イベントベースタスクの作成

イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。

メイン画面から、次のことを実行できます。

  • 新規イベントベースタスクを作成する ()
  • 既存のイベントベースタスクのプロパティを確認または変更する ()
  • 既存のイベントベースタスクを複製および変更する ()
  • イベントベースタスクを削除する ()

[新規] () をクリックし、[新規イベントベースタスク] を選択します。表示されるウィザードの手順に従って、新しいタスクを作成します。タスクの種類によって、入力を求められる情報が異なります。

監視できるイベント

  • コンピュータの作成 (システムによる): Active Directoryやクラウドプロバイダのアカウントとの同期中、またはVirtual Applianceを実行する管理対象ESXiサーバ上への仮想マシンの作成中における、Managerへのコンピュータの追加。
  • コンピュータの移動 (システムによる): 1台のESXi内のvApp間での仮想マシンの移動。またはデータセンター間、あるいはESXi間 (非管理対象ESXiサーバからVirtual Applianceを実行する管理対象ESXiサーバへの移動を含む) でのESXi上の仮想マシンの移動。
  • Agentからのリモート有効化: Agentからのリモート有効化によるAgentの有効化。
  • IPアドレスの変更: コンピュータが別のIPの使用を開始した場合。
  • NSXセキュリティグループの変更: このイベントは下記の状況で発生します (イベントは影響を受ける各仮想マシン側に記録されます)。
    • NSX Deep Securityサービスプロファイルに間接的に関連付けられたグループに仮想マシンが追加された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された
    • NSXポリシーがNSX Deep Securityサービスプロファイルに関連付けられた
    • NSXポリシーがNSX Deep Securityサービスプロファイルから削除された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXグループの名前が変更された

条件

タスクを実行するために満たす必要のある一致条件を指定できます。条件を追加するには、「+」ボタンを押します。複数の条件を追加した場合、タスクが実行されるためにはすべての条件が満たされる必要があります。つまり、条件は「AND」条件であり、「OR」条件ではありません。

次のフィールドでパターンを一致させるには、Javaの正規表現の構文 (https://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.html) を使用します。

  • クラウドインスタンスのイメージID: AWS クラウドインスタンスAMI ID。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドインスタンスのメタデータ: 照合されるメタデータは、Amazon環境のAWS「タグ」に対応します。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。コンピュータに現在関連付けられているメタデータが、エディタ画面の [概要] 画面に表示されます。条件を定義するには、2種類の情報 (メタデータタグのキーとその値) を指定する必要があります。たとえば、「AlphaFunction」という名前のメタデータキーの値が「DServer」であるコンピュータに一致させるためには、「AlphaFunction」および「DServer」を入力します (括弧は不要)。複数の候補に一致させる場合、正規表現を使用できます。この例では、「AlphaFunction」と「.*Server」、または「AlphaFunction」と「D.*」というように指定できます。
  • クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループです。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドアカウント名: クラウドアカウントプロパティウィンドウの [表示名] フィールドです。
  • コンピュータ名: コンピュータプロパティウィンドウの [ホスト名] フィールドです。
  • ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。
  • フォルダ名: ローカル環境でコンピュータが配置されているフォルダ名またはディレクトリ名です。
    この一致条件は、コンピュータの任意の上位フォルダ (vCenterサーバと統合されている場合はルートデータセンターを含む) の名前を照合します。正規表現の先頭に「*」を追加すると、すべての上位フォルダの名前が条件に一致する必要があります。これは、正規表現の否定構文と組み合わせると特に便利です。たとえば、フォルダ名に「Linux」を含まないフォルダ内のコンピュータを検索するには、「*^((?!Linux).)*$」という正規表現を使用できます。
  • NSXセキュリティグループ名: この条件に適合するグループは、NSX Deep SecurityサービスプロファイルのNSXポリシーに関連付けられたNSXグループのみです。仮想マシンは他のNSXグループのメンバーである可能性がありますが、この一致条件では関係ありません。
  • プラットフォーム: コンピュータのOSです。
  • vCenter名: Deep Security Managerに追加されたコンピュータのvCenterプロパティの [名前] フィールドです。

Java正規表現の例:

一致させる値 正規表現
任意の文字列 (空ではない) .+
空の文字列 (文字なし) ^$
Folder Alpha Folder\ Alpha
FIN-1234 FIN-\d+
または
FIN-.*
RD-ABCD RD-\w+
または
RD-.*
AB
または
ABC
または
ABCCCCCCCCCC
ABC*
Microsoft Windows 2003
または
Windows XP
.*Windows.*
Red Hat 7
または
Some_Linux123
.*Red.*|.*Linux.*|

次の2つの条件は、TrueまたはFalseと一致させる条件です。

  • Appliance保護が利用可能: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できます。仮想マシンの状態が有効化済みになっているかどうかは問いません。
  • Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。

最後の条件オプションは、IPリスト内のIPとの一致を検索します。

  • 最後に使用されたIPアドレス: コンピュータの現在または最後に使用された既知のIPアドレスです。
新しいコンピュータは、そのソースによって使用可能なフィールドが異なります。たとえば、Active Directoryを使用した同期の結果として追加されたコンピュータの場合、「プラットフォーム」は使用できません。

処理

上記のどのイベントが検出されたかに応じて、次の処理が実行されます。

  • コンピュータの有効化: コンピュータでDeep Securityの保護が有効化されます。
    • 有効化の遅延 (分): 指定した時間 (分) の経過後に有効化されます。
    • イベントベースのタスクによって、Deep Security Virtual Applianceで保護されているESXiにvMotionで移動中の仮想マシンに保護が適用される場合、保留になっているVMware管理タスクを完了できるよう、有効化を遅らせます。遅らせる時間は環境ごとに異なります。
  • コンピュータの無効化: コンピュータでDeep Securityの保護が無効化されます。
  • ポリシーの割り当て: 新しいコンピュータにポリシーが自動的に割り当てられます。(最初にコンピュータを有効化する必要があります)。
  • Relayグループの割り当て: 新しいコンピュータに、セキュリティアップデートを受信するためのRelayグループが自動的に割り当てられます。
  • コンピュータグループへの割り当て: [コンピュータ] 画面のいずれかのコンピュータグループにコンピュータが配置されます。

実行順序

複数のイベントベースタスクが同一条件で開始される場合、タスクはタスク名のアルファベット順に実行されます。

イベントベースタスクを有効または無効にする

既存のイベントベースタスクは、有効または無効にできます。たとえば、特定の管理作業の実行時に他のアクティビティが発生しないようにするには、イベントベースタスクを一時的に無効にします。イベントベースタスクの有効化または無効化は、該当タスクの [プロパティ] 画面の [一般] タブで設定します。