Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、アプリケーションコントロールによるソフトウェアのロックダウンを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。

Deep Security Managerインタフェースを使用することで、保護している各コンピュータ用に個別のローカルルールセットを作成できます。Deep Security APIを使用することで、共有ルールセットとグローバルルールセットも作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。

  • ローカルルールセット:コンピュータのソフトウェアインベントリの一部として、またはメンテナンスモードで追加されたルールは、保護対象コンピュータにのみ保存され、Deep Security Managerでは表示されません。Deep Security Managerで設定するルールの許可またはブロックは、Agentに送信され、両方の場所に保存されます。Agentはインベントリ情報をManagerに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを発揮します。

    Deep Security 11.0 Update 1以降では、ソフトウェアが新しいソフトウェアか変更されたソフトウェアかをエージェントが判断する方法が改善されました。ソフトウェアが新しくなったのか、変更されたのかを判断するには、初期設定のソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名と比較します(「Deep Security 10.x(およびアップデートがない場合は11.0)」エージェントには「ファイル」があります)ベースのローカルルールセット).Deep Security 11.0 Update 1から、エージェントはファイルのSHA-256ハッシュとファイルサイズのみを比較します(ハッシュベースのローカルルールセット).があります)。Deep Security 11.0 Update 1エージェントによって作成されたルールは、一意のハッシュおよびファイルサイズのみを比較するため、ソフトウェアファイルの名前が変更または移動された場合でもルールは適用され続けます。その結果、Deep Security 11.0 Update 1エージェントを使用すると、対処する必要があるソフトウェアの変更数が減少します。Deep Security 10.xエージェント(または11.0にアップデートがインストールされていない)は、Deep Security 11.0 Update 1にバージョンアップされるまで、引き続きファイルベースのローカルルールセットを使用します。エージェントをバージョン11.0 Update 1にアップグレードすると、そのローカルルールセットはハッシュベースのルールを使用するように変換されます。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • 共有ルールセット:すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。共有ルールセットは、同じ構成のLAMP Webサーバで構成されるサーバプールや、複数仮想マシンでオートスケーリンググループを構成している場合などに便利です。管理作業の負荷も軽減できます。共有ルールセットを作成するには、共有ルールセットを作成するを参照してください。

    [承認されていないソフトウェアを明示的に許可するまでブロック] が有効で、コンピュータが単に類似しているが同一ではない場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータのすべてのソフトウェアがブロックされてしまいます。重要なファイルが含まれている場合、OSが破損する可能性があります。OSが破損すると、再インストール、バックアップの復元、またはOSの復旧モードの使用が必要になる可能性があります。

    Deep Security 11.0 Update 1以降を使用して新しい共有ルールセットを作成すると、ハッシュベースのルール(ファイルのハッシュと).のサイズのみを比較するルール)のみを含めることができます。Deep Security 11.0以前を使用して共有ルールセットを作成した場合、ルールセットに含まれているのは、ファイルベースのルールセットです。ファイルベースのルールとは、ファイルの名前、パス、サイズ、およびハッシュを比較するルールです。以前の共有ルールセットは、共有ルールセットを使用するすべてのエージェントがDeep Security Agent 11.0 Update 1以上にアップグレードされるまで、引き続きファイルベースのルールを使用します。すべてのエージェントがバージョン11.0 Update 1以上の場合、共有ルールセットはハッシュベースのルールを使用するように変換されます。

    ルールセットを使用するすべてのエージェントがバージョン11.0 Update 1以上でない限り、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートする10.xおよび11.0エージェントとは互換性がありません。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • グローバルルールセット: 共有ルールセットと同様に、グローバルルールセットはManagerによってAgentに配布されます (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、これらのルールセットはグローバルであるため、各ポリシーでの選択の手間を省くことができます。グローバルルールは、Deep Security Managerに表示されるルールセットの一部ではありません。グローバルルールを表示するには、APIを使用します。(Deep Security REST APIの使用を参照してください)。グローバルルールセットに含めることができるのはブロックルールのみです。許可ルールを含めることはできません。

    グローバルルールセットを使用するには、Deep Security Agent 10.2以降が必要です。Managerはそれより古いAgentにはグローバルルールセットを送信しません。グローバルルールセットは、他のすべてのアプリケーションコントロールルールよりも優先されます。また、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールセットのルールは、ファイルのSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意のため、ファイルパス、ポリシー、コンピュータグループに関係なく、またアプリケーションコントロールによって以前にソフトウェアが検出されているかどうかに関係なく、特定のソフトウェアをあらゆる場所でブロックできます。

    マルチテナント環境では、各テナントに個別のグローバルルールセットが用意されています。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

このトピックの内容:

共有ルールセットを作成する

APIを使用して共有許可またはブロックルールを作成し、そのルールセットを他のコンピュータに適用できます。これは、同一のコンピュータが複数ある場合 (Webサーバファームで負荷を分散している場合など) に便利です。共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、Deep Security REST APIの使用を参照してください。共有ルールセットを配信する前に共有ルールセットを調べる場合は、アプリケーションコントロールルールセットの表示と変更を参照してください。
  2. コンピュータエディタまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).で、[アプリケーションコントロール] に進みます。
  3. [ルールセット] で、[設定を継承] が選択されていないことを確認してから、[共有ルールセットを使用] を選択します。使用する共有ルールセットを指定します。

    これらの設定は、APIを使用して作成した共有ルールセットがない場合は表示されません。共有ルールセットを作成していない場合、または初期設定をそのまま使用する場合は、各コンピュータには独自の許可およびブロックルールがローカルに使用されます。ローカルルールに対する変更は他のコンピュータには反映されません。

  4. [保存] をクリックします。

    コンピュータのDeep Security Agentが次回Deep Security Managerに接続するときに、Agentによってルールが適用されます。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、AgentとManagerまたはRelay間のネットワークデバイスによって、ハートビートポート番号またはRelayポート番号の通信が許可されていることを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

APIで作成された共有許可またはブロックルールを現在使用しているコンピュータで、ローカルルールを使用するように変更することができます。アプリケーションコントロールをはじめて有効にしたときと同様に、ファイルシステムに現在インストールされているすべてのソフトウェアが検索され、初期ルールセットが作成されます。

この手順を開始する前に、適切なソフトウェアのみが現在インストールされていることを確認してください。ルールセットを再構築すると、安全性が確認されていないソフトウェアや不正プログラムも含め、現在インストールされているすべてのソフトウェアが許可されます。インストールされているソフトウェアを把握していない場合は、クリーンインストールを実施し、その後でアプリケーションコントロールを有効にするのが最も安全な方法です。

以下の手順は、特定のコンピュータのAgentでローカルルールセットを使用するように設定する手順です。すべてのコンピュータでローカルルールを使用する場合は、代わりに [ポリシー] タブで設定を編集します。

  1. コンピュータエディタClosedTo open the Computer editor, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).で、[アプリケーションコントロール] に進みます。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

    変更を確認するには、AgentとDeep Security Managerとの次回接続時に、アプリケーションコントロールルールセットの構築に関するイベントログを確認します。

Relayを介してアプリケーションコントロール共有ルールセットをインストールする

アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。ルールセットをManagerから同時に直接ダウンロードすると、負荷が大きくなり、パフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。

Deep Security Relayを使用すると、この問題を解決できます。(Relayの設定の詳細については、「Relayによるセキュリティとソフトウェアのアップデートの配布」を参照してください。)

マルチテナント環境を使用しているかどうかによって、手順が異なります。

単一テナント環境

[管理]→[システム設定]→[詳細] の順に選択し、[アプリケーションコントロールルールセットをRelayから提供する] を選択します。

ローカルルールセットと共有ルールセット

マルチテナント環境

プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。

tNルールセットRelay

Relayと共有ルールセットを使用する際の注意事項

Relayを使用する前に、Relayに使用環境との互換性があることを確認してください。以前にダウンロードしたルールセットがAgentに現在適用されていない場合、新しいアプリケーションコントロールルールを受信しないと、コンピュータはアプリケーションコントロールで保護されません。アプリケーションコントロールルールセットのダウンロードに失敗した場合は、ルールセットダウンロード失敗イベントが、ManagerおよびAgentで記録されます。

  • プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。

    Deep Security Agent 10.0以前では、プロキシ経由でのRelayへの接続がサポートされていませんでした。プロキシが原因でルールセットダウンロードに失敗した場合、およびAgentがRelayまたはManager (Deep Security as a Serviceなど) にアクセスするためのプロキシを必要とする場合は、次のいずれかを実行する必要があります。

  • 共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
  • ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
  • プライマリ以外のテナント (tN) が初期設定のプライマリ (t0) Relayグループを使用する場合は、マルチテナント設定でRelayを使用しないでください。