#author("2019-11-15T17:29:10+09:00","default:dex","dex") #author("2020-12-25T11:24:56+09:00","default:dex","dex") #contents *Trend Micro Deep Security [#he07b05c] -[[総合サーバセキュリティ対策 - Trend Micro Deep Security | トレンドマイクロ:http://www.trendmicro.co.jp/jp/business/products/tmds/]] --法人向け --サーバ、クライアント型 --Windows/Linux(RedHat他)をサポート --不正プログラム対策(ウイルス対策)、IPS/IDS(侵入防御)、Webレピュテーション、ファイアウォール、変更監視(ファイルやレジストリなど)、セキュリティログ監視 --日本語UI有り。日本語ドキュメントもそれなりに豊富 --法人サポートは1~営業日で応答あり --誤検知もそれなりにあるので、本格運用するには、初期費用だけではなく、運用体制を含む費用・時間も考えにいれる --[[Trend Micro Deep Security の使用通信ポート | サポート Q&A:トレンドマイクロ:http://esupport.trendmicro.com/solution/ja-JP/1313476.aspx]] -サーバ --AWS m3.large Windows Server 2012 R2 ではスペック不足。CPU、メモリ不足のアラート発生。OSのオーバーヘッド、IIS、MS SQL Serverのリソースが大きい --Linux版の方がOSのオーバーヘッドが軽く、デプロイの自動化を考えると良いと思う --ライセンスはサーバ上で管理 -クライアント --RedHat/CentOS用rpmあり。インストールは簡単 --設定は全てサーバ側で行う --通信方向のデフォルトは双方向(DSM<->DSA)だが、片方向(DSM<-DSA)にもできる。片方向の場合、DSA側のポート解放は不用。クラウド向け。 --CloudInit対応で、EC2起動時に自動インストールできる。 -記事 -- [[DeepSecurity実践塾で学んだポリシー設計の基本をまとめてみた | DevelopersIO:https://dev.classmethod.jp/security/deepsecurity-policy-howto-making/]] -- [[はじめてのDeep Security運用に必要な情報まとめ | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deepsecurity-first-step-with-classmethod/]] -- [[Deep Security Manager 11.0 On WindowsをCloudFormationを使って構築してみた | DevelopersIO:https://dev.classmethod.jp/cloud/aws/trend-micro-deep-security-on-windows/]] -- [[AWS 向け Deep Security Agentインストール方法まとめ | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deep-security-agent-install-for-aws/]] ---- ** DeepSecurityのログをElastisearch で検索する [#cff887a9] - 記事 -- [[Amazon Elastisearch Serviceで作ったSIEMにDeepSecurityのログを統合する - freee Developers Blog:https://developers.freee.co.jp/entry/aes-siem-deepsecurity#f-3dc6df91]] ---- ** コンテナでの利用 [#vc9589ea] - 記事 -- [[[Trend Micro DIRECTION]コンテナ環境向けにデザインされたセキュリティ ~本邦初公開!Deep Security新製品群~ | Developers.IO:https://dev.classmethod.jp/cloud/aws/trendmicro-direcession-report-c2/]] ---- ** AWSでの利用 [#odffdf93] - DSM -- [[Deep Security AMI from AWS Marketplaceのインストール | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/aws-marketplace-getting-started-with-deep-security.html?redirected=true]] サーバ構築用AMIが追加された。 - 記事 -- [[[小ネタ]Deep Securityで記憶にないIPアドレスと出会った時-Elastic Beanstalk Docker編- | DevelopersIO:https://dev.classmethod.jp/server-side/docker-server-side/tips-docker-container-ip-addr/]] -- [[【注意喚起】Amazon Linuxにサポート可能なDeep Security Agentをインストールする方法 | DevelopersIO:https://dev.classmethod.jp/cloud/aws/install-correct-dsa-to-al1/]] ---- ** イベントの通知(Slack, AWS SNS等) [#r17a5e8c] DSM v11.0にはSIEM(syslog), Amazon SNS, SNMPがある。 - [[Amazon SNSでのイベントへのアクセス | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/sns.html]] -- DSMに設定するので、1 AWSアカウントのみ登録。 - 通知用のユーザを作る。 -- 連絡先に [[Slackのワークスペースにメールアプリを連携させる:https://get.slack.help/hc/ja/articles/206819278-Slack-%E3%81%A7%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%92%E5%8F%97%E4%BF%A1%E3%81%99%E3%82%8B]]で作成したメールアドレスを入れる。 -記事 -- [[Deep SecurityのイベントをAWS SNS経由で送付する #DeepSecurity | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deepsecurity-aws-sns/]] ---- ** 使用ポート [#rd8fa741] - [[ポート番号 | Deep Security v11.0:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Manage-Components/ports.html?redirected=true]] ---- ** 「~のモジュールのインストール失敗」 [#xbea2715] - DSA -> DSM, DSRへの通信が成功するか? - [[エラー: モジュールのインストール失敗 (Linux) | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/error-module-installation-failure-linux.html?redirected=true]] -- DSAのバージョンと同じkernel moduleをDSMに登録する必要がある。 - 例: DSAが 11.0.0-615 の場合、kernel moduleも11.0.0-615が必要 - DSM > 管理タブ > アップデート > ソフトウェア > ダウンロード > 今すぐインポート - DSMに該当バージョンが無い場合、[[Deep Security AgentのLinuxカーネルサポート:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Get-Started/linux-kernel-support.html]] からダウンロードしてインポートする -- DSM > 管理タブ > アップデート > ソフトウェア > ローカル > インポート:ダウンロードしたzipを指定 ---- ** DSA(Deep Security Agent) [#p8a95a58] - デフォルトは双方向通信だが、DSA -> DSMへの片方向通信へ変更できる。DSA側のセキュリティグループ(tcp/4118)の開放が不用になり、AutoScaling等にも対応しやすい #geshi(bash){{ # 片方向通信の場合。DSAのホストからDSM,DSRへの確認 nc -zv <dsm.example.com> 4120 nc -zv <dsm.example.com> 4122 # 双方向通信の場合。DSM -> DSA nc -zv <dsa1.example.com> 4118 }} - doc -- [[インストールスクリプトを使用したコンピュータの追加と保護 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Add-Computers/ug-add-dep-scripts.html]] -- [[クラウドアカウント環境の通信方向 v11.0 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/using-agent-initiated-communication-cloud-accounts.html]] -- [[コマンドラインの基本 v11.0 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/command-line-utilities.html?redirected=true]] - DSA -> DSMへの片方向通信 -- DSM: tcp/4120 (agentからの通信) -- DSR: tcp/4122 (agentからの通信。DSRがDSMと同じホストの場合も同様) -- DSA: ポート開放なし - クラウド環境での利用の場合、通信方向をagentからが推奨されている。 -- ポリシー > 設定 > 一般 > 通信方向 > Agent/Applicanceから開始 -- RHEL/CentOS 6/7: rpmでインストール後、以下のコマンドでDSMへ登録できる。多数オプションあるので上記doc参照。 "hostname:<global ip or hostname>" を省略すると「hostname -f」相当の値が入る。片方向の場合、DSM->DSAへ疎通できないhostnameでも問題なさそう。 #geshi(bash){{{ sudo /opt/ds_agent/dsa_control -r sudo /opt/ds_agent/dsa_control -a dsm://<dsm host>:4120/ "displayname:<hostname>" "group:<group name>" "policy:<policy name>" }}}