Memo/TrendMicroDeepSecurity

https://dexlab.net:443/pukiwiki/index.php?Memo/TrendMicroDeepSecurity
 

Trend Micro Deep Security

  • サーバ
    • AWS m3.large Windows Server 2012 R2 ではスペック不足。CPU、メモリ不足のアラート発生。OSのオーバーヘッド、IIS、MS SQL Serverのリソースが大きい
    • Linux版の方がOSのオーバーヘッドが軽く、デプロイの自動化を考えると良いと思う
    • ライセンスはサーバ上で管理
  • クライアント
    • RedHat/CentOS用rpmあり。インストールは簡単
    • 設定は全てサーバ側で行う
    • 通信方向のデフォルトは双方向(DSM<->DSA)だが、片方向(DSM<-DSA)にもできる。片方向の場合、DSA側のポート解放は不用。クラウド向け。
    • CloudInit対応で、EC2起動時に自動インストールできる。

AWSでの利用


イベントの通知(Slack, AWS SNS等)

DSM v11.0にはSIEM(syslog), Amazon SNS, SNMPがある。


使用ポート


「〜のモジュールのインストール失敗」

  • DSA -> DSM, DSRへの通信が成功するか?
  • DSM > 管理タブ > アップデート > ソフトウェア > ダウンロード > 今すぐインポート
  • DSMに該当バージョンが無い場合、Deep Security AgentのLinuxカーネルサポート からダウンロードしてインポートする
    • DSM > 管理タブ > アップデート > ソフトウェア > ローカル > インポート:ダウンロードしたzipを指定

DSA(Deep Security Agent)

  • デフォルトは双方向通信だが、DSA -> DSMへの片方向通信へ変更できる。DSA側のセキュリティグループ(tcp/4118)の開放が不用になり、AutoScaling等にも対応しやすい
    # 片方向通信の場合。DSAのホストからDSM,DSRへの確認
    nc -zv <dsm.example.com> 4120
    nc -zv <dsm.example.com> 4122
    
    # 双方向通信の場合。DSM -> DSA
    nc -zv <dsa1.example.com> 4118
  • DSA -> DSMへの片方向通信
    • DSM: tcp/4120 (agentからの通信)
    • DSR: tcp/4122 (agentからの通信。DSRがDSMと同じホストの場合も同様)
    • DSA: ポート開放なし
  • クラウド環境での利用の場合、通信方向をagentからが推奨されている。
    • ポリシー > 設定 > 一般 > 通信方向 > Agent/Applicanceから開始
    • RHEL/CentOS 6/7: rpmでインストール後、以下のコマンドでDSMへ登録できる。多数オプションあるので上記doc参照。 "hostname:<global ip or hostname>" を省略すると「hostname -f」相当の値が入る。片方向の場合、DSM->DSAへ疎通できないhostnameでも問題なさそう。
      sudo /opt/ds_agent/dsa_control -r
      sudo /opt/ds_agent/dsa_control -a dsm://<dsm host>:4120/ "displayname:<hostname>" "group:<group name>" "policy:<policy name>"

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-09-30 (月) 13:58:17 (42d)