Memo/TrendMicroDeepSecurity

https://dexlab.net:443/pukiwiki/index.php?Memo/TrendMicroDeepSecurity
 

Trend Micro Deep Security

  • サーバ
    • AWS m3.large Windows Server 2012 R2 ではスペック不足。CPU、メモリ不足のアラート発生。OSのオーバーヘッド、IIS、MS SQL Serverのリソースが大きい
    • Linux版の方がOSのオーバーヘッドが軽く、デプロイの自動化を考えると良いと思う
    • ライセンスはサーバ上で管理
  • クライアント
    • RedHat/CentOS用rpmあり。インストールは簡単
    • 設定は全てサーバ側で行う
    • 通信方向のデフォルトは双方向(DSM<->DSA)だが、片方向(DSM<-DSA)にもできる。片方向の場合、DSA側のポート解放は不用。クラウド向け。
    • CloudInit対応で、EC2起動時に自動インストールできる。

AWSでの利用


イベントの通知(Slack, AWS SNS等)

DSM v11.0にはSIEM(syslog), Amazon SNS, SNMPがある。


使用ポート


「〜のモジュールのインストール失敗」

  • DSM > 管理タブ > アップデート > ソフトウェア > ダウンロード > 今すぐインポート
  • DSMに該当バージョンが無い場合、Deep Security AgentのLinuxカーネルサポート からダウンロードしてインポートする
    • DSM > 管理タブ > アップデート > ソフトウェア > ローカル > インポート:ダウンロードしたzipを指定

DSA(Deep Security Agent)

  • デフォルトは双方向通信だが、DSA -> DSMへの片方向通信へ変更できる。DSA側のセキュリティグループの設定が不用になり、AutoScaling等にも対応しやすい
  • クラウド環境での利用の場合、通信方向をagentからが推奨されている。
    • ポリシー > 設定 > 一般 > 通信方向 > Agent/Applicanceから開始
    • RHEL/CentOS 6/7: rpmでインストール後、以下のコマンドでDSMへ登録できる。多数オプションあるので上記doc参照。 "hostname:<global ip or hostname>" を省略すると「hostname -f」相当の値が入る。片方向の場合、DSM->DSAへ疎通できないhostnameでも問題なさそう。
      sudo /opt/ds_agent/dsa_control -r
      sudo /opt/ds_agent/dsa_control -a dsm://<dsm host>:4120/ "displayname:<hostname>" "group:<group name>" "policy:<policy name>"

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-03-29 (金) 14:07:28 (58d)