本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

AgentとManagerの通信

Deep Security Managerとエージェントまたはアプライアンス は、相互にサポートされている最新バージョンのTLSを使用して通信します。

この記事のトピック:

ハートビートを設定する

ハートビートとは、Deep Security ManagerとDeep Security Agent (またはAppliance)の間の定期的な通信です。ハートビート中に、マネージャーは次の情報を収集します

  • ドライバのステータス (オンラインまたはオフライン)
  • AgentまたはApplianceのステータス (時刻を含む)
  • 前回のハートビート以後のAgentまたはApplianceのログ
  • カウンタをアップデートするデータ
  • AgentまたはApplianceのセキュリティ設定のフィンガープリント (設定が最新のものかどうか判断するために使用)

ハートビートは、ベースまたは親ポリシー、サブポリシー、あるいは個々のコンピュータで設定できます。

ハートビートは次のプロパティを設定できます。

  • ハートビート間隔: ハートビート間の経過時間。
  • アラートが発生する前に見逃すことができるハートビートの数: アラートをトリガーする連続して見逃されたハートビートの数。例えば、値が3の場合、4回目の見逃されたハートビートでマネージャーがアラートをトリガーします。

    コンピューターがサーバーである場合、連続して多くのハートビートが失われると、エージェント、アプライアンス、またはコンピューター自体に問題があることを示している可能性があります。ただし、コンピューターがラップトップや接続の持続的な損失が発生しやすい他のシステムである場合、このオプションは無制限に設定する必要があります。

  • アラートが発生する前にコンピュータのローカルシステム時間の最大変更(分単位): Windowsでは、システムクロックの変更を検出できるエージェントの場合、これらのイベントはエージェントイベント5004としてマネージャーに報告されます。ここに記載されているクロック変更を超えると、アラートがトリガーされます。この機能をサポートしていないエージェントの場合、マネージャーは各ハートビート操作でエージェントによって報告されたシステム時間を監視し、この設定で指定された許容変更を超える変更を検出するとアラートをトリガーします。

    コンピュータの時計の変更アラートがトリガされたら、アラートを手動で消去する必要があることに注意してください。

  • 非アクティブな仮想マシンのオフラインエラーを発生させる: 仮想マシンが停止したときにオフラインエラーが発生するかどうかを定義します。

設定を行うには:

  1. 設定するポリシーまたはコンピュータのポリシーエディタClosedポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。またはコンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. [設定]→[一般]→[ハートビート] に移動します。
  3. 必要に応じてプロパティを変更します。
  4. [保存] をクリックします。

通信方向を設定する

双方向通信は、初期設定で有効になっています。

通信を開始するアーティファクトを定義できます。このアーティファクトは、エージェント、アプライアンス、またはマネージャーである可能性があります。通信にはハートビートおよびその他すべての通信が含まれます。次のオプションが利用可能です:

  • 双方向: 通常、エージェントまたはアプライアンスがハートビートを開始し、エージェントのリスニングポート番号でDeep Security Managerからの接続を待ち受けます(Deep Securityのポート番号を参照)。マネージャーはエージェントまたはアプライアンスに連絡して必要な操作を実行できます。マネージャーはエージェントまたはアプライアンスのセキュリティ構成に変更を適用できます。
    Deep Security Virtual Applianceは双方向モードでのみ動作します。Virtual Applianceの設定を他のモードに変更すると、機能が中断します。
  • マネージャーによる開始: マネージャーはすべての通信をエージェントまたはアプライアンスと開始します。これらの通信には、セキュリティ構成の更新、ハートビート操作、イベントログの要求が含まれます。このオプションを選択する場合は、Deep Security Agentの保護が既知のDeep Securityマネージャーからの接続のみを受け入れるように保護することを強くお勧めします。
  • エージェント/アプライアンス開始: エージェントまたはアプライアンスは、マネージャーからの接続を待ち受けません。代わりに、エージェントはマネージャーがエージェントのハートビートをリッスンするポート番号に接続します(Deep Securityのポート番号を参照)。エージェントまたはアプライアンスがマネージャーとのTCP接続を確立すると、すべての通常の通信が行われます。マネージャーは最初にエージェントまたはアプライアンスのステータスとイベントを確認します。これがハートビート操作です。コンピューターで実行する必要がある保留中の操作がある場合(例えば、ポリシーの更新が必要な場合)、これらの操作は接続が閉じられる前に実行されます。マネージャーとエージェントまたはアプライアンス間の通信は、すべてのハートビートでのみ行われます。エージェントまたはアプライアンスのセキュリティ構成が変更された場合、それは次のハートビートまで更新されません。

    Agentからのリモート有効化を設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。

マネージャーとエージェントおよびアプライアンス間の通信を有効にするために、マネージャーは自動的に隠しファイアウォールルール(優先度4、バイパス)を実装し、エージェントおよびアプライアンスのハートビート用リスニングポート番号を受信TCP/IPトラフィックに対して開放します。デフォルトでは、任意のIPアドレスおよび任意のMACアドレスからの接続試行を受け入れます。このポートへの受信トラフィックを制限するには、特定のIPまたはMACアドレス、またはその両方からの受信TCP/IPトラフィックのみを許可する新しい優先度4の強制許可またはバイパスファイアウォールルールを作成します。この新しいファイアウォールルールは、設定が次の設定と一致する場合、隠しファイアウォールルールを置き換えます

  • アクション: 強制許可またはバイパス
  • 優先度: 4 - 最高
  • パケットの方向: incoming
  • フレームの種類: IP
  • プロトコル: TCP
  • パケットの宛先ポート: マネージャーからのハートビート接続のためのエージェントのリスニングポート番号、またはポート番号を含むリスト(エージェントのリスニングポート番号を参照)

  • 前述の設定が有効な間、新しいルールは隠されたルールを置き換えます。その後、IPアドレスまたはMACアドレス、またはその両方のパケットソース情報を入力して、コンピュータへのトラフィックを制限できます。

設定を行うには:

  1. 設定するポリシーまたはコンピュータのポリシーエディタClosedポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。またはコンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. [設定]→[一般]→[通信方向] に移動します。
  3. Deep Security Manager からエージェント/アプライアンスへの通信の方向 メニューで、次の3つのオプションのいずれかを選択します: Manager InitiatedAgent/appliance InitiatedBidirectional、または Inherited を選択します。Inherited を選択すると、ポリシーまたはコンピュータは親ポリシーから設定を継承します。他のオプションのいずれかを選択すると、Inherited 設定がオーバーライドされます。
  4. [Save] をクリックします。

エージェントおよびアプライアンスは、マネージャーのホスト名によってネットワーク上のDeep Security Managerを探します。したがって、エージェントまたはアプライアンスが開始する通信または双方向通信が機能するためには、マネージャーのホスト名がローカルDNSに登録されている必要があります。

AgentとManagerの通信でサポートされている暗号化スイート

Deep Security Managerとエージェントまたはアプライアンス は、相互にサポートされている最新バージョンのTLSを使用して通信します。

Deep Security Agent Agentは、Managerとの通信で次の暗号化スイートをサポートしています

Deep Security Manager がサポートする暗号スイートの詳細については、トレンドマイクロにお問い合わせください。 Deep Security Virtual Appliance がサポートする暗号スイートを知る必要がある場合は、アプライアンスに組み込まれているエージェントのバージョンを確認し、そのエージェントをリストで調べてください。

暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。

Deep Security Agent 9.6の暗号化スイート

Deep Security Agent 9.6では、以下のTLS 1.0暗号化スイートがサポートされています

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Deep Security Agent 10.0の暗号化スイート

Deep Security Agent 10.0では、以下のTLS 1.2暗号化スイートがそのままの形でサポートされています

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 10.0 Update 16以降では、以下のTLS 1.2暗号化スイートがサポートされています。また、強力な暗号化スイートが有効になっている場合は、サポートされるのは以下のスイートのみです

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Deep Security Agent 11.0、12.0、および20の暗号化スイート

Deep Security Agent 11.0以降では、以下のTLS 1.2暗号化スイートがサポートされています

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

FIPSモードの場合は、以下のTLS 1.2スイートがサポートされています

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256