本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

AgentとManagerの通信

Deep Security ManagerとAgentまたはApplianceの通信では、相互にサポートされている最新バージョンのTLSが使用されます。

この記事のトピック:

ハートビートを設定する

「ハートビート」とは、Deep Security ManagerとAgentまたはApplianceの間の定期的な通信です。Managerは、ハートビート中に次の情報を収集します。

  • ドライバのステータス (オンラインまたはオフライン)
  • AgentまたはApplianceのステータス (時刻を含む)
  • 前回のハートビート以後のAgentまたはApplianceのログ
  • カウンタをアップデートするデータ
  • AgentまたはApplianceのセキュリティ設定のフィンガープリント (設定が最新のものかどうか判断するために使用)

ハートビートは、ベースまたは親ポリシー、サブポリシー、あるいは個々のコンピュータで設定できます。

ハートビートは次のプロパティを設定できます。

  • ハートビート間隔 (分): ハートビートの送信間隔。
  • 次の数を超えるハートビートが失われた場合にアラートを発令: アラートをトリガする、連続して失われるハートビートの数(たとえば3に設定すると、ハートビートが4回失われた時点でアラートをトリガします)。
    コンピュータがサーバの場合、行内にハートビートが多すぎるとエージェント(またはアプライアンス), またはコンピュータ自体)に問題がある可能性があります。ただしノートパソコンなど、継続的にネットワークから切断されることの多いシステムの場合、この設定は「無制限」にしてください。
  • ハートビート間でコンピュータのローカルシステム時間が次の時間を超えて変更された場合にアラートを発令:Agentがシステム時計への変更を検出できる場合は (Windows Agentのみ)、そのイベントがAgentイベント5004としてManagerに報告されます。時計の変更がここに示された時間を超えた場合は、アラートがトリガされます。この機能をサポートしないAgentの場合は、Managerがハートビート処理のたびにAgentから報告されるシステム時間を監視し、設定で指定された最大変更値よりも大きい場合にアラートをトリガします。
    「コンピュータの時計の変更」アラートがトリガされたら、アラートを手動で消去する必要があります。
  • 非アクティブな仮想マシンに対してオフラインエラーを発令: 仮想マシンが停止した場合にオフラインエラーを発生させるかどうかを設定します。
  1. 設定するポリシーまたはコンピュータのポリシーエディタClosedTo open the Policy editor, go to the Policies page and double-click the policy that you want to edit (or select the policy and click Details).またはコンピュータエディタClosedTo open the Computer editor, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  2. [設定]→[一般]→[ハートビート] に移動します。
  3. 必要に応じてプロパティを変更します。
  4. [保存] をクリックします。

通信方向を設定する

エージェント(またはアプライアンス), またはマネージャが通信を開始するかどうか)を設定します。「通信」には、ハートビートとその他すべての通信が含まれます。次のオプションを使用できます。

    双方向: 初期設定では、通信は双方向です。通常はAgent/Applianceからハートビートを送信し、Deep Security Managerからの接続もAgentの待機ポート番号で待機します( Deep Securityのポート番号 .)を参照してください。Managerは必要な処理を実行するためにAgentまたはApplianceに接続できます。ManagerはAgentまたはApplianceのセキュリティ設定に変更内容を適用することもできます。
    Deep Security Virtual Applianceは双方向モードでのみ動作します。Virtual Applianceの設定を他のモードに変更すると、機能が中断します。
  • Managerから開始: AgentまたはApplianceとの通信をすべてManagerから開始します。この通信には、セキュリティ設定のアップデート、ハートビートの処理、およびイベントログの要求が含まれます。このオプションを選択した場合は、既知のDeep Security Managerからの接続のみが許可されるように 特定のManagerへのDeep Security Agentのバインドを行うことを強くお勧めします。
  • Agent/Appliance Initiated:エージェントまたはアプライアンス が、エージェントのハートビートを待機するポート番号のマネージャに接続します。(Deep Securityのポート番号を参照)。AgentまたはApplianceからManagerへのTCP接続が確立されると、各種処理が実行されます。Managerは最初にAgentまたはApplianceにステータスとイベントを問い合わせます (これはハートビートの処理です)。コンピュータで実行する必要のある未解決処理がある場合 (ポリシーのアップデートが必要など) は、接続が終了する前にその処理が実行されます。ハートビートごとにManagerとAgentまたはAppliance間の通信が発生します。AgentまたはApplianceのセキュリティ設定が変更された場合は、次のハートビートまでアップデートされません。
    通信を開始するようにエージェントまたはアプライアンス を設定する前に、マネージャのURLおよびハートビートポートに接続できることを確認してください。エージェントまたはアプライアンス でマネージャURLを解決できない場合、またはIPアドレスとポートに到達できない場合は、エージェントまたはアプライアンスで開始された通信は失敗します。Manager URLとハートビートポートは、 の[Administration]→[System Information]System Details 領域に表示されます。
マネージャとアプライアンスまたはアプライアンス間の通信をイネーブルにするには、管理者は、クライアントまたはアプライアンス から受信 TCP/IP トラフィックへのハートビートの待機ポート番号を開く(非表示)ファイアウォールルール(優先順位4、Bypass)を自動的に実装します。このルールは、初期設定ではすべてのIPアドレスおよびMACアドレスからの接続を許可するようになっています。特定のIPまたはMACアドレスまたはその両方から受信TCP/IPトラフィックのみを許可する新しい優先度4 (強制的に許可またはファイアウォールルールをバイパス) を作成することで、このポートの受信トラフィックを制限できます。非表示のファイアウォールルールに置き換えるには、次の設定で新しいルールを作成します。

処理: 強制的に許可またはバイパス
優先度: 4 - 最高
パケットの方向: 受信
フレームの種類: IP
プロトコル: TCP
パケットの送信先ポート: AgentがManagerからのハートビート接続を待機するポート番号、またはそのポート番号を含むリスト( エージェントの待機ポート番号

を参照してください。これらの設定が有効な間、新しいルールは非表示ルールに置き換わります。その後、IPまたはMACアドレス、またはその両方のパケットソース情報を入力して、コンピュータへのトラフィックを制限できます。
  1. 設定するポリシーまたはコンピュータのポリシーエディタClosedTo open the Policy editor, go to the Policies page and double-click the policy that you want to edit (or select the policy and click Details).またはコンピュータエディタClosedTo open the Computer editor, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  2. [設定]→[一般]→[通信方向] に移動します。
  3. Deep Security Managerから Agent/Appliance への通信の方向メニューで、 ("Managerが起動した", "Agent/appliance Initiated", または「Bidirectional"), 」の3つのオプションのいずれかを選択するか、[Inherited".]を選択します。[継承] を選択した場合、ポリシーまたはコンピュータには、親ポリシーの設定が継承されます。その他のオプションのいずれかを選択すると、継承された設定がオーバーライドされます。
  4. [保存] をクリックして変更を適用します。
AgentとApplianceは、Managerのホスト名によってネットワーク上のDeep Security Managerを検索します。このため、AgentまたはApplianceによる開始または双方向の通信を使用する場合は、Managerのホスト名が必ずローカルDNS内にある必要があります。

AgentとManagerの通信でサポートされている暗号化スイート

Deep Security ManagerとAgentまたはApplianceの通信では、相互にサポートされている最新バージョンのTLSが使用されます。

Deep Security Agentは、Managerとの通信で次の暗号化スイートをサポートしています。Deep Security Managerでサポートされている暗号化スイートを調べる必要がある場合は、トレンドマイクロにお問い合わせください。Deep Security Virtual Applianceでサポートされている暗号化スイートを調べる必要がある場合は、Applianceに組み込まれているAgentのバージョンを確認し、以下のリストでそのAgentを探してください。

暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。

Deep Security エージェント9.5は、次のTLS 1.0 暗号スイートをサポートしています.

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security エージェント9.6では、次のTLS 1.0暗号スイートがサポートされます。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security エージェント10.0では、次の暗号スイートがサポートされています。

Deep Security エージェント11.0以降のアップデートでは、次のTLS 1.2暗号スイートがサポートされます。

  • FIPSモードでは、次のスイートがサポートされます。

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_RSA_WITH_AES_256_CBC_SHA256
    • TLS_RSA_WITH_AES_128_CBC_SHA256
  • 非FIPSモードの場合、次のスイートがサポートされます。

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    Deep Security Agent 11.0 Update 6以降のリリースでは、非FIPSモードの場合、強力な暗号スイート(ECDHE)のみがサポートされます。