Managed Virtual Patch¶
旧バージョン(Deep Security 9.6)についての説明は こちら をご参照ください。
概要¶
概要¶
Managed Virtual Patch は、Enterprise Cloud 2.0/Enterprise Cloud 1.0/Enterprise Cloud for ERP、SD-Exchangeに接続されるホスト上(SD-Exchangeに接続されるオンプレミス環境、AWSなどで稼働するホスト)で利用することができる 侵入防御機能およびファイアウォール機能 を提供します。
ホスト上のオペレーションシステム(OS)にAgentをインストールしていただき、インターネット上の管理サーバーと接続することで利用することができます。
(以下、Managed Virtual Patch を本メニューと記載します。)
特徴¶
本メニューは、以下の特長を持つメニューです。
1. 脆弱性を利用した攻撃などからホストを保護
OSやアプリケーションの脆弱性に対する攻撃からホストを保護します。お客さまがOSやアプリケーションの本格的な対処を実施されるまでの間、ホストが脆弱性に対する攻撃にさらされないようにします。お客さまは資産を所有することなく、初期投資や最低利用期間なしで必要な時に利用することができます。
2. セルフオペレーションによる即時設定変更
お客さまにて Enterprise Cloud 2.0 ポータルの セキュリティコントロールパネル を操作いただくことで、設定変更をオンラインで行うことが可能です。
3. 管理サーバー設備は弊社マネージドサービスによる安心・安全運用
グローバルレベルのセキュリティ運用体制を持つセキュリティオペレーションセンター(SOC)が、本メニューで提供する管理サーバーの運用監視を行います。
利用できる機能¶
機能一覧¶
本メニューは、以下の機能を提供します。
| 機能 | 概要 | 説明 |
|---|---|---|
| 1. 侵入防御 | ホストベースのパケット監査 | OSやミドルウェア・アプリケーションなどのネットワークを利用した脆弱性に対する既知、および不明な攻撃からシステムを保護します。侵入検知/侵入防御機能(IDS/IPS機能)により、不審な通信を制御します。 |
| スケジュールスキャン | お客さまが設定された日時を開始時間として、サーバーに導入しているアプリケーションの状態確認を行うスキャンを実施します。適用ルールの可否判定を行い、必要に応じて、ルール適用を自動的に実施します。また、お客さまにて確認して頂き、ルールの必要性が簡単に確認出来ます。(スキャン時刻は、スキャン開始タスク発行時刻であり、開始される時刻は、AGENT側の処理状況によって異なります。) | |
| ルール更新 | トレンドマイクロ社提供のルールアップデートを利用して、マルウエアや悪意のある人物からの攻撃パケットを検出するルールを提供致します。基本スケジュールとして月2回の更新が行われますが、状況に合わせて更新がトレンドマイクロより行われます。ルールの更新は、自動更新が基本ですが、設定によっては手動更新が可能です。 | |
| 2. ホストベースファイアウォール | ホストベースの通信制御 | L4レベルまでの通信制御機能(IP,ポート単位での通信制御)を利用してシステムを保護します。 |
| 3. コントロールパネル | Enterprise Cloud 2.0 ポータルの セキュリティコントロールパネル から申し込みや各機能の設定を行う機能です。 |
各機能の説明¶
本メニューで提供する機能について説明します。
1. 侵入防御¶
仮想パッチ(脆弱性ルール)によって、悪意のある人物による脆弱性を突いた攻撃からサーバーを保護します。
Windows、Linux、Solaris など主要なサーバーOS や、Apache、BIND、Microsoft SQL、Oracle など 100 以上のアプリケーションの脆弱性に対応しています。
Microsoft 社が、毎月第 2 火曜日(UTC)にリリースする Windows アップデートに対しては、トレンドマイクロ社より該当 Windows アップデートに対応したルールが直接配信されます。
このルールを適用することで、Windows 系 OS に対する最新の脆弱性を保護することが可能です。
全てのルールは、防御モード(パケットを破棄するモード)と、検出モード(イベントのみをログに記録しトラフィックは通過させるモード)を選択することが可能です。
侵入防御 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| 動作設定 (インライン) | 攻撃パケットを検出した場合の動作は、以下の選択が可能です。
● 防御:攻撃パケットを遮断します。IPS モードとして動作します。基本的には検知した全通信を遮断しますが、一部ルールによっては検知のみの動作を行うルールもあります。
● 検知:攻撃パケットを検知します。ただし、一部遮断する通信があります。
|
| 動作設定(TAP) | 攻撃パケットを検知します。IDS モードとして動作するため、通信の遮断を行いません。また、TAP を選択した場合には、ホストベースファイアウォール機能を利用することができません。 |
| ルール設定 | 現在割り当てられている侵入防御ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。 |
| 推奨設定 | 推奨される侵入防御ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 本機能が有効な状態でも、ソフトウェア自体の潜在的な問題は残ったままとなります。また、本機能はネットワーク経由の脆弱性に対する通信を検出するため、ローカル上で完結する攻撃手段や、ネットワーク経由であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。正式なメーカー対応パッチの適用と併用して、本機能をご利用ください。
- 動作設定において、防御を選択した場合、全てのルールが遮断されるものではなく、一部ルールによっては検知のみのものも含まれます。
- 正常パケットを止めてしまうなどの誤検知が懸念される場合は、初めは検知モードで導入し、アプリケーションの動作が確認されてから防御モードにする方法で、安全に導入することが可能です。侵入防御の基本動作として、「インライン」モードか「TAP」モードが選択できます。インラインモードを利用する場合は、ルールの検知モードとして「防御」「検知」のモードが選択できます。TAP モードの場合は、検知のみ利用可能となります。
イメージ図
2. ホストベースファイアウォール¶
IP アドレス、MAC アドレス、ポートのフィルタリングをホストごとに細かく設定できます。
ネットワークごとのポリシー作成も可能です。
TCP、UDP、 ICMP の各プロトコル、IP、ARP などの各フレームに対応します。
例えば、Windows ファイアウォールなどを使って、個別にホスト毎に行っていた設定も、管理サーバーを通じて、ホストの種類毎、設置しているセグメント毎にポリシーを儲けて一括設定、集中管理することができます。
もちろん、ホスト毎に設定をカズタマイズすることも可能です。
ホストベースファイアウォール 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| ステートフル設定 | ステートフルインスペクションとして動作させることが可能です。 |
| フレーム種類 | IP / ARP / REVARP / 任意指定のフレーム番号 |
| 指定可能な通信元/通信先 | 単一IPアドレス / サブネット指定 / アドレス範囲 / 複数IPアドレス / IPアドレスリスト / 単一MACアドレス / 複数MACアドレス / MACアドレスリスト |
| 通信方向 | 送信 / 受信 |
| プロトコル | ICMP / IGMP / GGP / TCP / PUP / UDP / IDP / ND / RAW / TCP+UDP / 任意指定のプロトコル番号 |
| フィルタアクション | ● Allow :ルールと一致するトラフィックの通過を許可します。
● Bypass :ルールと一致するトラフィックの通過を許可(バイパス)します。侵入防御およびホストベースファイアウォール機能での検査を行いません。
● Deny :ルールと一致するトラフィックの通信を破棄します。
● Force Allow :他のルールで拒否されるトラフィックの通過を強制的に許可します。侵入防御の検査を行います。
|
| 優先度 | 0[最低]~4[最高] |
注釈
- ホストに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。有効な許可ルールが受信/送信に関わらず、1つでも設定された場合、許可ルールの条件を満たしていないかぎり、それぞれの方向で許可されたもの以外の通信は全て拒否されます。
- ルール設定の優先度は、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」を選択した場合、0[最低]〜4[最高]の優先度が設定できます(「許可」ルールでは0のみが設定できます。)。優先度の低いルールよりも先に優先度の高いルールが適用されます。例えば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。
- バイパスもしくは強制的に許可を利用しているルールと同じ条件で、優先度が上位にある別の許可・拒否ポリシールールが存在する場合は、上位ルールで処理されるため、バイパスされません。バイパスさせる場合は、許可・拒否ルールよりも優先度を高く設定する必要があります。
- バイパスルールを適用する通信は、双方向(受信・送信)のバイパスを設定する必要があります。
- 強制的に許可ルールを適用する通信は、双方向(受信・送信)の強制的に許可を設定する必要があります。
- 1台以上のホストに割り当てられたファイアウォールルール、またはポリシーの一部であるホストファイアウォールルールは削除できません。
イメージ図
3. コントロールパネル¶
コントロールパネル 機能では、主に以下の操作が可能です。
詳細は、Enterprise Cloud 2.0 チュートリアルを参照してください。
| 項目 | 説明 |
|---|---|
| オーダー | セキュリティメニューの申し込みが可能です。 |
| オペレーション | 本メニューの設定/管理を行うことが可能です |
● オーダー/Order
オーダーから操作可能な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| 新規 | 新規に利用を開始します。 |
| 機能変更 | 利用メニューを変更することが可能です。 |
| 数量変更 | 本メニューの数量を変更することが可能です。 |
| 解約 | 本メニューの全ての利用を終了します。 |
● オペレーション/Operation
オペレーションから操作可能な主な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| コンピュータ | 各種セキュリティ機能の設定を実施することが可能です。 |
| ポリシー | ルールや設定をまとめて定義し、複数のコンピュータに同じ設定を割り当てることが可能です。 |
| アラート | 管理者への注意喚起が必要な事象が発生した場合にアラートが発令されます。 |
| レポート | 各種レポートを出力することが可能です。 |
| 管理 | 予約タスクの設定(例えば、セキュリティアップデートや予約検索などのスケジュール化)、パターンファイルやルールの管理などを行うことが可能です。 |
注釈
- セキュリティコントロールパネル 上で閲覧可能な本メニューに関するログの期間は、4週間です。取得ログの完全性を保証するものではありません。必要に応じて、お客さまにて定期的にログをエクスポートするなどの対応をお願いします。
- 複数のリージョン/テナントで利用される本メニューを一元管理(ホスト型セキュリティのOperation画面を1つで管理)されたい場合は、1つのリージョン/テナントで本メニューをお申し込みいただき、利用される総数量分をオーダーの上、ご利用ください。(ただし、料金情報もオーダーされたテナントにて表示されます。)
メニュー¶
申し込み方法¶
Enterprise Cloud 2.0 をご契約いただいたお客さまは、本メニューを申し込むことが可能です。
申し込み種別、申し込み方法、納期は、以下の通りです。
| 申込種別 | 内容 | 申込方法 | 納期 |
|---|---|---|---|
| 新規 | 初回申し込み | Enterprise Cloud 2.0 ポータル の セキュリティコントロールパネル 経由で、お客さま自身の操作により申し込み | 即時 |
| 機能変更 | 利用メニューの変更 | 同上 | 同上 |
| 数量変更 | 利用数量の変更 | 同上 | 同上 |
| 解約 | 利用廃止 | 同上 | 同上 |
注釈
- Enterprise Cloud 2.0 の1テナントに対して、ホスト型セキュリティのいずれか1つのメニューをご利用いただくことが可能です。
- Managed Anti-Virus
- Managed Virtual Patch
- Managed Host-based Security Package
- 1回のオーダー処理が完了するまで、次のオーダーを行うことはできません。
- 機能変更(メニュー変更)は、現在利用されているメニューの数量全てを、他のホスト型セキュリティのメニューへ変更するオーダーです。
- Managed Virtual Patch → Managed Anti-Virus
- Managed Virtual Patch → Managed Host-based Security Package
- 解約される場合は、Agentと管理サーバーとの接続を切断の上、Agentのアンインストールを実施された後に、オーダーにて解約処理してください。
- 解約後 2週間以内は、同一テナント上でホスト型セキュリティのメニューを新規利用することはできません。
ご利用条件¶
デバイス要件¶
Agentシステム要件¶
本サービスを利用するためにはホストへの Agent のインストールが必要です。
Agentをインストールする際、下記システム要件を満たす必要があります。
| 項目 | 内容 |
|---|---|
| メモリー | 1GB以上
|
| ディスク容量 | 500MB以上
|
| [1] | Relay機能…トレンドマイクロ社サーバーからパターンファイルやルールなどをダウンロードし、Agentをインストールしたホストに配信する機能 |
Deep Security Notifier システム要件¶
Deep Security Notifier は、AgentのInstall時に同時にインストールされる、Windows 系 OS 向けに用意された Agent の状態をデスクトップ上に表示する Windows アプリケーションです。
これにより、簡易的な機能の有効・無効状態の確認や保持しているパターンファイルの状態、マルウエア検知時の通知を確認する事ができます。
| 項目 | 内容 |
|---|---|
| メモリー | 3MB |
| ディスク容量 | 1MB |
対象 OS(Microsoft Windows)¶
Windows 7 (32/64bit)
Windows 8 (32/64bit)
Windows 8.1 (32/64bit)
Windows 10、10 TH2 (32/64bit)
Windows 10 RS2 (32/64-bit)
Windows 10 RS3 (32/64-bit)
Windows Server 2008 (32/64bit)
Windows Server 2008 R2 (64bit)
Windows Server 2008 R2 Hyper-V
Windows Server 2012 (64bit)
Windows Server 2012 R2 (64bit)
Windows Server 2012 R2 Hyper-V
Windows Server Core 2012 (64bit)
Windows Server Core 2012 R2 (64bit)
Windows Server 2016 (64bit)
Windows Server 2016 RS3 (64-bit)
注釈
エディションが指定されていない Windows 製品は、エディションに関係なくベンダーのサポート範囲で動作を保証します。
システム要件に記載されていない Service Pack などでも、要件に記載されているものより 新しいバージョンは、ベンダーのサポート範囲で動作を保証します。詳細は こちら をご確認ください。
Relay機能は上記OSの64bit OSで動作可能です。
- ベンダーのサポート対象 OS であっても以下の環境はサポート対象外となります。
- Windows Server 2008/2012 (Server Core)
- Microsoft Virtual Server 2005 R2 SP1
対象 OS(Linux系)¶
Red Hat 6、7 (32/64 bit)
CentOS 6、7 (32/64 bit)
SUSE 11 SP1、SP2、SP3 (32/64bit)
SUSE 12 (64bit)
Ubuntu Linux 16.04 (64bit)
Oracle Linux 6 RedHat/Unbreakable Kernel (32/64 bit)
Oracle Linux 7 RedHat/Unbreakable Kernel (64 bit)
CloudLinux 6 (32/64bit)
CloudLinux 7 (64bit)
Amazon Red Hat 6 EC2 (32/64bit)
Amazon Red Hat 7 EC2 (64bit)
Amazon SUSE 11 EC2 (32/64bit)
Amazon SUSE 12 EC2 (64bit)
Amazon Ubuntu 16.04 LTS (64bit)
注釈
- Linux 版 Agent では、ご利用のカーネルもサポート対象である必要があります。サポートするカーネルバージョンについては、 以下製品 Q&A をご参照ください。
- インストールしていただく Agent のバージョン、インストール先 OS の種類によって、ご利用いただける機能が異なります。 以下製品 Q&A をご参照ください。
- Amazon Web Services や Microsoft Azure などのクラウド環境上の OS への導入については、 以下製品 Q&A をご参照ください。
- Deep Security ではマルチバイト文字コードを UTF-8 のみサポートしております。Linux / UNIX 環境では OS のロケールを UTF-8(ja_JP.UTF-8 など)に設定する必要があります。詳細は、 以下製品 Q&A をご参照ください。
- Relay機能は上記OSの64bit OSで動作可能です。
- 一部の OS に関しては、ベンダーサポート対象であっても提供できないものもあります。一部OSの詳細につきましては、Enterprise Cloud 2.0 チケットシステムでご相談ください。
通信要件¶
Agent通信要件¶
本メニューのAgentの通信要件は、以下の通りです。
- ホストにインストールされたAgentは、インターネット経由で管理サーバーと接続する必要があります。同様に、一部の機能利用時にトレンドマイクロ社のサーバーと接続する必要があります。
- ファイアウォールなどの環境がある場合は、適切に設定を実施してください。
- 管理サーバーおよびトレンドマイクロ社サーバーと通信するために、名前解決が必要です。Agentをインストールするホスト上で名前解決ができるよう設定してください。
- インターネットに直接通信できないホストで本メニューを利用される場合は、Proxyサーバーなどを経由して通信するよう設計してください。また、Proxyサーバー経由で利用される環境の場合、Relay機能を有効にしたホストをお客さま環境内に準備する必要があります。(AgentをインストールしたホストでRelay機能を有効化することが可能です。)
- AgentがRelayと通信する場合、Agentがインストールされたホスト上で、Relay機能を有効にしたホストの名前解決ができるよう設定してください。
- ご利用環境の管理デバイス数が 5 台を超える環境やインターネットへの通信量を抑えたい環境においても、内部 配信サーバー(Deep Security Relay Server) を準備いただく事を推奨します。ご利用環境の管理デバイス数が20台を超える環境では内部 配信サーバー(Deep Security Relay Server) を準備いただく事が必須となります。
| 通信内容 | 宛先(通信先) | 宛先ポート番号 |
|---|---|---|
| 管理サーバーとの接続 |
|
TCP 80、443 |
Relay機能を有効にしたホストとの接続
※ お客さま環境内に準備された場合
|
|
TCP 4122 |
以下の一覧に記載される機能は、トレンドマイクロ社が公開しているサーバーにアクセスすることが必須となっております。そのため、Agent がインターネットを経由して トレンドマイクロ社公開サーバーにポート80および443でアクセスできる環境を準備ください。
・ Web レピュテーション
・ Census(挙動監視)
・ 機械学習型検索
トレンドマイクロ社サーバーとの通信
※参考
| 機能 | 宛先URL |
|---|---|
Download Center or web server
- Hosts software.
|
files.trendmicro.com |
Smart Protection Network
- Certified Safe Software Service (CSSS)
|
|
Smart Protection Network
- Global Census Service
- Used for behavior monitoring, and predictive machine learning.
|
|
Smart Protection Network
- Good File Reputation Service
- Used for behavior monitoring, predictive machine learning, and process memory scans.
|
|
Smart Protection Network
- Smart Scan Service
|
|
Smart Protection Network
- predictive machine learning
- Used for predictive machine learning.
|
|
Update Server (also called Active Update)
- Hosts security updates.
|
|
上記FQDNは今後変更の可能性があるため、下記リンクをご参照ください。
メール通信要件¶
本メニューのメール通知の通信要件は、以下の通りです。
- メール通知を行いたい場合は、セキュリティコントロールパネル からお客さま管理のSMTPサーバーを指定する必要があります。ご利用されるSMTPサーバーにて、接続制限を実施されている場合は、以下のアドレス帯からの接続を許可してください。
- 管理サーバーアドレス帯:210.161.150.240~248
- お客さまのSMTPサーバーの待ち受けポート番号は、以下の指定が可能です。
- tcp 25または587
料金¶
月額費用¶
本メニューは、利用時間にかかわらず、月額定額料金です。
月の途中でメニュー変更または数量変更された場合は、その料金月に利用したメニューおよび数量に基づく月額料金を比較して、最も高い料金を月額料金として適用します。
サービス提供の品質¶
サポート範囲¶
管理サーバー¶
本メニューの管理サーバーにて提供する機能および設備は、サポート範囲内となります。
Agent¶
ホスト上にインストールされたAgentの動作や仕様に関して、利用許諾内容の範囲内でサポートを行います。
(利用許諾内容は、Agentのインストール時に表示されます。)
注釈
- 設定値や運用方法などコンサルティングが必要な問い合わせについては、サポート対象外となります。
- OS や仮想化環境、ネットワークなど Agent 以外の部分に関する問題はサポート範囲外となります。また、OS の仕様や設定、環境依存に起因する問題の場合には、不具合に対する解決策や回避策を提示できない場合があります。
- 監視や設定変更作業については、サポート範囲外となります。
- マルウエア感染、悪意のある人物からの攻撃などの結果発生したホストでのインシデントに対する調査や対応については、サポート範囲外となります。
- コンテナ技術を利用する仮想環境(Dockerなど)については、サポート対象外となります。Docker 環境でご利用になった場合、なんらかの理由によりお客さまシステムが停止する可能性があります。
運用¶
本メニューは、Enterprise Cloud 2.0 に標準で定められた運用品質に準じます。
管理サーバー¶
本メニューは、管理サーバーにおける以下の運用を実施します。
| 項目 | 説明 |
|---|---|
| セキュリティパッチ適用 | 影響度に応じてセキュリティパッチを適用 |
| プロダクトライフサイクル管理 | バージョンアップ作業の実施 |
| 監視・保守 | 稼働監視および故障対応の実施 |
デバイス管理(ホスト)¶
ホストの管理には、Agentを導入する必要があります。Agent の導入は、お客さま作業となります。また、お客さま自身で 管理コンソール から該当 Agent に関する各種設定を実施することで、Agentのセキュリティ機能が有効となり脅威からの保護が開始されます。Agent のステータスや設定管理は、お客さまにて実施して頂きます。
本サービスは、セキュリティオペレーションセンター(SOC) からホストへの監視は行われません。お客さま自身が、本サービスで提供される 管理コンソール 上でのイベント確認や、管理コンソール 上で設定できるイベント通知機能を利用した監視を実施してください。
セキュリティイベント
ホスト上で検知されたセキュリティイベントは、管理コンソール 上で確認できます。ホストに導入された Agent にて出力される各機能に関するイベントは 管理サーバーへ転送されて発生時刻や検知したイベント名、処理内容が表示されます。管理サーバーのイベント通知機能により、通知対象や通知先、対象イベントの条件を設定することで、お客さまにイベントを通知することも可能です。
システムイベント
ホスト上で検知されたシステムイベントは、管理コンソール 上で確認できます。ホストに導入された Agent が実施した各種処理結果は、管理サーバーへ転送されます。各種処理とはセキュリティアップデート結果や、各種スキャン結果、 Agent のエラーなどの情報となり、管理サーバーにて発生時刻やイベント名、処理状態を確認することができます。管理サーバーのイベント通知機能により、通知対象や通知先などの条件を設定することで、お客さまにイベントを通知することも可能です。
障害切り分け
ホストとインターネット接続可能となるネットワークまでの境界で発生する障害に関しては、お客さまにて対応を実施していただきます。各種機能の動作や他製品との競合と思われる問題に関しては、機能や製品の有効無効などを実施して頂き、お客さまで切り分けをお願いします。 トレンドマイクロ社公開の各種マニュアルやサポートページ、管理コンソール からアクセス可能となるオンラインヘルプを確認して、調査を行ってください。これらサイトを利用しても解決できない場合、問合せをお願いします。対応できる内容は、製品に関する内容のみとなります。ご利用中の OS やネットワークに関する質問など、サービスおよび製品に関する内容以外のお問合せには対応できませんので予めご了承ください。
セキュリティ更新管理
ホストのセキュリティ更新管理は、管理コンソール 上で実施できます。ホストに導入された Agent で出力されるシステム系イベントの内容とアラートの表示によりセキュリティ更新状況を確認できます。また、イベント通知機能により、通知条件や通知先などの条件を設定すれば、お客さまの必要に応じた更新管理イベントをメール自動通知することも可能です。
製品アップデート
ホストで利用する Agentのアップデートは、お客さまで実施して頂きます。また、定期的なアップデートを実施し、常に最新のバージョンをご利用ください。
Agent の最新プログラムの適用は、管理コンソール からの操作でアップデート実施可能です。また、管理コンソール からインストーラを入手して、アップデートする事も可能です。
管理サーバーグループで利用している 管理サーバー配信サーバーのアップデートは セキュリティオペレーションセンター(SOC) で実施致します。このアップデートは、セキュリティオペレーションセンター(SOC) での評価・検証を行った上でスケジュールされます。その為、お客さまで望まれているバージョンの 管理サーバー/配信サーバーが利用できるとは限りません。
注釈
- ホストで利用するAgent のライフサイクルは、トレンドマイクロ社のサポート仕様に準拠します。サポート期間を確認の上で、Agent のアップデートやホストの OS アップデートを実施してください。
セキュリティ インシデント レポート¶
ホストのセキュリティインシデントレポートは、管理コンソール 上で作成可能です。機能ごとのレポートを作成する事で、ホストの状況が確認できます。タスク機能とイベント通知機能の連携により、お客さまが設定した日時でのレポート自動作成とメールによる送信も可能です。
制約事項¶
本メニューの制約事項は、以下の通りです
共通¶
- Agentをインストールするには、対象のホストに管理者としてログインする必要があります。
- Agentをインストールするホストは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、Agentの有効化に失敗する場合があります。
- インストール・アンインストール時や、各種モジュールの更新を行う際に、OS の再駆動が必要になる場合があります。このような場合、再起動の必要を伝えるアラートが 管理コンソール に表示されますので、すみやかに OS 再起動の実施をお願いします。
- モジュールの入れ替えや切り替えを行う必要がある場合、一時的な通信断(瞬断)が発生する場合があります。
- Webレピュテーション、ファイアウォール、侵入防御の機能を有効化した場合は、対象ホストにネットワークドライバがインストールされるため瞬断が発生します。詳細は、こちら を参照してください。
- Agentは、4118ポートを使用します。このポート番号は変更不可のため、Agentをインストールするホストでは他のアプリケーションと重複しないことを確認の上、利用してください。
- Agentがインストールされたホストにおいて、トレンドマイクロ社以外の製品との競合テストなどを含めた動作テストは実施していません。そのため、個別のソフトウェアとの共存についての回答はできかねます。お客さまの環境において動作確認をお願いします。また、他のトレンドマイクロ社製品との共存についても、詳細な条件がございます。詳しくは、トレンドマイクロ製品・他社製品と共存した場合の動作について を参照してください。
- AgentがProxyサーバー経由で管理サーバーと接続する場合、ProxyサーバーにおいてHTTPのCONNECTメソッド:80ポートの利用を可能にしてください。
- 本メニューでは、以下のようなケースの場合に、当社の判断にて利用を制限もしくは停止する場合があります。
- お客さまの利用が、他のお客さまの利用に影響を及ぼす場合
- お客さまの利用が、申し込み利用数と実際の利用数が一致しない場合 など
- 本メニューが提供する各機能やログについて、完全性、正確性、お客さまへの利用目的への適合性を有していることについて保証するものではありません。また、機能を構成するソフトウェアの開発元または販売元より提供されるパターンファイルやルールなどの妥当性を保証するものではありません。
- 本メニューの機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- 本メニューの提供を通じて得られた設定情報
- 本メニューの機能によって得られた情報
- 本メニューの機能とお客さま環境との相性により起こり得る不具合、またはお客さまが弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
- SELinux を有効にした環境で Agent を利用した場合、iptables のルールが初期化される可能性があります。本事象を回避する目的も含め、SELinux のポリシー作成方法などについては一切サポートすることができません。SELinux が有効な環境であっても Agent のサポートは実施しますが、SELinux が原因となる問題についてはソリューションを提供できかねる場合があることをご了承ください。 詳細は こちら をご参照ください。
侵入防御 および ホストベースファイアウォール の制限事項¶
- 侵入防御のインラインモードの場合、「検知」「防御」 の選択に関わらず、サーバーの通信状況によっては以下の通信を遮断する場合があります。「メモリーの割り当て失敗」イベントが発生する場合は、同時接続数を増加させる事で、通信の評価をするために必要なホスト上のメモリーリソース消費量が増えるため、十分な検証の上、設定をチューニングしてください。
- TCPの最大接続数:30,000(初期値)
- UDPの最大接続数:30,000(初期値)
- RFCに準拠しない通信や不正な操作が疑われる通信の場合、通信を遮断する場合があります。
- IPヘッダが無い場合
- 送信元および送信先IPが同じ場合
- URIに使用できない文字が使用されている場合
- 分離記号「/」が多い(100以上)場合
- ルートの上に「../../」が使われている場合 など
- ホストベースファイアウォール機能には、コンピューターが送受信している通知内容をログとして保存する設定(ログのみ)があります。本設定を利用する場合、大量のログ情報を記録するため、管理サーバーのリソースを圧迫する状態となります。そのため、本設定の利用はサービス仕様上禁止とさせて頂きます。
- 暗号化された通信は検査対象外です。
- 適用されるルールに紐付く「アプリケーションの種類」は、監査対象となる単一ポートに対して8種類(送受信別)を超えた場合にルールの更新が行えない状態となります。この状態になると、Agentは最新ルールを適用できないため、新しい脅威に対応することができません。各メーカー提供のパッチを適用(本各対処の実施)するか、侵入防御で適用されているルール数の割り当てを解除するなどの対応を実施してください。
- 以下の用途のサーバーは、お客さまにおいて適切な評価と設定値の検討を行った上でご利用ください。
- 通信量の多いサーバー(大規模な Web サーバー、DNS サーバー、AD サーバー、メールサーバー、ファイル(ストレージ)サーバーなど)
- リアルタイム性を要求されるサーバー(VoIPサーバー、ストリーミングサーバーなど)
- 1台のホスト上で複数のホストベースファイアウォール機能を有効にした際に、お互いの機能が競合し、予期しない動作を引き起こす可能性があります。このため、OS標準のホストベースファイアウォール機能について、以下のように自動的に無効化されます。
- Windows版のインストールおよびアップグレード時に、Windowsファイアウォールを無効化することはありませんが、ホストベースファイアウォール機能を有効化し、かつ1つ以上のホストベースファイアウォールルールが割り当てられた際に無効化します。(その後、ホストベースファイアウォール機能をオフにすると、Windowsファイアウォールが有効化されます。)
- Linux版のインストール中にLinuxのiptablesが無効になることはありませんが、ホストベースファイアウォール、あるいは侵入防御機能を有効化した場合、iptablesが無効になります。Agentを無効化した場合には、iptablesは有効化され設定も元に戻ります。
- ルール処理には、「ログのみ」がありますが、通常時は設定しないでください。「ログのみ」は、ホストが送受信している通信内容をログとして保存する設定ですが、大量のログ情報を記録するため、管理サーバーおよびホストのリソースを圧迫する恐れがあります。そのため、「ログのみ」の設定は、故障時の切り分けなど調査目的の利用以外は設定しないでください。
- 優先度に関係なく、許可・拒否ルールを一つでも作成すると、設定ルール以外の通信は強制的に拒否(暗黙の拒否)されます。このため、許可・拒否ルールを利用する場合、十分に通信要件の洗い出しを行い必要となるルールを作成します。
- バイパス・強制的に許可の処理を利用する場合は、許可・拒否ルールよりも優先度が上位に設定される必要があります。許可・拒否ルールの優先度が上位に存在すると、バイパス・強制的に許可が有効にならない場合があります。なお、ホストベースファイアウォール機能でバイパス・強制的に許可のみを利用する場合、「暗黙の拒否」は動作しません。このルールを作成する場合、必ず送受信用のルールを作成してください。
- バイパスは、制限をさせたくない通信に対して利用します。バイパスルールの対象となる通信は、侵入防御、ホストベースファイアウォール機能での制限はかける事はできません。ただし、バイパスを利用しているルールと同じ条件で、優先度が上位になる別の許可・拒否ルールが存在する場合は、その上位ルールで処理が行われるためにバイパス処理はされません。よって、バイパスさせる必要がある通信は、許可・拒否ルールよりも優先度を高く設定し、他のルールによる影響を受けないように処理させる必要があります。なお、バイパスルールを適用する通信は、双方向(受信・送信)のバイパスを設定する必要があります。
- 強制的に許可は、ホストベースファイアウォール機能・ステートフル機能を利用せずに通信させたい場合に利用します。強制的に許可ルールの対象となる通信に対しては、侵入防御機能を動作させることができます。ただし、強制的に許可を利用しているルールと同じ条件で、優先度が上位になる別の許可・拒否ルールが存在する場合は、その上位ルールで処理が行われるために強制的に許可処理はされません。よって、強制的に許可させる必要がある通信は、許可・拒否ルールよりも優先度を高く設定し、他のルールによる影響を受けないように処理させる必要があります。なお、強制的に許可ルールを適用する通信は、双方向(受信・送信)の強制的に許可を設定する必要があります。