本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Applianceのインストール (NSX-V)

アプライアンスを配信する前にのタスクを完了したら、NSX Data Center for vSphere(NSX-V).)にアプライアンスを配信する準備ができました。以下の手順に従ってください。

新しいOSの脆弱性から保護するためにApplianceをアップグレードするすることもできます。

手順1: Deep Security Managerにアプライアンスパッケージをインポートします。

アプライアンスを配信する前にのタスクを完了したら、アプライアンスZIPをDeep Security Managerにインポートする準備ができました。

アプライアンスのZIPをインポートする代わりに、OVFファイルをURL の場所に配置して、NSXがより高速にダウンロードできるようにすることもできます。詳細については、アプライアンスのOVFの場所を設定するを参照してください。

  1. 移動先:

    https://help.deepsecurity.trendmicro.com/ja-jp/software.html

  2. Deep Security Virtual Applianceパッケージをダウンロードします。システム要件のバージョン要件を確認してください。

    複数バージョンのアプライアンスをインポートできます。マネージャは、最新のパッケージを選択します。

  3. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。

  4. [インポート] をクリックして、パッケージをDeep Security Managerにアップロードします。

    インポート時、 Deep Security Manager も仮想アプライアンスVMのOSと互換性のあるエージェントを自動的にダウンロードおよびインポートします。このエージェントには、 Deep Security Agent for 64ビットRed Hat Enterprise Linuxと同じ保護モジュールがあります。

  5. 別の組み込みエージェントを指定する場合は、管理>  システム設定>  アップデートにアクセスし、仮想アプライアンスの配信。初期設定では、仮想アプライアンスの配信オプションは最新のバージョン(推奨)に設定されています。これは、マネージャに、インポートされた最新の組み込みエージェントを使用するように仮想アプライアンスをアップグレードすることを示します。必要に応じて、この設定を変更します。

手順2: Deep Security ManagerにvCenterを追加する

VMware vCenterの追加の手順に従ってください。

完了後:

  • ゲストVMがDeep Security Managerに表示されます。
  • Trend Micro Deep SecurityサービスがNSX-Tに登録されています。

手順3: ESXiサーバの準備

NSX Advanced EditionまたはNSX Enterprise Editionを使用する場合は、ネットワークトラフィックの監視に必要なドライバをインストールして、ESXiサーバを準備する必要があります。この処理はクラスタ上で実行します。

別のエディションのNSXを使用している場合は、このセクションをスキップしてください。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Installation]→[Host Preparation] の順に移動します。

  2. Deep Securityで保護するNSXクラスタを [Clusters & Hosts] リストから見つけて、[Installation Status] 列で [Install] をクリックします。インストールが完了すると、ドライバのバージョンが [Installation Status] 列に表示されます。

    以上でESXiホストの準備が完了しました。ホストの準備に関するより詳しい手順については、VMwareのドキュメントを参照してください。

手順4: Guest Introspectionをインストールする

不正プログラム対策や侵入防御など、ファイルベースでの保護対策を仮想マシンに対して行うには、Guest IntrospectionサービスをESXiサーバにインストールする必要があります。

ゲストイントロスペクションサービスは、ファイルイントロスペクション(vsepflt)ドライバとネットワークイントロスペクション(vnetflt)ドライバの2つのドライバで構成されます。

不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

  1. vSphere Web Clientで、[Home]→[Networking]→[Security]→[Installation] の順に選択し、[Service Deployments] タブをクリックします。

    VMwareの [Service Deployments]

  2. 緑色のプラスアイコン () をクリックします。

    [Deploy Network & Security Services] 画面が表示されます。

  3. [Guest Introspection] を選択し、[Next] をクリックします。

  4. 保護するESXiサーバおよび仮想マシンを含むクラスタを選択し、[Next] をクリックします。

  5. データストア、NSXクラスタで使用する分散ポートグループ、およびIP割り当ての方法を選択し、[Next] をクリックします。

  6. 設定を確認し、[Finish] をクリックします。

    ESXiサーバにGuest Introspectionサービスがインストールされます。この処理には数分かかることがあります。完了すると、[Installation Status] が「Succeeded」になります。最新のステータスを表示するには、vSphere Web Client画面の更新が必要なことがあります。

    vSphere Clientの更新

手順5: Deep Security Virtual ApplianceをNSX-Vにインストールする

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Installation]→[Service Deployments] の順に選択します。
  2. 緑色のプラス記号 () をクリックします。

  3. 表示された新しいウィンドウで、[Trend Micro Deep Security] サービスを選択し、[Next] をクリックします。このサービスが表示されない場合は、vCenterがDeep Security Managerにまだ追加されていない可能性があります。詳細については、 手順2: Deep Security ManagerにvCenterを追加するを参照してください。

  4. [完了] をクリックします。

    配信が完了すると、クラスタ内のネットワークとセキュリティサービスの配信のリストに、Trend Micro Deep Securityサービスが表示されます。

手順6:NSXセキュリティグループとポリシーを作成する

開始するには、Deep Security Virtual Applianceで保護する仮想マシンを含むNSXセキュリティグループを作成します。

  1. vSphere Web Clientで、[Home]→[Networking & Security]→[Service Composer]→[Security Groups] の順に選択します。

  2. [New Security Group] () をクリックします。

  3. Define Dynamic Membership: このグループのメンバーシップを特定のフィルタ条件に基づいて制限する場合は、その条件を入力します。

  4. 含めるオブジェクトを選択します。

    NSXセキュリティグループのオブジェクトを追加または削除する方法は、多数あります。ここでは、保護対象のESXiホストと仮想マシンを含むNSXクラスタを追加します。[Select objects to include] のオプションで、[Object Type] メニューの [Cluster] を選択し、保護対象の仮想マシンを含むNSXクラスタを [Selected Objects] 列に移動します。

    同じ仮想マシンが複数のセキュリティグループに含まれている場合は、Deep Security Managerの [コンピュータ] でその仮想マシン名を検索すると、検索結果に仮想マシン名が重複して表示されます。詳細については、「Duplicate host records appear in Computer page when the host is located in more than one NSX security group」を参照してください。

  5. [Finish] をクリックして新しいセキュリティグループを作成し、[Security Groups] タブに戻って新しいセキュリティグループが表示されることを確認します。

次に、NSXセキュリティポリシーを作成します。

  1. vSphere Web Clientで、[Home]→[Networking and Security]→[Service Composer]→[Security Policies] の順に選択します。
  2. [New Security Policy] をクリックします。

  3. Guest Introspection Services: 不正プログラム対策または侵入防御モジュールを使用している場合は、Guest Introspection Servicesを設定します。

    不正プログラム対策および侵入防御は、Guest Introspectionをインストールしないと機能しません。

    緑色のプラス記号 () をクリックしてEndpointサービスを追加します。Endpointサービスの名前を指定し、次のように設定します。
    • Action: Apply
    • Service Name: Trend Micro Deep Security
    • サービスプロフィール: 初期設定(EBT)を選択します。これは、 Deep Security Managerでイベントベースのタスクを実行するように設定されたプロファイル設定です。
    • State: Enabled
    • Enforce: Yes

    [OK] をクリックし、[Next] をクリックします。

  4. Firewall Rules: この設定は変更しません。[次へ] をクリックします。
  5. Network Introspection Services: Network Introspection ServicesはNSX AdvancedおよびEnterpriseでのみ利用可能で、Webレピュテーション、ファイアウォール、または侵入防御モジュールを使用している場合にのみ設定する必要があります。NSXセキュリティポリシーにNetwork Introspectionサービスを2つ追加します。1つは送信トラフィック用でもう1つは受信トラフィック用です。
    1. 最初に、送信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Outbound」という語句を含めることを推奨)、次のように設定します。
      • Action: Redirect to service
      • Service Name: Trend Micro Deep Security
      • サービスプロフィール: 初期設定(EBT)を選択する
      • Source: Policy's Security Groups
      • Destination:Any
      • Service:Any
      • State: Enabled
      • Log: Do not log

    2. 次に、受信用のサービスを追加します。[Network Introspection Services] オプションで、緑色のプラス記号をクリックして新しいサービスを作成します。[Add Network Introspection Service] 画面で、サービスの名前を指定し (「Inbound」という語句を含めることを推奨)、次のように設定します。
      • サービスにリダイレクト:はい
      • Service Name: Trend Micro Deep Security
      • サービスプロフィール: 初期設定(EBT)を選択する
      • Source:Any
      • Destination: Policy's Security Groups
      • Service:Any
      • State: Enabled
      • Log: Do not log

    3. [Add Network Inspection Service] 画面で [OK] をクリックし、[Finish] をクリックして完了してから [New Security Policy] 画面を閉じます。

    これで、Deep Security用のNSXセキュリティポリシーが作成されました。

最後に、作成したNSXセキュリティポリシーを、作成したNSXセキュリティグループに関連付けます。

  1. 引き続き、vSphere Web Clientの [Home]→[Networking & Security]→[Service Composer] 画面の [Security Policies] タブを使用します。
  2. 新しいセキュリティポリシーを選択した状態で、[Apply Security Policy] アイコン () をクリックします。
  3. [Apply Policy to Security Groups] 画面で、保護する仮想マシンが含まれているセキュリティグループを選択し、[OK] をクリックします。

    これで、NSXセキュリティグループの仮想マシンにNSXセキュリティポリシーが適用されました。

これで、NSXセキュリティグループとポリシーの作成が完了しました。これらのNSXセキュリティグループに追加されたVMはDeep Security Managerでアクティベートされ、 Deep Securityポリシーが割り当てられます。

手順7: NSX-Vで有効化を準備する

アクティベーションを準備するには、方法1,2、または3を使用できます。

  • 一部のメソッドは一部のNSXバージョンではサポートされません。詳細については、次の表を参照してください。
  • 方法1:この方法では、システムで新しく作成したVMが自動的にアクティベートされ、ポリシーが割り当てられます。
  • 方法2:この方法では、指定されたNSXセキュリティグループに移動されると、新しいVMと既存のVMが自動的にアクティベートされ、ポリシーが割り当てられます。
  • 方法3:この方法では、指定されたNSXセキュリティグループに移動されると、新しいVMと既存のVMがアクティベートされ、ポリシーが割り当てられます。詳細を表示この方法では、仮想マシンを指定されたNSXセキュリティグループに移動すると、新規および既存の仮想マシンが有効化され、ポリシーが割り当てられます。ただし、方法2とは異なり、 Deep SecurityのポリシーはDeep Securityのイベントベースのタスクではなく、VMwareのUIを介して割り当てられます。
Deep Security Virtual Appliance環境
   NSX for vSphere(NSX-V)6.4.x NSX-T 3.x
方法

標準

または

NSX for vShield Endpoint (無料)

詳細 Enterprise NSX Data Center Standard NSX Data Center Professional NSX Data Center Advanced NSX Data Center Enterprise Plus NSX Data Center for Remote Office Branch Office すべてのライセンスタイプ

方法1

方法2

 X 1 1 X X 1 1 1

方法3

 X 1 1 X X 1 1 1

1 VMwareのNetwork Introspection Serviceが必要です。

には、次のソフトウェアの組み合わせが必要です: のDeep Security ManagerのFR 2019年12月12日(ビルド12.5.494)以降のDeep Security AgentのLinuxのFR 2020年4月2日(とをビルド12.5.0-814)またはそれより新しい。

方法1: 「コンピュータの作成」イベントベースタスクを作成する

次の手順はタスクベースです。イベントベースタスクに関する詳細については、NSX環境での自動ポリシー管理を参照してください。

  1. Deep Security Managerで、上部にある[ Administration]をクリックします。
  2. 左側で、[イベントベースタスク] をクリックします。
  3. メイン画面で、[新規] をクリックします。
  4. [イベント] ドロップダウンリストから [コンピュータの作成 (システムによる)] を選択します。[次へ] をクリックします。
  5. [コンピュータの有効化] を選択して5分に設定します。
  6. [ポリシーの割り当て] を選択し、Windows Server 2016など、ドロップダウンリストからポリシーを選択します。矢印をクリックすると、子ポリシーを表示できます。[次へ] をクリックします。
  7. イベントベースタスクがトリガされたときに制限する条件を指定します。次の条件を追加します。

    [vCenter名]<ご使用のvCenter名>と一致する

  8. イベントベースタスクがトリガされたときにさらに制限する条件を追加します。たとえば、すべてのWindows仮想マシンに接頭語「Windows」を含めるという命名規則を仮想マシンに使用している場合は、次のように設定します。

    [コンピュータ名]Windows*と一致する

    [次へ] をクリックします。

  9. [名前] フィールドで、Activate Windows Server 2016など、割り当てたポリシーを反映させるタスクの名前を入力します。
  10. [タスクの有効化] を選択して [完了] をクリックします。
  11. 割り当て時に計画したDeep Securityポリシーごとに追加のイベントベースタスクを作成します。イベントベースタスクのイベントタイプには [コンピュータの作成 (システムによる)] を指定し、コンピュータを有効化してポリシーの割り当てを実行できるように設定する必要があります。

    新しく作成した仮想マシンを有効化してポリシーを割り当てられるようにイベントベースタスクを設定しました。仮想マシンが作成されるとすぐに、[コンピュータの作成 (システムによる)] イベントベースタスクのすべてがレビューされます。タスクの条件が一致すると、タスクがトリガされます。また、仮想マシンが有効化され、関連するポリシーが割り当てられます。

方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成する

次の手順はタスクベースです。イベントベースタスクに関する詳細については、NSX環境での自動ポリシー管理を参照してください。

開始するには、イベントベースのタスクアクティベーションを作成または変更します。

  1. Deep Security Managerで、上部にある[ Administration]をクリックします。
  2. 左側で、[イベントベースタスク] をクリックします。
  3. メイン画面で、<your_vCenter_name>というイベントベースのタスクを探します。それは存在することもあれば存在しないこともあります。
  4. アクティベーションのイベントベースのタスクが存在する場合は、ダブルクリックして以下の表を確認して、正しく設定されていることを確認してください。存在しない場合は、新規をクリックしてウィザードを実行し、下の表を確認してください。
  5. 複数のvCenter Serverをマネージャに追加した場合は、イベントベースのタスクをさらにアクティベーションできます。

次の表の設定は、表示順序とは異なる順序で表示されることがあります。

[Activate]イベントベースのタスクを設定するには、...を設定します。 To...
Name アクションを反映するタスクの名前とConditionsに割り当てられたvCenter(例:_vCenter_名>を有効にする)。
イベント NSXセキュリティグループの変更

NSXセキュリティグループの変更イベントは、マネージャがデータプレーンから通知を受信したときに実行されます(Deep Security Virtual Appliance).
タスクの有効化 有効です。
コンピュータの有効化 5
ポリシーの割り当て ポリシー(例:Windowsデスクトップ)。矢印をクリックすると、下位ポリシーを表示できます。
条件

イベントベースのタスクが実行されたときに制限する必須条件:

  • [vCenter名]<ご使用のvCenter名>と一致する

トリガをさらに制限するためのオプションの条件の例:

  • [Appliance保護が利用可能][True] と一致する。
  • [Appliance保護が有効化済み][False] と一致する。
  • [NSXセキュリティグループ名].+ (任意を意味する) に一致する。

次に、イベントベースのタスク「非アクティブ化」を作成または変更します。

  1. Deep Security Managerのメイン画面で、イベントベースの「<your_vCenter_name>を無効にするタスクを探してください。それは存在することもあれば存在しないこともあります。
  2. イベントベースのタスク「非アクティブ化」が存在する場合は、ダブルクリックして以下の表を確認して、正しく設定されていることを確認してください。存在しない場合は、新規をクリックしてウィザードを実行し、下の表を確認してください。
  3. 複数のvCenter Serverをマネージャに追加した場合は、イベントベースのタスクをさらに非アクティブ化に作成します。

次の表の設定は、表示順序とは異なる順序で表示されることがあります。

[Deactivate]イベントベースのタスクを設定するには、...を設定します。 To...
Name

アクションを反映するタスクの名前とConditionsで割り当てられたvCenter(例:_vCenter_名>を無効にする)。
イベント NSXセキュリティグループの変更

NSXセキュリティグループの変更イベントは、マネージャがデータプレーンから通知を受信したときに実行されます(Deep Security Virtual Appliance).
タスクの有効化 有効です。
コンピュータを無効化します 有効です。
条件
  • [Appliance保護が有効化済み][True] と一致しり。
  • [NSXセキュリティグループ名]^$ (なしを意味する) と一致する。
  • [vCenter名]<ご使用のvCenter名>と一致する

イベントベースのタスクを設定して、VMをアクティベートします。タスクの条件が満たされると、タスクが実行され、VMがアクティベートされます(関連付けられたポリシー).が割り当てられます)。

方法3:Deep SecurityポリシーをNSX-Vと同期する

次の手順はタスクベースです。ポリシー同期の詳細については、Deep SecurityポリシーのNSXとの同期を参照してください。

開始するには、Deep Security Managerを設定します。

  1. Deep Security Managerにログインします。
  2. Deep Security ManagerをNSXと同期するには、すべてのポリシーの名前が一意であることを確認します。初期設定のすべてのポリシーに一意の名前を指定します。
  3. 画面上部の [コンピュータ] をクリックします。
  4. 左側で、同期を有効にするvCenterを右クリックして [プロパティ] を選択します。
  5. [NSX設定] タブで、[Deep SecurityポリシーとNSXサービスプロファイルの同期] を選択します。[OK] をクリックします。

次に、ポリシーがvSphereにロードされていることを確認します。

  1. vSphere Web Clientのホームページで、[Networking & Security]ボタンをクリックします。[NSX Home] が表示されます。
  2. 左側で、[Service Definitions] をクリックします。
  3. メイン画面の [Services] タブで、[Trend Micro Deep Security] を右クリックして [Edit settings] を選択します。
  4. メイン画面で、[Manage] タブを選択し、ここで [Profile Configurations] を選択します。
  5. Deep Securityポリシーがロードされていることを確認します。ポリシーは、同じ名前を持つ個別のNSXプロファイル設定として表示されます。各プロファイル設定には、P1、P2、P3のような「P」から始まるIDを指定します。「P」はDeep Securityポリシーに基づいていることを示します。

    これで、 Deep SecurityポリシーがNSXのプロファイル設定として追加されました。

最後に、セキュリティグループとポリシーを再設定します。

  1. 手順6:NSXセキュリティグループとポリシーを作成するに戻り、手順をもう一度実行します。ただし、今回は残りの手順で調整を行います。
  2. 複数のNSX セキュリティグループを作成します。
  3. 複数のNSXセキュリティポリシーを作成します。ポリシーごとに、Guest Introspection ServicesおよびNetwork Introspection Services(受信および送信の両方)サービスプロファイルを、ロードしたばかりのDeep Securityポリシーのいずれかに設定します。
  4. NSXセキュリティポリシーをNSXセキュリティグループに関連付けます。

手順8: 有効化とポリシーの割り当てを開始する

仮想マシンの有効化とポリシーの割り当ての準備が完了しました。

  • 方法1を選択した場合は、vCenterを手動で同期する必要があります。Deep Security Managerに移動し、左側のvCenterを右クリックして、[ 同期]を選択します。これで、既存の仮想マシンが保護されました。
  • 方法2または3を選択した場合、すべてのVMをアクティベートし、ポリシーを自動的に割り当てる必要があります。確認するには、次の手順を参照してください。

手順9: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する

確認するには

  1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
  2. 左側で、[コンピュータ]→[<ご使用のvCenter>]→[仮想マシン] を選択します。
  3. [タスク] 列および [ステータス] 列を確認します。(列が表示されていない場合は、上部で [列] をクリックして追加します)。[タスク] 列に [有効化中] と表示され、仮想マシンのステータスが [非管理対象 (不明)] から [非管理対象 (Agentなし)][管理対象 (オンライン)] に変わります。仮想マシンのステータスが [VMware Toolsがインストールされていない] になることがありますが、これは一時的です。
  4. [ POLICY]列で、正しいDeep Securityポリシーが割り当てられていることを確認します。

これで、 Deep Security Virtual Applianceが配置され、VMが保護されました。

次の手順 (新しい仮想マシンを追加する方法)

次の手順に従って、新しいVMをシステムに追加してDeep Securityで保護する方法を確認してください。

方法1を選択した場合、新しいVMを追加するには(「コンピュータ作成」のイベントベースのタスク):を作成します。

  • vCenterで新しい仮想マシンを作成します。これにより、[コンピュータの作成 (システムによる)] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

方法2を選択した場合に新しいVMを追加するには、次の手順に従います(「NSX Security Group Change」イベントベースのタスク):を作成します)。

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、[NSXセキュリティグループの変更] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。

方法3を選択した場合に新しいVMを追加するには(Deep SecurityポリシーをNSX):と同期します)

  • 仮想マシンを作成するか、仮想マシンをNSXセキュリティグループのいずれかに移動します。これにより、新しい仮想マシンを有効化してポリシーが割り当てられます。