推奨設定の検索の管理と実行

Deep Securityでは、コンピュータで推奨設定の検索を実行して既知の脆弱性を特定できます。この処理では、OSだけでなくインストール済みのアプリケーションも検索します。検出結果に基づいて、Deep Securityは、適用する必要のあるセキュリティルールを推奨します。

推奨設定の検索では、次の項目が検索されます。

  • OS
  • インストール済みアプリケーション
  • Windowsレジストリ
  • オープンポート
  • ディレクトリリスト
  • ファイルシステム
  • 実行中のプロセスとサービス
  • ユーザ
大規模な環境の場合、トレンドマイクロでは、ポリシーレベルで推奨設定を管理することを推奨します。つまり、検索対象のすべてのコンピュータにポリシーを割り当てておく必要があります。これにより、1つのソース (ポリシー) からすべてのルールを割り当てることができます。各コンピュータで個々のルールを管理する必要はありません。

推奨設定の検索は手動で開始できます。または、指定したコンピュータで検索を定期的に実行する予約タスクを作成することもできます。

このトピックの内容:

推奨設定の検索の制限

Linuxでは、アプリケーションと一緒にインストールされたカーネルライブラリまたはソフトウェアライブラリがそのアプリケーションでサポートされていない場合、推奨設定の検索エンジンでアプリケーションを検出できない可能性があります。標準のパッケージマネージャを使用してインストールされたアプリケーションについては、問題はありません。

Deep Security Virtual Applianceでは、Agentレスによる推奨設定の検索を仮想マシンで実行できますが、対象はWindowsプラットフォームのみであり、検索できる項目は次のものに限定されます。

  • OS
  • インストール済みアプリケーション
  • Windowsレジストリ
  • ファイルシステム

推奨設定の検索を手動で実行する

  1. Deep Security Managerで、[コンピュータ] 画面に進みます。
  2. 検索対象のコンピュータ (複数台も可) を選択します。
  3. 選択したコンピュータを右クリックして、[処理]→[推奨設定の検索] の順に選択します。

推奨設定の検索を定期的に実行する予約タスクを作成する

  1. Deep Security Managerで、[管理]→[予約タスク] 画面に進みます。
  2. ツールバーの [新規] をクリックし、[新規予約タスク] を選択して新規予約タスクウィザードを表示します。
  3. [種類] メニューから [コンピュータの推奨設定を検索] を選択し、検索の頻度を選択します。[次へ] をクリックします。
  4. 次に表示される画面では、手順3で選択した内容に応じて、検索の頻度をより詳細に指定できます。該当する項目を選択し、[次へ] をクリックします。
  5. 検索対象のコンピュータを選択し、[次へ] をクリックします。
    通常、大規模な環境の場合は、ポリシーを通じてすべての処理を実行することを推奨します。
  6. 最後に、新しい予約タスクの名前を指定し、終了時にタスクを実行するかどうか ([[完了] でタスクを実行]) を選択して、[完了] をクリックします。

推奨設定の検索をキャンセルする

推奨設定の検索は開始前にキャンセルできます。

  1. Deep Security Managerで、[コンピュータ] 画面に進みます。
  2. 検索をキャンセルするコンピュータ (複数台も可) を選択します。
  3. [処理]→[推奨設定の検索のキャンセル] をクリックします。

推奨設定の検索結果を管理する

推奨設定の検索の結果を自動的に実装するのが適切な場合は、そのようにDeep Securityを設定できます。しかし、すべての推奨設定を自動的に実装できるわけではありません。次のような例外があります。

  • 適用する前に設定が必要なルール。
  • 以前の推奨設定の検索に基づいて自動的に割り当てられた、または割り当て解除されたが、ユーザがオーバーライドしたルール。たとえば、Deep Securityによって自動的に割り当てられたルールをユーザが割り当て解除した場合、次回の推奨設定の検索の後にそのルールが再割り当てされることはありません。
  • ポリシー階層の上位のレベルで割り当てられたルールは、下位のレベルでは割り当てを解除できません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当てを解除する必要があります。
  • トレンドマイクロから発行されたものであるが、誤判定のリスクの可能性があるルール(ルールの説明を参照してください)。

最新の推奨設定の検索結果は、コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。[侵入防御]→[一般] タブの [推奨設定] エリアに表示されます。

推奨設定の検索が完了したら、検索したコンピュータに割り当てられているポリシーを開きます。[侵入防御]→[一般] の順に選択します。[現在割り当てられている侵入防御ルール] エリアの [割り当て/割り当て解除] をクリックしてルールの割り当て画面を開きます。ルールを[アプリケーションの種類別] でソートし、フィルタの表示メニューから [割り当てに推奨される設定の表示] を選択します。

ポリシーに含まれるすべてのコンピュータに対するすべての推奨設定が一覧表示されます。

緑色のフラグには2つの種類があります。完全フラグです。推奨ルールには常に完全フラグが指定されます。アプリケーションの種類には、どちらかのフラグが指定されます。完全フラグの場合は、このアプリケーションの種類に属するすべてのルールの割り当てが推奨されていることを示します。部分フラグの場合は、このアプリケーションの種類に属する一部のルールのみが推奨されていることを示します。

トレンドマイクロでは、ポリシーの対象となるすべてのコンピュータにすべての推奨ルールを割り当てることを推奨します。この場合、一部のルールが、それを必要としていないコンピュータに割り当てられる可能性があります。しかし、パフォーマンスにわずかな影響が及ぶことよりも、ポリシーを通じて行われる処理によって管理が容易になるメリットの方が重要です。

推奨設定の検索では、侵入防御ルール、セキュリティログ監視ルール、および変更監視ルールの推奨設定が作成されます。

推奨設定の検索が実行されると、推奨設定の作成の対象となるすべてのコンピュータでアラートが発令されます。

推奨設定の検索の結果には、ルールの割り当てを解除する推奨設定を含めることもできます。この処理は、アプリケーションをアンインストールする場合、ベンダからのセキュリティパッチを適用する場合、または不要なルールが手動で適用されている場合に行うことができます。割り当ての解除が推奨されているルールを表示するには、フィルタの表示メニューから [割り当て解除を推奨] を選択します。

推奨ルールを設定する

適用前に設定が必要なルールもあります。たとえば、一部のセキュリティログ監視ルールでは、変更について監視するログファイルの場所を指定する必要があります。この場合、推奨設定が作成されるコンピュータでアラートが発令されます。アラートのテキストには、ルールの設定に必要な情報が含まれます。

トラブルシューティング: 推奨設定の検索失敗

サーバでの推奨設定の検索失敗の場合は、次の手順に従って問題を解決します。トラブルシューティング後も問題が解決しない場合は、Agentから診断パッケージを作成して、サポートに問い合わせてください。

通信

通常、通信障害が発生すると、エラーメッセージ本文に「プロトコルエラー」が示されます。

Deep Security MangerからAgentへの受信ファイアウォールポートを開いていなかった場合は、ポートを開くか、Agentからの通信に切り替えます。詳細については、クラウドアカウント環境の通信方向を参照してください。

サーバリソース

サーバのCPUリソースとメモリリソースを監視します。検索中にメモリまたはCPUが使い尽くされそうになる場合は、リソースを増やします。

タイムアウト値

推奨設定の検索のタイムアウト値を大きくします。

  1. コマンドプロンプトを開いて、Deep Security Managerのインストールフォルダに移動します。
  2. 以下のコマンドを入力します。

    dsm_c -action changesetting -name settings.configuration.agentSocketTimeoutOverride -value 1200

    dsm_c -action changesetting -name settings.configuration.defaultSocketChannelTimeout -value 1200000

    dsm_c -action changesetting -name settings.configuration.recoScanKeepAliveTimeInterval -value 180000

  3. マルチテナント環境がある場合は、テナント名も追加します。