インターネットにアクセスできない エージェントを設定する

エージェントまたはリレーがインターネットへのアクセス権を持っていない場合(「Air-gapped agents"), 」とも呼ばれます)、 Trend MicroSmart Protection Networkが提供するセキュリティサービスのいくつかにアクセスできなくなります。これらのセキュリティサービスは、 Deep Security不正プログラム対策 および Webレピュテーション の機能を正常に実行するために必要です。

Trend MicroSmart Protection ネットワークのセキュリティサービスは次のとおりです。

サービス名 対象機能
スマートスキャンサービス スマートスキャン
Webレピュテーションサービス Webレピュテーション
Global Censusサービス 挙動監視機械学習型検索
Good File Reputationサービス 挙動監視機械学習型検索プロセスメモリ検索
機械学習型検索サービス 機械学習型検索

解決策

プロキシを使用する

エージェントまたはリレー対応エージェントがインターネットに接続できない場合は、できるプロキシをインストールできます。Deep Security AgentおよびRelayがプロキシに接続すると、このプロキシはSmart Protection Network内のトレンドマイクロのセキュリティサービスに送信接続します。

プロキシを使用すると、各 スマートスキャン または Webレピュテーション 要求がインターネット経由で Smart Protection ネットワークに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの背後に配置されたAgentの接続を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントおよびリレー対応エージェントがインターネットに接続できない場合は、 に接続できるローカルエリアネットワーク(LAN)に Smart Protection サーバをインストールできます。ローカル Smart Protection サーバは定期的にインターネット経由で Smart Protection ネットワークに接続し、最新の スマートスキャン不正プログラム対策 パターンファイルと Webレピュテーション 情報を取得します。この情報はSmart Protection Serverでキャッシュされ、AgentおよびRelay有効化済みAgentに配布されます。

この解決策を使用する場合は、次のことに覚えておいてください。

Smart Protection Serverの配置:

  • 手動でインストールします。詳細については、下記のサイトからSmart Protection Serverの「インストールガイド」を参照してください。

    または
  • AgentまたはRelay有効化済みAgentがAWS内にある場合は、トレンドマイクロによって作成されたAWS CloudFormationテンプレートを使用してインストールします。詳細については、AWSでのSmart Protection Serverの配置を参照してください。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない隔離されたネットワーク内にあり、エージェントまたはリレー対応エージェントもインターネットに接続できない場合は、スタンドアロンのDeep Security Managerにデータベースとリレーを有効にすることができます。非武装地帯 (DMZ) 内のクライアントまたはインターネットアクセスが利用可能なその他のエリア

すべてのコンポーネントがインストールされたら、DMZのリレー対応エージェントを設定して、 Smart Protection ネットワークのアップデートサーバから最新の不正プログラム検索アップデートを自動的に取得できます。これらのアップデートは.zipファイルに抽出し、エアギャップRelayに手動でコピーするか、エアギャップRelayがない場合はエアギャップAgentに直接コピーする必要があります(詳細な手順は以下を参照)。

この解決策を使用する場合は、次のことに覚えておいてください。

この解決策を導入するには、次の手順に従います (アップグレードの手順については、下記を参照してください)。

  1. Deep Security Managerと関連するデータベースをDMZにインストールします。これらのインターネット接続コンポーネントは、「DMZ Manager」および「DMZデータベース'.」と呼ばれます。
  2. Deep Security AgentをDMZにインストールして、Relayとして設定します。このAgentのことを「DMZ Relay」と呼びます。Relayの設定方法については、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください。

    次のアイテムがインストールされました。
    • DMZ Manager
    • DMZデータベース
    • DMZ Relay
    • エアギャップManager
    • エアギャップデータベース
    • エアギャップRelay
    • 複数のエアギャップAgent
  1. DMZリレーで、次のコマンドを実行して最新の不正プログラムパターンファイルが含まれる.zipファイルを作成します。
  2. dsa_control -b
    コマンドラインの出力に、生成された.zipファイルの名前と場所が表示されます。

  3. .zipファイルをオフラインのRelayにコピーするか、オフラインのRelayを使用していない場合は.zipをオフラインの各Agentに直接コピーします。 このファイルをRelayまたはAgentのインストールディレクトリに保存します。
    • 初期設定のディレクトリは、Windowsの場合は「C:\Program Files\Trend Micro\Deep Security Agent」、
    • Linuxの場合は、「/opt/ds_agent」です。
    • .zipファイルの名前は変更しないでください。
  4. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
    1. 上部の [コンピュータ] をクリックします。
    2. コンピュータのリストで、.zipファイルをコピーしたエアギャップのリレーまたはエージェントを探して右クリックし、[ セキュリティアップデートのダウンロード]を選択します。
      エアギャップのあるリレーまたはエージェントは、設定されたアップデート元(通常、インターネット上の Trend MicroSmart Protection ネットワーク内のアップデートサーバを確認します.).このサーバに接続できないため、インストールディレクトリ内の.zipファイルを確認します。.zipファイルを見つけたら、そのファイルを解凍してアップデートをインポートします。オフラインのRelayを使用する場合は、アップデートがRelayに接続するように設定されたオフラインのAgentに配布されます。
    3. アップデートがエアギャップAgentまたはRelayにインポートされたら、.zipファイルを削除します。
  5. トレンドマイクロのアップデートサーバの代わりにオフラインのRelay自身に接続されるように設定します (接続エラーアラートを回避するため)。
    1. オフラインのManagerにログインします。
    2. 上部の [管理] をクリックします。
    3. 左側で [システム設定] をクリックします。
    4. メイン画面で [アップデート] タブをクリックします。
    5. [セキュリティアップデート元][その他のアップデート元] を選択し、https://localhost:[ポート] と入力します。[ポート]セキュリティデータベース用に設定したポート番号で、初期設定は4122です。
    6. [OK] をクリックします。
      オフラインのRelayがTrend Micro Smart Protection Network内のアップデートサーバに接続しなくなります。
  6. 任意の要件 (推奨): パフォーマンスを向上するには、トレンドマイクロのセキュリティサービスを使用する機能を無効にする
  7. 定期的に最新のアップデートをDMZリレーにダウンロードし、zipに圧縮して、オフラインのRelayまたはAgentにコピーし、Relay上でセキュリティアップデートのダウンロードを開始します (使用している場合)。

これで、不正プログラム検索アップデートの取得元であるDMZに、Deep Security Manager、関連するデータベース、およびRelayが配置されました。

この解決策をアップグレードするには、次の順序で実行します。 

  1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  2. DMZ Relay
  3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  4. エアギャップRelay
  5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、 Deep Securityのインストールまたはアップグレード のインストールまたはアップグレード(マネージャのアップグレード手順), および Deep Security Agentのアップデート

隔離されたネットワークでルールのアップデートを取得する

前のセクションで作成した.zipファイルには、 侵入防御 パターンファイルが含まれていますが、 侵入防御の, 変更監視および セキュリティログ監視に使用されるDeep Securityルールのアップデートは含まれていません。

アップデートを入手するには

  1. DMZマネージャで、[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  2. ルール更新 (.dsruファイルをクリックして、 エクスポートをクリックします。ファイルはローカルにダウンロードされます。
  3. Air-Gapped Managerに適用する.dsruファイルごとにエクスポートを繰り返します。
  4. .dsruファイルをAir-Gapped Managerにコピーします。
  5. Air-Gapped Managerで、[ 管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  6. インポートをクリックし、.dsruファイルを選択して、[ 次へ]をクリックします。
  7. マネージャはファイルを検証し、ファイルに含まれるルールの概要を表示します。[Next] をクリックします。
  8. ルールのアップデートが正常にインポートされたことを示すメッセージが表示されます。[閉じる] をクリックします。
  9. Air-Gapped Managerに適用する.dsruファイルごとにインポートを繰り返します。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にできます。無効にすると、オフラインのAgentはサービスを照会しなくなるため (失敗するため) パフォーマンスが向上します。

  • トレンドマイクロのセキュリティサービスを使用しない場合は、不正プログラム検出が大幅にダウングレードされ、ランサムウェアがまったく検出されず、プロセスメモリ検索にも影響を与えます。そのため、トレンドマイクロのセキュリティサービスにアクセスできるように他の解決策のいずれかを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

また、パフォーマンスの向上が必要な場合は、Deep Security Managerで国勢調査およびグリッドクエリを無効にします。有効にしたままにすると、多くの不要なバックグラウンド処理が実行されます。これらのクエリを無効にするには、次の手順に従います。

  1. Censusクエリを無効にします。

-action changesetting -name settings.configuration.enableCensusQuery -value false

  1. GRIDクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false