Virtual Applianceの検索キャッシュ

検索キャッシュは、仮想マシンの不正プログラム対策および変更監視の検索を最大限に効率化する目的で、Virtual Applianceによって使用されます。検索キャッシュによって、大規模なVMware環境で、複数の仮想マシンから同じ内容を検索する必要性がなくなるため、検索の効率が向上します。検索キャッシュには、Deep Security保護モジュールによって検索されたファイルとその他の検索対象のリストが格納されます。仮想マシン上の検索対象と過去の検索対象が同じであることが確認された場合、その対象はVirtual Applianceによって再度検索されません。エンティティが同じであるかどうかを確認するために使用される属性は、作成時刻、変更時刻、ファイルサイズ、およびファイル名です。リアルタイム検索キャッシュの場合、Deep Securityはファイルの内容の一部を読み取り、2つのファイルが同じであるかどうかを確認します。ファイルの更新シーケンス番号 (USN、Windowsのみ) を使用するオプション設定もありますが、その設定はクローン作成された仮想マシン以外には使用しないでください。

検索キャッシュによって、クローン作成された仮想マシン間または類似した仮想マシン間で検索結果が共有されるため、変更監視が効率化されます。

後続の検索の速度が向上するため、クローン作成された仮想マシンまたは類似した仮想マシンでの不正プログラムの検索が効率化されます。

また、クローン作成された仮想マシンまたは類似した仮想マシンの起動プロセス検索とアプリケーションアクセス検索の速度が向上するため、不正プログラムのリアルタイム検索が強化されます。

検索キャッシュ設定

検索キャッシュ設定は、有効期限、更新シーケンス番号 (USN)、除外するファイル、含めるファイルなどを指定する設定の集まりです。

同じ検索キャッシュ設定を使用する仮想マシン間では、同じ検索キャッシュが共有されます。

既存の検索キャッシュ設定のリストを表示するには、[管理]→[システム設定]→[詳細][検索キャッシュ設定] の順に進み、[検索キャッシュ設定の表示] をクリックします。Deep Securityには、事前に設定された検索キャッシュの初期設定がいくつか用意されています。これらの設定は、保護する仮想マシンのプロパティと実行する検索の種類に応じて、Virtual Applianceによって自動的に実装されます。

[期限] では、個々のエントリを検索キャッシュに保存する期間を指定します。推奨される初期設定は、手動/予約による不正プログラム検索で1日、不正プログラムのリアルタイム検索で15分、変更監視の検索で1日です。

[USNの使用 (Windowsのみ)] では、Windows NTFSの更新シーケンス番号を使用するかどうかを指定します。更新シーケンス番号は、個々のファイルへの変更を記録するための番号です。このオプションは、クローン作成された仮想マシンにのみ設定してください。

[含めるファイル][除外するファイル] では、検索キャッシュに含める、または検索キャッシュから除外するファイルの正規表現パターンとリストを指定します。検索対象のファイルは、まず含めるリストに対して照合されます。

個々のファイルとフォルダは名前で識別できます。また、ワイルドカード (「*」および「?」) を使用して、1つの正規表現で複数のファイルや場所を参照することもできます(ゼロ個以上の任意の文字を表すには「*」を、任意の1文字を表すには「?」を使用します)。

含めるリストと除外リストによって、ファイルの検索に検索キャッシュを使用するかどうかが決まります。ただし、これらのリストを使用することによって、ファイルを従来の方法で検索できなくなるわけではありません。

不正プログラム検索のキャッシュ設定

仮想マシンで使用する検索キャッシュ設定を選択するには、コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開き、[不正プログラム対策]→[詳細]→[仮想マシンの検索キャッシュ] の順に進みます。ここで、不正プログラムのリアルタイム検索に使用する検索キャッシュ設定と、手動/予約検索に使用する検索キャッシュ設定を選択できます。

変更監視の検索のキャッシュ設定

仮想マシンで使用する検索キャッシュ設定を選択するには、コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開き、[変更監視]→[詳細]→[仮想マシンの検索キャッシュ] の順に進みます。

検索キャッシュの管理設定

検索キャッシュの管理設定では、検索キャッシュの実行に関する設定ではなく、Virtual Applianceによる検索キャッシュの管理方法を指定します。そのため、検索キャッシュの管理設定は、検索キャッシュ設定と別になっています。検索キャッシュの管理設定は、ポリシーレベルで制御されます。検索キャッシュの管理設定を表示するには、ポリシーエディタClosedポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。を開き、[設定]→[一般]→[Virtual Appliance] の順に進みます。

同時検索の最大数: Virtual Applianceによって同時に実行される検索の数を指定します。推奨される数は5です。この数が10を超えると、検索のパフォーマンスが低下する可能性があります。検索要求はVirtual Applianceで処理待ちの状態となり、到着順に実行されます。この設定は、手動/予約検索にのみ適用されます。

不正プログラムの手動検索キャッシュの最大エントリ数: 不正プログラムの手動検索または予約検索を実行したときに保持するファイルやその他の検索可能な内容を特定するレコードの最大数を指定します。エントリが100万件の場合、使用されるメモリは約100 MBです。

不正プログラムのリアルタイム検索キャッシュの最大エントリ数: 不正プログラムのリアルタイム検索を実行したときに保持するファイルやその他の検索可能な内容を特定するレコードの最大数を指定します。エントリが100万件の場合、使用されるメモリは約100MBです。

変更監視の検索キャッシュの最大エントリ数: 変更監視のベースラインデータに含めるエンティティの最大数を指定します。エンティティが20万個の場合、使用されるメモリは約100MBです。

初期設定を変更する場合の考慮事項

検索キャッシュは、同じファイルを再度検索しないことを目的としています。Deep Securityでは、同じファイルであるかどうかを確認するために、すべてのファイルの内容全体を調べることはありません。設定によっては、Deep SecurityでファイルのUSN値をチェックすることもできますが、リアルタイム検索中は、ファイルの内容の一部を読み取り、通常はそのファイル属性を調べることによって、同じファイルであるかどうかを確認します。不正プログラムがファイルに変更を加えた後、それらのファイル属性を変更前の状態に復元することは困難ですが、不可能ではありません。

Deep Securityでは、初期設定でキャッシュの有効期限を短くすることによって、この潜在的な脆弱性を軽減しています。セキュリティを強化するために、キャッシュの有効期限をさらに短くしたり、USNを使用することもできますが、これによってパフォーマンスの向上率が低下したり、より大きなキャッシュの設定が必要になることがあります。特定の仮想マシンに最高レベルのセキュリティを提供し、他から切り離して検索結果を共有しないようにするには、該当する仮想マシン専用のポリシーを作成して、それらが別のゾーンで管理されるようにします。この方法は、異なる部門または組織間で同じインフラストラクチャを共有する場合に適しています(マルチテナントのDeep Security Managerを使用している場合は、この設定が自動的に各テナントに適用されます)。

VDI環境など、ESXiホストあたりのゲスト仮想マシン数が非常に多い場合は、検索中のディスクI/OとCPU使用率を監視してください。検索に時間がかかりすぎる場合は、キャッシュのサイズを増やすか、パフォーマンスが改善されるまで検索キャッシュの管理設定を調整します。キャッシュのサイズを増やす場合は、Deep Security Virtual Applianceシステムメモリの調整も必要になることがあります。