#author("2019-11-15T17:29:10+09:00","default:dex","dex")
#author("2020-12-25T11:24:56+09:00","default:dex","dex")
#contents

*Trend Micro Deep Security [#he07b05c]

-[[総合サーバセキュリティ対策 - Trend Micro Deep Security | トレンドマイクロ:http://www.trendmicro.co.jp/jp/business/products/tmds/]]
--法人向け
--サーバ、クライアント型
--Windows/Linux(RedHat他)をサポート
--不正プログラム対策(ウイルス対策)、IPS/IDS(侵入防御)、Webレピュテーション、ファイアウォール、変更監視(ファイルやレジストリなど)、セキュリティログ監視
--日本語UI有り。日本語ドキュメントもそれなりに豊富
--法人サポートは1~営業日で応答あり
--誤検知もそれなりにあるので、本格運用するには、初期費用だけではなく、運用体制を含む費用・時間も考えにいれる
--[[Trend Micro Deep Security の使用通信ポート | サポート Q&A:トレンドマイクロ:http://esupport.trendmicro.com/solution/ja-JP/1313476.aspx]]

-サーバ
--AWS m3.large Windows Server 2012 R2 ではスペック不足。CPU、メモリ不足のアラート発生。OSのオーバーヘッド、IIS、MS SQL Serverのリソースが大きい
--Linux版の方がOSのオーバーヘッドが軽く、デプロイの自動化を考えると良いと思う
--ライセンスはサーバ上で管理

-クライアント
--RedHat/CentOS用rpmあり。インストールは簡単
--設定は全てサーバ側で行う
--通信方向のデフォルトは双方向(DSM<->DSA)だが、片方向(DSM<-DSA)にもできる。片方向の場合、DSA側のポート解放は不用。クラウド向け。
--CloudInit対応で、EC2起動時に自動インストールできる。

-記事
-- [[DeepSecurity実践塾で学んだポリシー設計の基本をまとめてみた | DevelopersIO:https://dev.classmethod.jp/security/deepsecurity-policy-howto-making/]]
-- [[はじめてのDeep Security運用に必要な情報まとめ | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deepsecurity-first-step-with-classmethod/]]
-- [[Deep Security Manager 11.0 On WindowsをCloudFormationを使って構築してみた | DevelopersIO:https://dev.classmethod.jp/cloud/aws/trend-micro-deep-security-on-windows/]]
-- [[AWS 向け Deep Security Agentインストール方法まとめ | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deep-security-agent-install-for-aws/]]

----
** DeepSecurityのログをElastisearch で検索する [#cff887a9]

- 記事
-- [[Amazon Elastisearch Serviceで作ったSIEMにDeepSecurityのログを統合する - freee Developers Blog:https://developers.freee.co.jp/entry/aes-siem-deepsecurity#f-3dc6df91]]

----
** コンテナでの利用 [#vc9589ea]

- 記事
-- [[[Trend Micro DIRECTION]コンテナ環境向けにデザインされたセキュリティ ~本邦初公開!Deep Security新製品群~ | Developers.IO:https://dev.classmethod.jp/cloud/aws/trendmicro-direcession-report-c2/]]

----
** AWSでの利用 [#odffdf93]

- DSM
-- [[Deep Security AMI from AWS Marketplaceのインストール | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/aws-marketplace-getting-started-with-deep-security.html?redirected=true]] サーバ構築用AMIが追加された。


- 記事
-- [[[小ネタ]Deep Securityで記憶にないIPアドレスと出会った時-Elastic Beanstalk Docker編- | DevelopersIO:https://dev.classmethod.jp/server-side/docker-server-side/tips-docker-container-ip-addr/]]
-- [[【注意喚起】Amazon Linuxにサポート可能なDeep Security Agentをインストールする方法 | DevelopersIO:https://dev.classmethod.jp/cloud/aws/install-correct-dsa-to-al1/]]

----
** イベントの通知(Slack, AWS SNS等) [#r17a5e8c]

DSM v11.0にはSIEM(syslog), Amazon SNS, SNMPがある。

- [[Amazon SNSでのイベントへのアクセス | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/sns.html]]
-- DSMに設定するので、1 AWSアカウントのみ登録。

- 通知用のユーザを作る。
-- 連絡先に [[Slackのワークスペースにメールアプリを連携させる:https://get.slack.help/hc/ja/articles/206819278-Slack-%E3%81%A7%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%92%E5%8F%97%E4%BF%A1%E3%81%99%E3%82%8B]]で作成したメールアドレスを入れる。

-記事
-- [[Deep SecurityのイベントをAWS SNS経由で送付する #DeepSecurity | DevelopersIO:https://dev.classmethod.jp/cloud/aws/deepsecurity-aws-sns/]]

----
** 使用ポート [#rd8fa741]

- [[ポート番号 | Deep Security v11.0:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Manage-Components/ports.html?redirected=true]]

----
** 「~のモジュールのインストール失敗」 [#xbea2715]

- DSA -> DSM, DSRへの通信が成功するか?

- [[エラー: モジュールのインストール失敗 (Linux) | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/error-module-installation-failure-linux.html?redirected=true]]
-- DSAのバージョンと同じkernel moduleをDSMに登録する必要がある。
- 例: DSAが 11.0.0-615 の場合、kernel moduleも11.0.0-615が必要

- DSM > 管理タブ > アップデート > ソフトウェア > ダウンロード > 今すぐインポート
- DSMに該当バージョンが無い場合、[[Deep Security AgentのLinuxカーネルサポート:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Get-Started/linux-kernel-support.html]] からダウンロードしてインポートする
-- DSM > 管理タブ > アップデート > ソフトウェア > ローカル > インポート:ダウンロードしたzipを指定

----
** DSA(Deep Security Agent) [#p8a95a58]

- デフォルトは双方向通信だが、DSA -> DSMへの片方向通信へ変更できる。DSA側のセキュリティグループ(tcp/4118)の開放が不用になり、AutoScaling等にも対応しやすい
#geshi(bash){{
# 片方向通信の場合。DSAのホストからDSM,DSRへの確認
nc -zv <dsm.example.com> 4120
nc -zv <dsm.example.com> 4122

# 双方向通信の場合。DSM -> DSA
nc -zv <dsa1.example.com> 4118
}}


- doc
-- [[インストールスクリプトを使用したコンピュータの追加と保護 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/Add-Computers/ug-add-dep-scripts.html]]
-- [[クラウドアカウント環境の通信方向 v11.0 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/using-agent-initiated-communication-cloud-accounts.html]]
-- [[コマンドラインの基本 v11.0 | Deep Security:https://help.deepsecurity.trendmicro.com/11_0/aws/ja-jp/command-line-utilities.html?redirected=true]]

- DSA -> DSMへの片方向通信
-- DSM: tcp/4120 (agentからの通信)
-- DSR: tcp/4122 (agentからの通信。DSRがDSMと同じホストの場合も同様)
-- DSA: ポート開放なし

- クラウド環境での利用の場合、通信方向をagentからが推奨されている。
-- ポリシー > 設定 > 一般 > 通信方向 > Agent/Applicanceから開始
-- RHEL/CentOS 6/7: rpmでインストール後、以下のコマンドでDSMへ登録できる。多数オプションあるので上記doc参照。 "hostname:<global ip or hostname>" を省略すると「hostname -f」相当の値が入る。片方向の場合、DSM->DSAへ疎通できないhostnameでも問題なさそう。
#geshi(bash){{{
sudo /opt/ds_agent/dsa_control -r
sudo /opt/ds_agent/dsa_control -a dsm://<dsm host>:4120/ "displayname:<hostname>" "group:<group name>" "policy:<policy name>"
}}}

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS