マルチテナント設定

Deep Securityのオンプレミスソフトウェアインストール版およびAWS Marketplace BYOLライセンスオプション版のみに該当します。

[テナント] タブは、マルチテナントモードを有効にしている場合のみ表示されます。

  • マルチテナントライセンスモード: マルチテナントのライセンスモードは、マルチテナントの設定後に変更できます。ただし、このモードを継承からテナント単位に切り替えると、ライセンス許可されているモジュールが既存のテナントで使用できなくなるので注意が必要です。
  • 予約タスク「スクリプトの実行」の使用をテナントに許可: スクリプトは、システムへのアクセスを潜在的な危険にさらす可能性があります。ただし、スクリプトはファイルシステムのアクセス権を使用してManagerにインストールされるため、リスクを軽減できます。
  • 「コンピュータの検索」の実行をテナントに許可 (直接および予約タスクとして): 検出の実行を許可するどうかを指定します。ネットワーク検出が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
  • 「ポートの検索」の実行をテナントに許可 (直接および予約タスクとして): ポートの検索を実行できるかどうかを指定します。ネットワーク検索が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
  • VMware vCenterの追加をテナントに許可: vCenterとの接続を許可するかどうかをテナントごとに指定します。公共サービス (インターネット) 経由のセットアップの場合、ホストされているサービスからvCenterへの安全なルートがないため、このオプションを無効にします。
  • クラウドアカウントの追加をテナントに許可: クラウド同期の設定をテナントに許可するかどうかを指定します。通常、クラウド同期はすべてのセットアップに対し適用されます。
  • LDAPディレクトリとの同期をテナントに許可: ユーザとコンピュータの両方をディレクトリ (コンピュータはLDAPまたはActive Directory、ユーザはActive Directoryのみ) と同期することをテナントに許可するかどうかを指定します。公共サービス (インターネット) 経由で行われるセットアップの場合、ホストされているサービスからディレクトリへの安全なルートがないため、このオプションを無効にします。
  • SIEMの設定をテナントに許可 (このオプションが選択されていない場合、すべてのテナントが [SIEM] タブの設定をすべてのイベントタイプに使用し、SyslogはManagerを介して転送されます): SIEMの設定を [イベントの転送] タブに表示します。
  • SNSの設定をテナントに許可: SNSの設定を [イベントの転送] タブに表示します。
  • SNMPの設定をテナントに許可: リモートコンピュータへのシステムイベントの転送をテナントに許可します (SNMP経由)。このオプションを選択しない場合は、すべてのテナントが [イベントの転送] タブの設定をすべてのイベントタイプに使用し、SyslogはDeep Security Managerを介して転送されます。
  • [パスワードを忘れた場合] オプションを表示: パスワードのリセット画面に進むリンクをログオン画面に表示します (この機能を使用するには、[管理]→[システム設定]→[SMTP] タブでSMTP設定を正しく指定しておく必要があります)。
  • [アカウント名とユーザ名を記憶] オプションを表示: ユーザのアカウント名とユーザ名を記憶してログオン画面の該当するフィールドに自動的に入力するためのオプションを表示します。
  • プライマリテナントからのアクセス管理をテナントに許可: 初期設定では、プライマリテナントは、[管理]→[テナント] 画面の [テナントとしてログオン] オプションを使用してテナントのアカウントにログオンできます。[プライマリテナントからのアクセス管理をテナントに許可] オプションをオンにすると、プライマリテナントからDeep Security環境へのアクセスを許可するか禁止するかをテナントが指定できるようになります ([管理]→[システム設定]→[詳細])。このオプションをオンにした場合、テナント環境の初期設定ではプライマリテナントのアクセスが禁止されます。
    プライマリテナントがテナントのアカウントにアクセスするたび、テナントのシステムイベントにアクセスが記録されます。
  • プライマリテナントのTrend Micro Control ManagerおよびDeep Discovery Analyzerサーバの設定の使用をテナントに許可: プライマリテナントのConnected Threat Defense設定をテナントと共有できます。詳細については、Connected Threat Defenseを使用した脅威の検出を参照してください。

  • 「初期設定のRelayグループ」のRelayの使用をテナントに許可: テナントは、プライマリテナントに設定されているRelayに自動的にアクセスできます。その結果、テナントはセキュリティアップデート専用のRelayを設定する必要がなくなります。
    テナントは、「共有」Relayの使用を拒否できます。拒否するには、[管理]→[システム設定] 画面の [アップデート] タブを選択し、[プライマリテナントのRelayグループを初期設定のRelayグループとして使用 (割り当てられていないRelay)] オプションの選択を解除します。この設定の選択を解除する場合は、専用のRelayを設定する必要があります。
    Relayを共有する場合は、プライマリテナントがRelayを最新の状態に保つ必要があります。最新の状態に保つには、すべてのRelayに対して予約タスク「セキュリティアップデートのダウンロード」を作成し、定期的に実行します。
  • 新規テナントは最新のセキュリティアップデートを自動的にダウンロード: 新しいテナントアカウントが作成されると同時に、最新のセキュリティアップデートの有無を確認してダウンロードします。
  • 次のオプションをロックして非表示 (すべてのテナントがプライマリテナントの設定を使用):
    • [Agent] タブのデータプライバシーオプション: プライマリテナントにデータプライバシーの設定を許可します。この設定は、[管理]→[システム設定]→[Agent] タブの [暗号化されたトラフィック (SSL) のパケットデータの取り込みを許可] にのみ適用されます。
    • [SIEM] タブのすべてのオプション (すべてのテナントが [SIEM] タブの設定をすべてのイベントタイプに使用し、SyslogはManagerを介して転送される): プライマリテナントに、全テナントのSyslogの一括設定を許可します。すべてのテナントはプライマリテナントのSyslog設定を継承します。CEF形式ではテナント名は「TrendMicroDsTenant」です。
    • [SMTP] タブのすべてのオプション: [SMTP] タブの設定をすべてロックします。
    • [ストレージ] タブのすべてのオプション: [ストレージ] タブの設定をすべてロックします。

データベースサーバ

初期設定では、すべてのテナントがDeep Security Managerと同じデータベースサーバ上に作成されます。スケーラビリティ向上のために、Deep Security Managerではデータベースサーバを追加できます。詳細については、マルチテナント環境の設定を参照してください。

新しいテナントテンプレート

テナントテンプレート機能では、カスタマイズしたテンプレートから新しいテナントを作成できます。

プロセスは次のとおりです。

  1. 新しいテナントを作成します。
  2. 作成したテナントでログインします。
  3. サンプルポリシーをカスタマイズ (追加、削除、または変更) し、セキュリティアップデートのバージョンを新しいバージョンに変更します。
  4. プライマリテナントに戻り、テナントテンプレートウィザードを実行します。
  5. 作成したテナントを選択し、スナップショットを作成します。

今後作成されるテナントには、スナップショットに含まれるサンプルポリシーとルールアップデートのバージョンが割り当てられます。

この機能は、一部のサンプルを使用できない、または特殊なサンプルを作成する必要があるサービスプロバイダ環境で便利です。

サンプルポリシーは、テナントで使用するポリシーを作成するための開始ポイントです。テナントごとに、それぞれ固有のニーズに応じたポリシーを作成することを推奨します。

新しいテンプレートを作成しても、既存のテナントには影響しません。

保護の使用状況の監視

Deep Securityは、保護対象のコンピュータに関する情報を収集します。この情報は、[テナント] ウィジェットと [テナントの保護アクティビティ] ウィジェットのダッシュボードに表示されます。また、テナントレポートでもこの情報を確認でき、REST API経由で取得できます。

監視機能は、一般的な使用の場合、(レポートまたはAPIを使用して) 保護時間からDeep Security Managerの使用率を判断するのに便利です。一般に「ショーバック」または「チャージバック」と呼ばれるこの情報は、さまざまな形で使用できます。高度な使い方としては、テナントコンピュータのOSなどの特性に基づいたカスタム請求に使用できます。

これらのオプションを使用して、追加で記録するテナントコンピュータの情報を指定します。