Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

コンピュータの追加または変更時のタスクの自動実行

この記事は、Deep Securityオンプレミスソフトウェアインストールにのみ適用される仮想マシンの保護に関するリファレンスです。

イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。

イベントベースタスクを作成する

Deep Security Managerで、[管理]→[イベントベースタスク]→[新規] をクリックします。表示されるウィザードの手順に従って、新しいタスクを作成します。タスクの種類によって、入力を求められる情報が異なります。

既存のイベントベースタスクを編集または停止する

既存のイベントベースタスクのプロパティを変更するには、[管理]→[イベントベースタスク] をクリックします。リストからイベントベースタスクを選択し、[プロパティ] をクリックします。

監視できるイベント

  • コンピュータの作成 (システムによる): Active Directoryやクラウドプロバイダのアカウントとの同期中、またはVirtual Applianceを実行する管理対象ESXiサーバ上への仮想マシンの作成中における、Managerへのコンピュータの追加。
  • コンピュータの移動 (システムによる): 1台のESXi内のvApp間での仮想マシンの移動。またはデータセンター間、あるいはESXi間 (非管理対象ESXiサーバからVirtual Applianceを実行する管理対象ESXiサーバへの移動を含む) でのESXi上の仮想マシンの移動。
  • Agentからのリモート有効化: Agentからのリモート有効化によるAgentの有効化。
  • IPアドレスの変更: コンピュータが別のIPの使用を開始した場合。
  • NSXセキュリティグループの変更: このイベントは下記の状況で発生します (イベントは影響を受ける各仮想マシン側に記録されます)。
    • NSX Deep Securityサービスプロファイルに間接的に関連付けられたグループに仮想マシンが追加された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された
    • NSXポリシーがNSX Deep Securityサービスプロファイルに関連付けられた
    • NSXポリシーがNSX Deep Securityサービスプロファイルから削除された
    • NSX Deep Securityサービスプロファイルに関連付けられたNSXグループの名前が変更された
  • コンピュータの電源オン (システムによる): VMware仮想マシンの電源オンイベントによってユーザが有効化をトリガできるようにします。
  • 「コンピュータの電源オン」イベントは、VMWareのESX環境でホストされた仮想マシンでのみ使用できます。このイベントを使用する際は、同時に多数のコンピュータの電源がオンになると処理速度が低下する可能性があることに注意してください。

条件

タスクを実行するために満たす必要のある一致条件を指定できます。条件を追加するには、「+」ボタンを押します。複数の条件を追加した場合、タスクが実行されるためにはすべての条件が満たされる必要があります。つまり、条件は「AND」条件であり、「OR」条件ではありません。

次のフィールドでパターンを一致させるには、Javaの正規表現の構文 (https://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.html) を使用します。

  • クラウドインスタンスのイメージID: AWS クラウドインスタンスAMI ID。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドインスタンスのメタデータ: 照合されるメタデータは、Amazon環境のAWS「タグ」に対応します。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。コンピュータに現在関連付けられているメタデータが、エディタ画面の [概要] 画面に表示されます。条件を定義するには、2種類の情報 (メタデータタグのキーとその値) を指定する必要があります。たとえば、「AlphaFunction」という名前のメタデータキーの値が「DServer」であるコンピュータに一致させるためには、「AlphaFunction」および「DServer」を入力します (括弧は不要)。複数の候補に一致させる場合、正規表現を使用できます。この例では、「AlphaFunction」と「.*Server」、または「AlphaFunction」と「D.*」というように指定できます。
  • クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループです。
    この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。
  • クラウドアカウント名: クラウドアカウントプロパティウィンドウの [表示名] フィールドです。
  • コンピュータ名: コンピュータプロパティウィンドウの [ホスト名] フィールドです。
  • ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。
  • フォルダ名: ローカル環境でコンピュータが配置されているフォルダ名またはディレクトリ名です。
    この一致条件は、コンピュータの任意の上位フォルダ (vCenterサーバと統合されている場合はルートデータセンターを含む) の名前を照合します。正規表現の先頭に「*」を追加すると、すべての上位フォルダの名前が条件に一致する必要があります。これは、正規表現の否定構文と組み合わせると特に便利です。たとえば、フォルダ名に「Linux」を含まないフォルダ内のコンピュータを検索するには、「*^((?!Linux).)*$」という正規表現を使用できます。
  • NSXセキュリティグループ名: この条件に適合するグループは、NSX Deep SecurityサービスプロファイルのNSXポリシーに関連付けられたNSXグループのみです。仮想マシンは他のNSXグループのメンバーである可能性がありますが、この一致条件では関係ありません。
  • プラットフォーム: コンピュータのOSです。
  • vCenter名: Deep Security Managerに追加されたコンピュータのvCenterプロパティの [名前] フィールドです。

Java正規表現の例:

一致させる値 正規表現
任意の文字列 (空ではない) .+
空の文字列 (文字なし) ^$
Folder Alpha Folder\ Alpha
FIN-1234 FIN-\d+
または
FIN-.*
RD-ABCD RD-\w+
または
RD-.*
AB
または
ABC
または
ABCCCCCCCCCC
ABC*
Microsoft Windows 2003
または
Windows XP
.*Windows.*
Red Hat 7
または
Some_Linux123
.*Red.*|.*Linux.*|

次の2つの条件は、TrueまたはFalseと一致させる条件です。

  • Appliance保護が利用可能: 仮想マシンがホストされているESXi上にDeep Security Virtual Applianceがあり、仮想マシンを保護できます。仮想マシンの状態が有効化済みになっているかどうかは問いません。
  • Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。

最後の条件オプションは、IPリスト内のIPとの一致を検索します。

  • 最後に使用されたIPアドレス: コンピュータの現在または最後に使用された既知のIPアドレスです。
新しいコンピュータは、そのソースによって使用可能なフィールドが異なります。たとえば、Active Directoryを使用した同期の結果として追加されたコンピュータの場合、「プラットフォーム」は使用できません。

処理

上記のどのイベントが検出されたかに応じて、次の処理が実行されます。

  • コンピュータの有効化: コンピュータでDeep Securityの保護が有効化されます。
    • 有効化の遅延 (分): 指定した時間 (分) の経過後に有効化されます。
  • イベントベースのタスクによって、Deep Security Virtual Applianceで保護されているESXiにvMotionで移動中の仮想マシンに保護が適用される場合、保留になっているVMware管理タスクを完了できるよう、有効化を遅らせます。遅らせる時間は環境ごとに異なります。
  • コンピュータの無効化: コンピュータでDeep Securityの保護が無効化されます。
  • ポリシーの割り当て: 新しいコンピュータにポリシーが自動的に割り当てられます。(最初にコンピュータを有効化する必要があります)。
  • Relayグループの割り当て: 新しいコンピュータに、セキュリティアップデートを受信するためのRelayグループが自動的に割り当てられます。
  • コンピュータグループへの割り当て: [コンピュータ] 画面のいずれかのコンピュータグループにコンピュータが配置されます。

実行順序

イベントベースのタスクを使用する場合は、各タスクに固有の条件を作成して使用する必要があります。これは、同一の条件が発生した場合、Deep Securityが特定の順序でそれらを処理し、この順序では、タスク内の条件の数を考慮せずに、タスクを相互にランク付けするためです。

たとえば、 Windows Server 2012 プラットフォーム上の server01.example.com コンピューターで、次のイベントベースのタスクが発生した場合。

より多くの条件を持つイベントベースのタスクは、最初に自動的に実行されません。代わりに、「プラットフォーム」条件が2回一致し、イベントベースのタスクがタスクの名前とデータベースタイプに基づいて実行されます。

  • PostgreSQL:「aタスク」、「Aタスク」、「bタスク」、「Bタスク」
  • Oracle:「Aタスク」、「Bタスク」、「aタスク」、「bタスク」(ASCIIBetical の順序)
  • Microsoft SQL Server:オペレーティングシステムのロケールによって異なります。

ただし、この順序は最初の一致で停止するのではなく、最後の一致で停止することに注意してください。これは、実際には、Oracleを使用している場合、ASCIIBeticalの順序を使用すると、「catch」の「c」が「S」の後に続くため、上記の例では「catch-AllEBT」によってポリシーが割り当てられることを意味します。 "明確な"。

予期しない結果を回避するには、CamelCaseなどのイベントベースのタスクに特定の命名規則を使用します。

タスク名の順序は、実際には、データベース内のテーブル「scheduledtasks」の列「name」に使用する照合スキームによって決まります。たとえば、Oracleは、すべての列のデフォルトの照合スキームとして照合スキーム「NLS_COMP:BINARY」および「NLS_SORT:BINARY」を使用し、タスク名の文字列をASCIIBetical順にソートします。

イベントベースタスクを一時的な無効にする

既存のイベントベースタスクが実行されないようにするには、このタスクを右クリックして、[無効] をクリックします。たとえば、特定の管理作業の実行時に他のアクティビティが発生しないようにするには、イベントベースタスクを一時的に無効にします。

イベントベースタスクを再び有効にするには、このタスクを右クリックして、[有効] をクリックします。