、パブリック&ハイブリッドクラウド環境
Amazon Web サービス(AWS)
Deep Security Manager を Amazon Web Services に接続してインスタンスの検出を行い、これらのインスタンスに関する追
加情報を収集できるようになりました。これは、セキュリティを自動化するために使用できます(たとえば、Amazon Security
Group に基づくポリシーの割り当てなど)。
Deep Security の専用アカウントを割り当てて、権限と権限を絞り込んだり、アカウントをいつでも取り消したりできます。
Deep Security に読み取りと読み取りの権限のみが付与された Access および Secret キーを指定することをお勧めしま
す。
Deep Security 12.0 では、Multi-AZ の配置における Amazon RDS PostgreSQL のサポートが追加されています。
AWS Marketplace を使用している、または AWS へのソフトウェアインストールを実装しているユーザの場合、RDS
PostgreSQL の使用は一般的な配信設定になります。Amazon RDS は、Multi-AZ を使用したデータベースインスタンスの高
可用性とフェイルオーバーのサポートを提供します。詳細については、AWS のドキュメントで High Availability (Multi-AZ) for
Amazon RDS を参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 86
Public
vCloud 環境
Deep Security Manager は、vCloud director に接続して、保護が必要なコンピュータを検出できるようになりました。
これをパブリッククラウドと併用すると、Agent の管理に役立ちます。Deep Security Manager が配置されているプライベ
ートクラウドまたはコミュニティクラウド内で vCloud を使用している場合、vCloud サポートは vCenter と連携して vCloud
に対する Agent レス保護を提供できます。
vCloud Director(vCD)のワークロードは、Deep Security の次の階層で表示されます。
1. vCloud Director のインスタンス
2. 仮想データセンター
3. vApp
4. 仮想マシン(保護できるエンドポイント)
これにより、管理者は特定の vDC/vApp’s から保護する仮想マシンを選択できます。
1. 複数の vCD インスタンスを表示できますが、次のルールが適用されていることを確認してください。
リソースに vCD が使用したすべての vCenter は、ポータルの管理サイドですでに設定されています。
vCD System オブジェクトの vCD インスタンスを表示します。これにより、すべてのワークロードを vCD で検出で
きるようになります。
2. 次の vCloud Director の設定を正しく設定する必要があります。
vCD パブリック URL
vCD public REST API のベース URL([システム] > [管理] > [パブリックアドレス])
3. Deep Security Manager が vCloud にアクセスするために使用する vCloud 組織アカウントは、「Administrator View」
権限を持っている必要があります。これは、vCloud でユーザの役割のプロパティを確認し、[この役割の権限]> [す
べての権限]> [一般]フォルダに移動して確認できます。
図 35:このロールの権限
4. vCloud Director インスタンスを追加する際は、次の設定を考慮してください。
名前は説明的である必要があります。
NOTE AWS WorkSpace で Deep Security Agent(Windows の場合)を有効にして、初期設定のファイアウォール
ルールを使用するポリシーを適用すると、ワークスペースは「不健全な」になります WorkSpaces に必要なポート
へのアクセスを許可するには、ポリシーを変更する必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 87
Public
vCloud Director のインスタンスのアドレスを次のように入力します。
vcloud.mycompany.com
アドレスの[差出人]に「http」または「https」を追加する必要はありません。
組織名を URL の末尾に追加する必要はありません。
5. vCloud リソースを Deep Security Manager にインポートする際、ユーザ名に "@orgName".を含める必要があります。
たとえば、vCloud アカウントのユーザ名が「kevin」で、vCloud Organization のアカウントアクセス権が「CloudOrgOne」
の場合、Deep Security ユーザは「kevin @ CloudOrgOne」をユーザ名として入力する必要があります。
6. 複数の vCloud Director インスタンスを追加する場合は、対応する Provider Virtual Datacenter リソースが
Deep Security Manager に追加されていることを確認してください。例は次のとおりです。
プロバイダの仮想データセンターに使用されるすべての vCenter インスタンス
プロバイダ仮想データセンターで使用されるすべての vShield Manager インスタンス
7. パブリックカタログ VM には、vApp/VM をカタログに追加する前にテンプレート設定の一部として vShield ドライバが
インストールされている必要があります。
8. 新しい仮想マシンに一意の UUID を割り当てるよう vCenter Database を設定します。VMware ドキュメント
を参照してください。
その他の参考資料:
Changing the UUID of vCenter Servers in Deep Security
VMware SRM(サイト回復管理)環境
VMware SRM(Site Recovery Management)環境では、マルチノード Deep Security Manager と Deep Security Manager がサ
ポートされ、保護を提供します。
シナリオ 1:保護サイト A および復旧サイト B の複数ノード Deep Security Manager。
シナリオ 2:保護されたサイト A および回復サイト B の Deep Security Manager を個別に実行します。
Agent レス(Deep Security Virtual Appliance)のシナリオ 1 とシナリオ 2 は、両方とも、回復されたサイトへのフェールオー
バー後、および保護されたサイトに戻った後に機能します。
Agent ベース(Deep Security Agent は、1 つのサイトでのみ管理できます)。リカバリサイトへのフェイルオーバー後は
VM を管理できませんが、Deep Security Agent のサービスと機能は引き続き使用できます。保護サイトに戻されると、
VM を管理して正常に動作するはずです。
設計上、VM が VMware Site Recovery Protection グループに設定されると、Recovery サイトの[VM]アイコンが変更されま
す。次のスクリーンショットを参照してください。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 88
Public
図 36:VMware Site Recovery の保護グループ
図 37:保護グループのアイコンの変更
Deep Security Manager では、復旧前に Protected サイトの VM と復旧サイトの VM の両方が表示されます。したがって、
イベントベースタスク(Computer-Created)を使用して VM を復旧サイトにフェイルオーバーする際に、VM をアクティベート
または再アクティベートすることはできません。
8.9 SAP
「SAP サーバとウイルス検索アダプタ」の前に Deep Security Agent をインストールする場合は、競合状態を回避するため
に SAP インストールの前に Deep Security Agent のリアルタイム検索を無効にしてください。
SAP サーバのみの新しいセキュリティプロファイルを作成します。既存のポリシーに加えて SAP 機能を使用しないでくださ
い。
SAP モジュールがオンの場合、AM モジュールは複合モードの Agent 上に存在する必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 89
Public
SAP フォルダを AM 検索および IM のベースラインから除外する「/usr/sap” for Linux systems」
8.10 IBM Rational ClearCase
Linux 上の Deep Security に IBM Rational ClearCase がインストールされていると、サーバがフリーズする可能性がありま
す。サーバ上で AV を実行する IBM の推奨設定を参照してください: Support Policy for Anti-Virus and ClearCase
8.11 ドッカーのサポート
Deep Security を使用して Docker コンテナを保護する方法については、Deep Security ヘルプセンターの Docker コンテナの
保護を参照してください。
8.11.1 サポートされるドッカープラットフォーム
Deep Security 12.0 は、Windows プラットフォームではなく Linux プラットフォームのみで Docker 環境をサポートします。
Deep Security Agent は Docker ホストにインストールする必要があります。Deep Security Agent を Docker コンテナにインス
トールすることはできません。
Docker ホスト OS は、Deep Security Agent 12.0 でサポートされる OS である必要があります。
Red Hat Enterprise Linux/CentOS
SUSE Linux Enterprise Server
Amazon Linux
Ubuntu
Debian
以下のような Docker 最適化ホスト OS はサポートされていません。
Atomic Host
Snappy Ubuntu Core
Photon OS
ただし、Docker コンテナは、Alpine Linux、Busybox などの任意のディストリビューションに基づいています。
8.11.2 コンテナの保護
Deep Security Agent 12.0 は Deep Security Agent を Docker ホストにインストールすることで、侵入防御、Web レピュテー
ション、およびリアルタイムの不正プログラム対策機能を Docker コンテナに提供します。
A. 侵入防御
次のように /etc/use_dsa_with_iptables を作成して Deep Security Agent を Docker にインストールしてから Deep
Security Agent で iptables 設定が削除されないようにします。これは Docker のネットワークに必要です。
# touch /etc/use_dsa_with_iptables
Deep Security Agent はホストレベルで動作しているため、割り当てられた IPS ルールは同じホスト上のすべての
Docker コンテナに適用されます。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 90
Public
iptables が有効なので、4118 / tcp などの iptables ルールで Deep Security Agent に必要な通信ポートも許可する必要
があります。必要なポートについては、ビジネスセキュリティポータルの Communication ports used by Deep Security を
参照してください。
B. 推奨設定の検索
Docker コンテナのアプリケーションでは、推奨設定の検索が完全に機能しません。どの IPS ルールを割り当てるかを手
動で選択する必要があります。一部の IPS ルールは、Deep Security Agent がコンテナ内の実行中のプロセスのみを検
出でき、アプリケーションのバージョンを検出できないため、脆弱性が存在しない場合でも推奨されることがあります。
C. コンテナ間トラフィック
Deep Security のネットワークセキュリティ機能(ファイアウォール、侵入防御、Web レピュテーション)は、クラシッ
クリンクモデル( --link option による)またはネットワークモデルのいずれかでホスト上のコンテナ間トラフィックに
影響を与えません。
D. ホストポートとコンテナポート
Deep Security Agent はホストで動作するため、コンテナサービスポートとホストサービスポートは同じにする必要があ
ります。そのため、IPS ルールはトラフィックを期待どおりに検査できます。たとえば、コンテナポート 80 / tcp 上で Web
サーバを実行している場合、Web サーバをホストポート 80 / TCP にバインドする必要があります。それ以外の場合は、
ホストサービスポートを追加するために、すべてのアプリケーションタイプでポート設定を変更する必要があります。
Amazon ECS や Kubernetes など、一部のコンテナオーケストレーションプラットフォームでは、動的ホストポートを設
定で使用できます。コンテナサービスポートと同じ静的ホストポートを使用するように設定する必要があります。
8.11.3 ホスト保護
Deep Security Agent 12.0 は、Docker ホストにすべてのセキュリティ機能を提供します。
A. ファイアウォール
Docker コンテナは明示的に設定されたポートのみを公開するため、Deep Security ファイアウォール機能を有効にする
必要はありません。それを使用する必要がある場合は、次のようにいくつかの点と制限があります。
Docker ホストでファイアウォールを使用している場合は、Docker コンテナアプリケーションへの接続に受信トラフィック
と送信トラフィックの両方を許可する必要があります。たとえば、ポート 80 / TCP 上の Docker コンテナで Web サーバを
実行している場合は、ポート 80 / TCP 上の Docker ホストへの受信トラフィックと、ポート 80 / TCP 上の Docker コンテ
ナへの送信トラフィックを許可する必要があります。
図 38: ファイアウォール (Docker ホスト)
Trend Micro Deep Security 12.0 ベストプラクティスガイド 91
Public
Docker および関連するオーケストレーションフレームワークでホストの一部のポートを使用する必要がある場合もありま
す。以下はいくつかの例です。
a. Docker リモート API ポート 2375/TCP(HTTP)または 2376/TCP(HTTPS ドッカーレジストリ 5000/TCP)
b. Amazon ECS エージェント 443/TCP、51678/TCP、51679/TCP
http://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_PortMapping.html
c. Kubernetes apiserver 8080/tcp(HTTP)または 6443/tcp(HTTPS) etcd 2379/tcp、kubelet 10250/tcp および
10255/tcp)
https://kubernetes.io/docs/admin/kube-apiserver/
https://kubernetes.io/docs/admin/kubelet/
d. Docker swarm モード 2377 / tcp、7946 / tcp + udp および 4789 / tcp + udp
https://docs.docker.com/engine/swarm/swarm-tutorial/ #/open-ports-between-the-hosts
ルールはダイナミックポートに適用できないため、Deep Security ファイアウォール でランダム(動的)なホストポートマッピン
グを使用することはできません。
8.11.4 インストールスクリプト
Amazon ECS(EC2 Container Service)
Deep Security Agent を Amazon ECS クラスタインスタンスに配信する場合、次のようにインスタンスのユーザデータに配置
する配信スクリプトを変更できます。
その他のリマインダ:
ClusterName をインスタンスに追加して、ECS クラスタに参加させることができます。
/etc/use_dsa_with_iptables を作成しないと iptables が無効になります。
Amazon ECS 最適化 AMI では、wget が初期設定ではインストールされていないため、wget ではなく curl を使
用します。 8.12 ゴールドイメージからの自動有効化
このセクションでは、vSphere 6 + vCNS(Combined Protection または Agent のみ)を使用して Deep Security 保護を自動化する
方法について説明します。
1. Deep Security コンソールで Agent の有効化を有効にします。
#!/usr/bin/env bash echo ECS_CLUSTER=ClusterName >> /etc/ecs/ecs.config touch /etc/use_dsa_with_iptables curl https://app.deepsecurity.trendmicro.com:443/software/agent/amzn1/x86_64/ -o /tmp/agent.rpm -s rpm -ihv /tmp/agent.rpm
…(snip)…
Trend Micro Deep Security 12.0 ベストプラクティスガイド 92
Public
図 39:Agent からのリモート有効化を有効にする
2. イベントベースのタスクを作成して、VDI または VM を設定するセキュリティプロファイルをアクティブにします。
図 40:Agent からのリモート有効化
図 41:コンピュータグループに割り当てる
図 42:コンピュータ名
Trend Micro Deep Security 12.0 ベストプラクティスガイド 93
Public
図 43:新しいタスクの説明 イベントベースのタスクでは、(vCenter 名、vCenter のフォルダ名、ESXI ホスト、プラットフォームの前回の IP 使用状況、その
他の設定)に基づいて、VM が受信する必要のあるセキュリティプロファイルを定義できます。
3. Deep Security Agent を Gold Image にインストールします.Deep Security Manager で有効化しないでください。Agent
のみをインストールしてください。
4. Gold イメージへのバッチファイルを作成します(VDI または VM: (に挿入するサンプルスクリプトのように、すべて
のスクリプトは「.bat」形式です)。
「IMG」をホスト名とする GOLD イメージで使用するスクリプト:
VM を自動的にアクティベートする場合は、通常の VM にスクリプトを送信します。
VDI または VM が作成されるたびに、および VMware Horizon で再構成を実行するたびに、BAT ファイルを実行するための
Windows タスクスケジューライベントの作成:
SET var=%COMPUTERNAME% SET var=%var:~0,3% IF "%var%"=="IMG" ( exit ) ELSE ( cd "C:\Program Files\Trend Micro\Deep Security Agent\" dsa_control.cmd -a dsm://(IP or Hostname DSM):4120/ )
cd "C:\Program Files\Trend Micro\Deep Security Agent\"
dsa_control.cmd -a dsm:// (IP アドレスまたはホスト名 DSM):4120/
Trend Micro Deep Security 12.0 ベストプラクティスガイド 94
Public
この手順は、Gold Image で実行する必要があります。
Trend Micro Deep Security 12.0 ベストプラクティスガイド 95
Public
Public
新しい設定をテストするには、新しい設定を使用して新しい Gold イメージに基づいて新しい VM を作成します。
8.13 Oracle RAC クラスタ
一部のクラスタアプリケーション(Oracle RAC データベースなど)は、Deep Security ファイアウォールおよび侵入防御機能
のパケットレイテンシに対する影響が非常に大きく、クラスタノードの退避やデータ複製のパフォーマンスの問題につなが
ります。これらの問題を回避するには、クラスタトラフィックにのみ使用される専用 NIC をバイパスすることをお勧めします
(ただし、本番ネットワーク上のトラフィックはでバイパスされません)。
詳細については、ビジネスサポートポータルの Bypassing dedicated network interface in AIX or Oracle Linux RAC DB
cluster environment を参照してください。
8.14 SAML
SAML を設定する場合は、次の点に注意してください。
1. ADFS(またはその他の)で Deep Security Manager URL(Deep Deep Security as a Service URL)を使用しています。
2. Deep Security Manager サーバの時刻が NTP サーバと同期されています。
3. Active Directory マッピング時に、名前の規則が正しいことを確認してください。Deep Security の初期設定のマッ
ピングは、Deep Security Manager の Active Directory と ADFS-xxxx の TMDS-xxxx グループをマップすることです。
4. SAML を設定する場合、最大 10 の役割が許可されます。
