本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
マルチテナント設定
マルチテナントは、Bring Your own License(BYOL)支払いオプションを使用する場合にのみ、AWS MarketplaceのDeep Securityで使用できます。
[テナント] タブは、マルチテナントモードを有効にしている場合のみ表示されます。
- マルチテナントライセンスモード: マルチテナントのライセンスモードは、マルチテナントの設定後に変更できます。ただし、このモードを継承からテナント単位に切り替えると、ライセンス許可されているモジュールが既存のテナントで使用できなくなるので注意が必要です。
- 予約タスク「スクリプトの実行」の使用をテナントに許可: スクリプトは、システムへのアクセスを潜在的な危険にさらす可能性があります。ただし、スクリプトはファイルシステムのアクセス権を使用してManagerにインストールされるため、リスクを軽減できます。
- 「コンピュータの検索」の実行をテナントに許可 (直接および予約タスクとして): 検出を許可するどうかを指定します。ネットワーク検出が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
- 「ポートの検索」の実行をテナントに許可 (直接および予約タスクとして): ポートの検索を実行できるかどうかを指定します。ネットワーク検索が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
- VMware vCenterの追加をテナントに許可: vCenterとの接続を許可するかどうかをテナントごとに指定します。インターネットなどの安全ではないネットワークやパブリックネットワーク経由で接続を行う場合、通常はこのオプションを無効にする必要があります。
- クラウドアカウントの追加をテナントに許可: クラウド同期の設定をテナントに許可するかどうかを指定します。通常、クラウド同期はすべてのセットアップに対し適用されます。
- LDAPディレクトリとの同期をテナントに許可: ユーザとコンピュータの両方をディレクトリ (コンピュータはLDAPまたはActive Directory、ユーザはActive Directoryのみ) と同期することをテナントに許可するかどうかを指定します。インターネットなどの安全ではないネットワークやパブリックネットワーク経由で接続を行う場合、通常はこのオプションを無効にする必要があります。
- イベント転送のSIEMの設定を各テナントに許可: SIEMの設定を [イベントの転送] タブに表示します。
- SNSの設定をテナントに許可: SNSの設定を [イベントの転送] タブに表示します。
- SNMPの設定をテナントに許可: リモートコンピュータへのシステムイベントの転送をテナントに許可します (SNMP経由)。このオプションを選択しない場合は、すべてのテナントが [イベントの転送] タブの設定をすべてのイベントタイプに使用し、SyslogはDeep Security Managerを介して転送されます。
- [パスワードを忘れた場合] オプションを表示: パスワードのリセット画面に進むリンクをログオン画面に表示します 。この機能を使用するには、[管理]→[システム設定]→[SMTP] タブでSMTP設定を正しく指定しておく必要があります。
- [アカウント名とユーザ名を記憶] オプションを表示: ユーザのアカウント名とユーザ名を記憶してログオン画面の該当するフィールドに自動的に入力するためのオプションを表示します。
- プライマリテナントからのアクセス管理をテナントに許可: 初期設定では、プライマリテナントは、[管理]→[テナント] 画面の [テナントとしてログオン] オプションを使用してテナントのアカウントにログオンできます。[プライマリテナントからのアクセス管理をテナントに許可] オプションをオンにすると、プライマリテナントからDeep Security環境へのアクセスを許可するか禁止するかをテナントが指定できるようになります ([管理]→[システム設定]→[詳細])。このオプションをオンにした場合、テナント環境の初期設定ではプライマリテナントのアクセスが禁止されます。
プライマリテナントがテナントのアカウントにアクセスするたび、テナントのシステムイベントにアクセスが記録されます。
- 「初期設定のRelayグループ」のRelayの使用をテナントに許可: テナントは、プライマリテナントに設定されているRelayに自動的にアクセスできます。その結果、テナントはセキュリティアップデート専用のRelayを設定する必要がなくなります。
管理→システム設定 の Updates タブで、 の選択を解除することで、テナントは「共有」リレーの使用を拒否できます。プライマリテナント Relay グループを初期設定の Relay グループ(割り当てられていないリレーの場合)として使用する。それから、リレーを設定する必要があります。リレーが共有される場合、プライマリテナントはリレーを最新の状態に保つ必要があります。これを実現するには、一定の間隔で Download Security Update の予約済みタスクをすべてのリレーに対して作成できます。
- 新規テナントでのセキュリティアップデートの自動ダウンロードを有効化: 新しいテナントアカウントが作成されると同時に、最新のセキュリティアップデートの有無を確認してダウンロードします。
- 次のオプションをロックして非表示 (すべてのテナントがプライマリテナントの設定を使用):
- データ[Agents]タブのプライバシーオプション:プライマリテナントがデータのプライバシー設定を行うことを許可します。この設定は、[管理]→[システム設定]→[Agent] タブの [暗号化されたトラフィック (SSL) のパケットデータの取り込みを許可] にのみ適用されます。
- [SMTP]タブのすべてのオプション: [ SMTP ]タブのすべての設定をロックします。
- [Storage]タブのすべてのオプション:[ Storage ]タブのすべての設定をロックします。
データベースサーバ
初期設定では、すべてのテナントがDeep Security Managerがインストールされたデータベースサーバと同じデータベースサーバに作成されます。追加のスケーラビリティを実現するために、 Deep Security Managerではデータベースサーバの追加をサポートしています。詳細については、マルチテナント環境の設定を参照してください。
新しいテナントテンプレート
テナントテンプレートを使用すると、新しいテナントに対してカスタマイズされた「すぐに使える」エクスペリエンスを作成できます。この機能は、いくつかのサンプルが適用されない、または特別な例を作成する必要があるサービスプロバイダ(MSSP)環境で役立ちます。
- プライマリテナントとしてログインします。
- 新しいテナントを作成します。
- ログアウトし、新しいテナントとしてログオンします。
-
(ポリシーの追加、削除、または変更などのポリシーの例) and/or セキュリティアップデートのバージョン (新しいバージョンの).の適用など)
テナントはサンプルポリシーを出発点として使用し、独自のニーズに合わせてカスタマイズする必要があります。
セキュリティ更新プログラムパッケージには有効なデジタル署名が必要です。無効なセキュリティ更新プログラムを指定した場合、新しいテナントの作成は失敗します。 アップグレードについても参照してください。
- ログアウトし、プライマリテナントとして再度ログインします。
- テナントテンプレートウィザードを実行します。
- テナントを選択してスナップショットを作成します。
テンプレート にはが含まれます:
- 最新のセキュリティアップデートルール (作成時にテンプレートに適用されていたアップデート。トレンドマイクロによって提供された侵入防御ルール、変更監視ルール、セキュリティログ監視ルールなど)
- ポリシーファイアウォールルール
- IPリスト
- MACリスト
- ディレクトリリスト
- ファイルリスト
- ファイル拡張子リスト
- ポートリスト
- コンテキスト
- スケジュール
- ファイアウォールステートフル設定
- 不正プログラム検索設定
テンプレート exclude:
- カスタム侵入防御ルール
- カスタムのアプリケーションの種類
- カスタム変更監視ルール
- カスタムセキュリティログ監視ルール
- カスタムセキュリティログ監視デコーダ
- ダッシュボード
- アラートの設定
- システム設定
- 予約タスク
- イベントベースタスク
- ユーザ
- 役割
- 連絡先情報
保護の使用状況の監視
Deep Securityは、保護対象のコンピュータに関する情報を収集します。この情報は、[テナント] ウィジェットと [テナントの保護アクティビティ] ウィジェットのダッシュボードに表示されます。また、テナントレポートでもこの情報を確認でき、従来のREST API経由で取得できます。
これらのオプションを使用して、追加で記録するテナントコンピュータの情報を指定します。