クイックスタート: コンピュータの保護

ここでは、Deep Securityを使用してWindows Server 2008コンピュータを保護する手順について説明します。

次の手順に従ってください。

  1. Deep Security Managerにコンピュータを追加します。
  2. 推奨設定の検索を実行します。
  3. 検索の推奨設定を自動的に適用します。
  4. 定期的に推奨設定の検索を実行するための予約タスクを作成します。
  5. Deep Security Managerを使用してアクティビティを監視します。
ここでは、ネットワーク全体のDeep Security Agentを管理するコンピュータにDeep Security Managerがインストール済みであるものとします。また、Deep Security ManagerにAgentソフトウェアパッケージ (.zip) をインポート済みであり、保護するコンピュータにDeep Security Agentがインストールされているものとします (有効化はされていない)。最後に、最新のセキュリティアップデートをダウンロードするための、Relay有効化済みAgentがあるものとします。いずれかの要件を満たしていない場合は、インストールガイドに記載されている手順を参照し、ここで説明した状態にしてください。

Deep Security Managerにコンピュータを追加する

Deep Security Managerに追加するコンピュータは、ポート4120でDeep Security Managerにアクセスできれば、場所は問いません。

次のいずれかの手順を行ってください。

ここではローカルネットワークからコンピュータを追加しますが、Managerにコンピュータが追加された後は、コンピュータの場所に関係なく、同じ手順に従って保護を実行します。

ローカルネットワークからコンピュータを追加するには

  1. Deep Security Managerコンソールで、[コンピュータ] 画面に進み、ツールバーの [新規] をクリックして、ドロップダウンメニューから [新規コンピュータ...] を選択します。
  2. 新規コンピュータウィザードで、コンピュータのホスト名またはパスワードを入力し、適用する適切なセキュリティポリシーをポリシーツリーのドロップダウンメニューから選択します(ここでは、Windows Server 2008ポリシーを選択します)。[次へ] をクリックします。
  3. ウィザードがコンピュータに接続し、そのコンピュータを [コンピュータ] 画面に追加します。さらに、有効化されていないAgentを検出して有効にし、選択したポリシーを適用します。[完了] をクリックします。
    インストール時に有効化を自動的に開始するようにAgentを設定できます。詳細については、「コマンドラインユーティリティ」を参照してください。
  4. コンピュータが追加されると、ウィザードに確認メッセージが表示されます。
  5. [[コンピュータの詳細] を開く] オプションの選択を解除して、[閉じる] をクリックします。

これで、[コンピュータ] 画面のDeep Security Managerの管理対象コンピュータのリストにコンピュータが表示されます。

Deep Securityでは、有効化した後に、最新のセキュリティアップデートをコンピュータに自動的にダウンロードします。また、コンピュータに割り当てられたWindows Server 2008ポリシーで変更監視が有効になっているため、コンピュータ用の変更監視のベースラインの作成が開始されます。実行中のアクティビティは、Manager画面のステータスバーで確認できます。

Deep Security Managerによる有効化後の初期タスクが完了すると、コンピュータのステータスが「管理対象 (オンライン)」と表示されます。

メニューバーの [サポート] リンクをクリックすると、Deep Security Managerの各画面の詳しい説明を表示できます。

推奨設定の検索を実行する

コンピュータに割り当てられたセキュリティポリシーは、Windows Server 2008 OSを実行しているコンピュータ向けに設計された一連のルールと設定で構成されます。ただし、静的なポリシーはすぐに十分なものではなくなってしまう可能性があります。これは、新しいソフトウェアがコンピュータにインストールされる、トレンドマイクロが作成した新しい保護ルールによって新しいOSの脆弱性が検出される、または過去の脆弱性がOSやソフトウェアのサービスパックによって修正されたためです。コンピュータ上のセキュリティ要件は動的であるため、推奨設定の検索を定期的に実行する必要があります。この検索では、コンピュータの現在の状態を評価し、Deep Security保護モジュールの最新のアップデートと比較して、現在のセキュリティポリシーをアップデートする必要があるかどうかを確認します。

推奨設定の検索では、次の保護モジュールの推奨設定が作成されます。

コンピュータで推奨設定の検索を実行するには

  1. Deep Security Managerコンソール画面の [コンピュータ] 画面に移動します。
  2. コンピュータを右クリックして、[処理]→[推奨設定の検索] の順に選択します。

推奨設定の検索の実行中は、コンピュータのステータスが「推奨設定の検索中」と表示されます。検索の完了後、Deep Securityからの推奨設定がある場合、[アラート] 画面に [x台のコンピュータに対する推奨設定が作成されました] というアラートが表示されます。

推奨設定の検索の結果を確認するには

  1. [コンピュータ] 画面のメニューバーまたは右クリックメニューの [詳細] をクリックして、コンピュータエディタを開きます。
  2. コンピュータエディタ画面で、[侵入防御] モジュール画面に移動します。

[一般] タブの [推奨設定] エリアで検索の結果を確認できます。

[現在のステータス] は、現在このコンピュータに割り当てられている侵入防御ルールが253個あることを示しています。

[前回の推奨設定の検索] は、前回の検索が2015年12月28日の16時14分に実行されたことを示します。

[未解決の推奨設定] は、検索の結果として、侵入防御ルールを追加で46個割り当てて、現在割り当てられている179個のルールの割り当てを解除するようDeep Securityが推奨していることを示します。

[備考] は、割り当てを解除するよう推奨されている179個すべてのルールが、コンピュータレベルで直接割り当てられているのではなくポリシーレベルで割り当てられていることを示します。ポリシーツリーの上位のレベルで割り当てられているルールは、そのルールが割り当てられたポリシー (この場合は、Windows Server 2008ポリシー) でのみ割り当てを解除できます(Windows Server 2008ポリシーのエディタを開いた場合にも同じ推奨設定が表示され、そのポリシーから割り当てを解除することができます)。

通常これらのルールは、設定が必要なルールと、誤判定が発生しやすいため検出のみモードで動作を監視する必要のある (防御モードで施行した) ルールのどちらかです。割り当てが推奨されているルールを確認するには、[割り当て/割り当て解除] をクリックして、ルールの割り当てのための [IPSルール] 画面を表示します。次に、2番目のドロップダウンフィルタリストから [割り当てを推奨] を選択します。

設定が必要なルールには、小さな設定アイコン () が表示されます。ルールに設定可能なオプションを確認するには、ルールをダブルクリックして、ローカル編集モードで [プロパティ] 画面を開き、[設定] タブに移動します。ルールを割り当てるには、ルール名の横にあるチェックボックスをオンにします。

割り当ての解除が推奨されているルールを表示するには、同じリストから [割り当て解除を推奨] を選択してルールのリストをフィルタします。ルールの割り当てを解除するには、ルール名の横にあるチェックボックスをオフにします。

コンピュータで有効な、ポリシーツリーの上位のポリシーで割り当てられているルールの割り当てをローカルで解除することはできません。このようなルールの割り当てを解除するには、ルールが割り当てられた元のポリシーを編集し、そのポリシーから割り当てを解除する必要があります。この種のルールの継承の詳細については、「ポリシー、継承、およびオーバーライド」を参照してください。

検索の推奨設定を自動的に適用

推奨設定の検索の後にルールの割り当てと割り当ての解除を自動的に実行するようにDeep Securityを設定できます。そのためには、コンピュータまたはポリシーのエディタを開き、推奨設定の検索をサポートする個々の保護モジュール画面 (侵入防御、変更監視、およびセキュリティログ監視) に移動します。[一般] タブの [推奨設定] エリアで、[侵入防御の推奨設定を自動的に適用 (可能な場合):] を [はい] に設定します。

定期的に推奨設定の検索を実行するための予約タスクの作成

定期的に推奨設定の検索を実行すると、関連する最新のルールセットによってコンピュータが保護され、不要になったルールは削除されます。このタスクを自動的に実行するための予約タスクを作成できます。

予約タスクを作成するには

  1. Deep Security Manager の管理コンソールで、[管理]→[予約タスク] の順に選択します。
  2. メニューバーの [新規] をクリックして新規予約タスクウィザードを表示します。
  3. 検索の種類として [コンピュータの推奨設定を検索] を選択し、検索の頻度として [週単位] を選択します。[次へ] をクリックします。
  4. 開始時刻、スケジュール (1週間ごと)、および曜日を選択します。[次へ] をクリックします。
  5. 検索するコンピュータを指定する場合は、最後のオプション ([コンピュータ]) を選択し、保護するWindows Server 2008コンピュータを選択します。[次へ] をクリックします。
  6. 新しい予約タスクの名前を入力します。[[完了] でタスクを実行] の選択は解除したままにします (推奨設定の検索を実行したばかりであるため)。[完了] をクリックします。

これで、新しい予約タスクが予約タスクのリストに表示されます。この予約タスクにより、コンピュータの検索が週に1回実行され、コンピュータの推奨設定が作成されます。推奨設定の検索をサポートする3つの各保護モジュールに対して推奨設定を自動的に適用するオプションを設定すると、必要なルールの割り当てと割り当ての解除がDeep Securityによって行われます。特別な注意が必要なルールについては、その内容を通知するアラートが発令されます。

Agentベースの保護の予約タスクには、エンドポイントのOSと同じタイムゾーンが使用されます。Agentレスによる保護の予約タスクには、Deep Security Virtual Applianceと同じタイムゾーンが使用されます。

通常のセキュリティアップデートのスケジュールを作成する

クイックスタート: システム設定」に記載されている手順に従うと、トレンドマイクロが提供する最新の保護モジュールによってコンピュータが定期的にアップデートされます。

Deep Security Managerによるアクティビティの監視

ダッシュボード

コンピュータにポリシーを割り当てて、一定期間稼働した後で、そのコンピュータの処理を確認する場合があります。処理の確認で最初に開くのは、ダッシュボードです。ダッシュボードには、Deep Security Managerと管理対象のコンピュータの状態に関わる、さまざまな種類の情報を表示する多数の情報パネル (「ウィジェット」) があります。

ダッシュボード画面の右上にある [ウィジェットの追加/削除] をクリックして、表示可能なウィジェットのリストを表示します。

ここでは、[ファイアウォール] セクションから次のウィジェットを追加します。

3つのウィジェットの横にあるチェックボックスをそれぞれ選択して、[OK] をクリックします。ダッシュボードにウィジェットが表示されます。データが生成されるまで、しばらく時間がかかります。

[ファイアウォールのアクティビティ (防御)] および [ファイアウォールIPのアクティビティ (防御)] ウィジェットの数値の横には、推移を表すインジケータがあります。上向きまたは下向きの三角形は指定期間における全体の増減を示し、横線は大きな変更がなかったことを示します。

ファイアウォールおよび侵入防御イベントのログ

次に、拒否パケットの最も多い理由に対応するログへドリルダウンします。[ファイアウォールのアクティビティ (防御)] ウィジェットで、拒否されたパケットの最も多い理由をクリックします。クリックすると、[ファイアウォールイベント] 画面に移動します。

[ファイアウォールイベント] 画面には、ファイアウォールイベントがすべて表示されます。[ファイアウォールのアクティビティ (防御)] ウィジェットにある一番の理由 (「ポリシーで未許可」) は、[理由] 列エントリに対応します。ログは、過去24時間または7日間のダッシュボードの表示期間中に発生したイベントのみを表示するようフィルタされています。[ファイアウォールイベント][侵入防御イベント] 画面の詳細は、これらの画面のヘルプページを参照してください。

その他のパケット拒否の理由の意味については、以下を参照してください。

レポート

ログデータの表示には、通常、より高度で要約された情報を簡単に理解できるようにすることが求められます。レポートはこうした役割を担い、コンピュータ、ファイアウォールおよび侵入防御イベントログ、イベント、アラートなどの詳細な概要を表示します。[レポートの生成] 画面では、生成するレポートのさまざまなオプションを選択できます。

ここでは、指定した期間のファイアウォールルールやファイアウォールステートフル設定処理の記録を表示するファイアウォールレポートを生成します。[レポート] ドロップダウンから [ファイアウォールレポート] を選択します。[生成] をクリックして、新しい画面でレポートを開きます。

Deep Security Managerからユーザにメール送信された定期レポートを確認する、システムにログインしてダッシュボードを調べる、特定のログをドリルダウンして詳細な調査を実行する、重要イベントを通知するようアラートを設定するなどの操作を行うことで、ネットワークの最新の状態やステータスを把握することができます。

ここでは、Vulnerability Protectionを使用してWindows 7デスクトップコンピュータを保護する手順について説明します。

次の手順に従ってください。

  1. Vulnerability Protection Managerにコンピュータを追加する
  2. 推奨設定の検索を設定および実行する
  3. 検索の推奨設定を自動的に適用
  4. 定期的に推奨設定の検索を実行するための予約タスクの作成
  5. Vulnerability Protection Managerを使用してアクティビティを監視する
ここでは、ネットワーク全体のVulnerability Protection Agentを管理するコンピュータにVulnerability Protection Managerがインストール済みであるものとします。また、保護するコンピュータにもVulnerability Protection Agentがインストールされている(有効化はされていない)ものとします。いずれかの要件を満たしていない場合は、インストールガイドに記載されている手順を参照し、ここで説明した状態にしてください。

Vulnerability Protection Managerにコンピュータを追加する

Vulnerability Protection Managerの [コンピュータ] 画面にコンピュータを追加する方法は、いくつかあります。次のいずれかの手順を行ってください。

ここではローカルネットワークからコンピュータを追加しますが、Managerにコンピュータが追加された後は、コンピュータの場所に関係なく、同じ手順に従って保護を実行します。

ローカルネットワークからコンピュータを追加するには

  1. Vulnerability Protection Managerコンソールで、[コンピュータ] 画面に進み、ツールバーの [新規] をクリックして、ドロップダウンメニューから [新規コンピュータ] を選択します。
  2. 新規コンピュータウィザードで、コンピュータのホスト名またはパスワードを入力し、適用する適切なセキュリティポリシーをポリシーツリーのドロップダウンメニューから選択します。ここでは、Windows 7 Desktopポリシーを選択します。[次へ] をクリックします。

  3. ウィザードがコンピュータに接続し、そのコンピュータを [コンピュータ] 画面に追加します。さらに、有効化されていないAgentを検出して有効にし、選択したポリシーを適用します。[完了] をクリックします。
    インストール時に有効化を自動的に開始するようにAgentを設定できます。詳細については、「コマンドラインユーティリティ」を参照してください。
  4. コンピュータが追加されると、ウィザードに確認メッセージが表示されます。
  5. [[コンピュータの詳細] を開く] オプションの選択を解除して、[閉じる] をクリックします。

これで、[コンピュータ] 画面のVulnerability Protection Managerの管理対象コンピュータのリストにコンピュータが表示されます。

Vulnerability Protectionでは、有効化した後に、最新のセキュリティアップデートをコンピュータに自動的にダウンロードします。

Vulnerability Protection Managerによる有効化後の初期タスクが完了すると、コンピュータのステータスが「管理対象 (オンライン)」と表示されます。

メニューバーの [サポート] リンクをクリックすると、Vulnerability Protection Managerの各画面の詳しい説明を表示できます。

推奨設定の検索を設定および実行する

コンピュータに割り当てられたセキュリティポリシーは、Windows Desktop 7 OSを実行しているコンピュータ向けに設計された一連のルールと設定で構成されます。ただし、静的なポリシーはすぐに十分なものではなくなってしまう可能性があります。これは、新しいソフトウェアがコンピュータにインストールされる、トレンドマイクロが作成した新しい保護ルールによって新しいOSの脆弱性が検出される、または過去の脆弱性がOSやソフトウェアのサービスパックによって修正されたためです。コンピュータ上のセキュリティ要件は動的であるため、推奨設定の検索を定期的に実行する必要があります。この検索では、コンピュータの現在の状態を評価し、Vulnerability Protection保護モジュールの最新のアップデートと比較して、現在のセキュリティポリシーをアップデートする必要があるかどうかを確認します。

推奨設定の検索では、侵入防御モジュールの推奨設定が作成されます。

コンピュータで推奨設定の検索を実行するには

  1. メインのVulnerability Protection Managerコンソール画面の [コンピュータ] 画面に移動します。
  2. コンピュータを右クリックして、[処理]→[推奨設定の検索] の順に選択します。

推奨設定の検索の実行中は、コンピュータのステータスが「推奨設定の検索中」と表示されます。検索の完了後、Vulnerability Protectionからの推奨設定がある場合、[アラート] 画面に [x台のコンピュータに対する推奨設定が作成されました] というアラートが表示されます。

推奨設定の検索の結果を確認するには

  1. [コンピュータ] 画面のメニューバーまたは右クリックメニューの [詳細] をクリックして、コンピュータエディタを開きます。
  2. コンピュータエディタ画面で、[侵入防御] モジュール画面に移動します。

[一般] タブの [推奨設定] エリアで検索の結果を確認できます。

[現在のステータス] は、現在このコンピュータに割り当てられている侵入防御ルールが179個あることを示しています。

[前回の推奨設定の検索] は、前回の検索が2012年12月18日の9時14分に実行されたことを示します。

[未解決の推奨設定] は、検索の結果として、侵入防御ルールを追加で28個割り当てて、現在割り当てられている111個のルールの割り当てを解除するようVulnerability Protectionが推奨していることを示します。

[備考] は、割り当てを解除するよう推奨されている111個すべてのルールが、コンピュータレベルで直接割り当てられているのではなくポリシーレベルで割り当てられていることを示します。ポリシーツリーの上位のレベルで割り当てられているルールは、そのルールが割り当てられたポリシー (この場合は、Windows 7 Desktopポリシー) でのみ割り当てを解除できます (Windows 7 Desktopポリシーのエディタを開いた場合にも同じ推奨設定が表示され、そのポリシーから割り当てを解除することができます)。

また、割り当てが推奨されている7個のルールは自動的に割り当てられないことも示されています。通常これらのルールは、設定が必要なルールと、誤判定が発生しやすいため検出のみモードで動作を監視する必要のある (防御モードで施行した) ルールのどちらかです。割り当てが推奨されているルールを確認するには、[割り当て/割り当て解除] をクリックして、ルールの割り当てのための [IPSルール] 画面を表示します。次に、2番目のドロップダウンフィルタリストから [割り当てを推奨] を選択します。

設定が必要なルールには、小さな設定アイコン () が表示されます。ルールに設定可能なオプションを確認するには、ルールをダブルクリックして、ローカル編集モードで [プロパティ] 画面を開き、[設定] タブに移動します。ルールを割り当てるには、ルール名の横にあるチェックボックスをオンにします。

割り当ての解除が推奨されているルールを表示するには、同じリストから [割り当て解除を推奨] を選択してルールのリストをフィルタします。ルールの割り当てを解除するには、ルール名の横にあるチェックボックスをオフにします。

コンピュータで有効な、ポリシーツリーの上位のポリシーで割り当てられているルールの割り当てをローカルで解除することはできません。このようなルールの割り当てを解除するには、ルールが割り当てられた元のポリシーを編集し、そのポリシーから割り当てを解除する必要があります。この種のルールの継承の詳細については、「ポリシー、継承、およびオーバーライド」を参照してください。

検索の推奨設定を自動的に適用

推奨設定の検索の後にルールの割り当てと割り当ての解除を自動的に実行するようにVulnerability Protectionを設定できます。設定するには、コンピュータまたはポリシーのエディタを開き、[侵入防御] に進みます。[一般] タブの [推奨設定] エリアで、[侵入防御の推奨設定を自動的に適用 (可能な場合):] を [はい] に設定します。

定期的に推奨設定の検索を実行するための予約タスクの作成

定期的に推奨設定の検索を実行すると、関連する最新のルールセットによってコンピュータが保護され、不要になったルールは削除されます。このタスクを自動的に実行するための予約タスクを作成できます。

予約タスクを作成するには

  1. メインの [Vulnerability Protection Manager] 画面で、[管理]→[予約タスク] の順に選択します。
  2. メニューバーの [新規] をクリックして新規予約タスクウィザードを表示します。
  3. 検索の種類として [コンピュータの推奨設定を検索] を選択し、検索の頻度として [週単位] を選択します。[次へ] をクリックします。
  4. 開始時刻、スケジュール (1週間ごと)、および曜日を選択します。[次へ] をクリックします。
  5. 検索するコンピュータを指定する場合は、最後のオプション ([コンピュータ]) を選択し、保護するWindows 7デスクトップコンピュータを選択します。[次へ] をクリックします。
  6. 新しい予約タスクの名前を入力します。[[完了] でタスクを実行] の選択は解除したままにします (推奨設定の検索を実行したばかりであるため)。[完了] をクリックします。

これで、新しい予約タスクが予約タスクのリストに表示されます。この予約タスクにより、コンピュータの検索が週に1回実行され、コンピュータの推奨設定が作成されます。推奨設定の検索をサポートする3つの各保護モジュールに対して推奨設定を自動的に適用するオプションを設定すると、必要なルールの割り当てと割り当ての解除がVulnerability Protectionによって行われます。特別な注意が必要なルールについては、その内容を通知するアラートが発令されます。

通常のセキュリティアップデートのスケジュールを作成する

クイックスタート: システム設定」に記載されている手順に従うと、トレンドマイクロが提供する最新の保護モジュールによってコンピュータが定期的にアップデートされます。

Vulnerability Protection Managerを使用してアクティビティを監視する

ダッシュボード

コンピュータにポリシーを割り当てて、一定期間稼働した後で、そのコンピュータの処理を確認する場合があります。処理の確認で最初に開くのは、ダッシュボードです。ダッシュボードには、Vulnerability Protection Managerと管理対象のコンピュータの状態にかかわる、さまざまな種類の情報を表示する多数の情報パネル (「ウィジェット」) があります。

ダッシュボード画面の右上にある [ウィジェットの追加/削除] をクリックして、表示可能なウィジェットのリストを表示します。

レポート

ログデータの表示には、通常、より高度で要約された情報を簡単に理解できるようにすることが求められます。レポートはこうした役割を担い、コンピュータ、ファイアウォールおよび侵入防御イベントログ、イベント、アラートなどの詳細な概要を表示します。[レポートの生成] 画面では、生成するレポートのさまざまなオプションを選択できます。

ここでは、指定した期間のファイアウォールルールやファイアウォールステートフル設定処理の記録を表示するファイアウォールレポートを生成します。[レポート] ドロップダウンから [ファイアウォールレポート] を選択します。[生成] をクリックして、新しい画面でレポートを開きます。

Vulnerability Protection Managerからユーザにメール送信された定期レポートを確認する、システムにログインしてダッシュボードを調べる、特定のログをドリルダウンして詳細な調査を実行する、重要イベントを通知するようアラートを設定するなどの操作を行うことで、ネットワークの最新の状態やステータスを把握することができます。