推奨設定の検索

Vulnerability ProtectionDeep Securityでは、コンピュータで推奨設定の検索を実行して既知の脆弱性を特定できます。この処理では、OSだけでなくインストール済みのアプリケーションも検索します。検出結果に基づいて、Vulnerability ProtectionDeep Securityは、適用する必要のあるセキュリティルールを推奨します。

推奨設定の検索時に、Vulnerability ProtectionDeep Security Agentは次の項目を検索します。

OS
インストール済みアプリケーション
Windowsレジストリ
オープンポート
ディレクトリリスト
ファイルシステム
実行中のプロセスとサービス
ユーザ

大規模な環境の場合、トレンドマイクロでは、ポリシーレベルで推奨設定を管理することを推奨します。つまり、検索対象のすべてのコンピュータに、ポリシーを割り当てておく必要があります。これにより、1つのソース (ポリシー) からすべてのルールを割り当てることができます。各コンピュータで個々のルールを管理する必要はありません。

推奨設定の検索は手動で開始できます。または、指定したコンピュータで検索を定期的に実行する、予約タスクを作成することもできます。

制限事項

Linuxでは、アプリケーションと一緒にインストールされたカーネルライブラリまたはソフトウェアライブラリがそのアプリケーションでサポートされていない場合、推奨設定の検索エンジンでアプリケーションを検出できない可能性があります。標準のパッケージマネージャを使用してインストールされたアプリケーションについては、問題はありません。

Vulnerability ProtectionDeep Security Virtual Applianceでは、Agentレスによる推奨設定の検索を仮想マシンで実行できますが、対象はWindowsプラットフォームのみであり、検索できる項目は次のものに限定されます。

OS
インストール済みアプリケーション
Windowsレジストリ
ファイルシステム

推奨設定の検索の実行

推奨設定の検索を手動で起動するには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] 画面に進みます。
検索対象のコンピュータ (複数台も可) を選択します。
選択したコンピュータを右クリックして、[処理]→[推奨設定の検索] を選択します。

推奨設定の検索の予約タスクを作成するには

Vulnerability ProtectionDeep Security Managerで、[管理]→[予約タスク] 画面に進みます。
ツールバーの [新規] をクリックして「新規予約タスク」を選択し、新規予約タスクウィザードを表示します。
[種類] メニューから [コンピュータの推奨設定を検索] を選択し、検索の頻度を選択します。[次へ] をクリックします。
次に表示される画面では、手順3で選択した内容に応じて、検索の頻度をより詳細に指定できます。該当する項目を選択し、[次へ] をクリックします。
検索対象のコンピュータを選択し、[次へ] をクリックします。
通常、大規模な環境の場合は、ポリシーを通じてすべての処理を実行することを推奨します。
最後に、新しい予約タスクの名前を指定して、終了時にタスクを実行するかどうか ([[完了] でタスクを実行]) を選択し、[完了] をクリックします。

推奨設定の検索をキャンセルする

推奨設定の検索は開始前にキャンセルできます。

推奨設定の検索をキャンセルするには

Vulnerability ProtectionDeep Security Managerで、[コンピュータ] 画面に進みます。
検索をキャンセルするコンピュータ (複数台も可) を選択します。
[処理]→[推奨設定の検索のキャンセル] をクリックします。

推奨設定の検索の結果を管理する

推奨設定の検索の結果を自動的に実装するのが適切な場合は、そのようにVulnerability ProtectionDeep Securityを設定できます。しかし、すべての推奨設定を自動的に実装できるわけではありません。次のような例外があります。

適用する前に設定が必要なルール。
以前の推奨設定の検索に基づいて自動的に割り当てられたか、割り当てが解除されたが、ユーザが優先させたルール。たとえば、Vulnerability ProtectionDeep Securityによって自動的にルールが割り当てられ、その後でユーザがそのルールの割り当てを解除した場合、次回の推奨設定の検索の後にルールが再割り当てされることはありません。
ポリシー階層の上位のレベルで割り当てられたルールは、下位のレベルでは割り当てを解除できません。ポリシーレベルでコンピュータに割り当てられたルールは、ポリシーレベルで割り当てを解除する必要があります。
トレンドマイクロから発行されたものであるが、誤判定のリスクの可能性があるルール(ルールの説明を参照してください)。

最新の推奨設定の検索の結果は、ポリシーまたはコンピュータ編集画面の [侵入防御]→[一般] タブの [推奨設定] エリアに表示されます。

推奨設定の検索が完了したら、検索したコンピュータに割り当てられているポリシーを開きます。[侵入防御]→[一般] の順に選択します。[現在割り当てられている侵入防御ルール]エリアの [割り当て/割り当て解除] をクリックしてルールの割り当て画面を開きます。ルールを「アプリケーションの種類別」でソートし、フィルタの表示メニューから [割り当てに推奨される設定の表示] を選択します。

ポリシーに含まれるすべてのコンピュータに対する推奨設定がすべて一覧表示されます。

緑色のフラグには2つの種類があります。完全フラグ (

) と部分フラグ (

) です。推奨ルールには常に完全フラグが指定されます。アプリケーションの種類には、どちらかのフラグが指定されます。完全フラグの場合は、このアプリケーションの種類に属するすべてのルールの割り当てが推奨されていることを示します。部分フラグの場合は、このアプリケーションの種類に属する一部のルールのみが推奨されていることを示します。

また、上記のスクリーンショット内の「このポリシーが割り当てられている1台のコンピュータのうち1台に対し、この侵入防御ルールの使用をお勧めします」というヒントにも注目してください。トレンドマイクロでは、ポリシーの対象となるすべてのコンピュータにすべての推奨ルールを割り当てることを推奨します。これにより、一部のルールが、それを必要としていないコンピュータに割り当てられる可能性があります。しかし、パフォーマンスにわずかな影響が及ぶことよりも、ポリシーを通じて行われる処理によって管理が簡素化されるメリットの方が重要です。

推奨設定の検索では、侵入防御ルール、セキュリティログ監視ルール、および変更監視ルールの推奨設定が作成されます。

推奨設定の検索が実行されると、推奨設定の作成の対象となるすべてのコンピュータでアラートが発令されます。

推奨設定の検索の結果には、ルールの割り当てを解除する推奨設定を含めることもできます。この処理は、アプリケーションをアンインストールする場合、ベンダからのセキュリティパッチを適用する場合、または不要なルールが手動で適用されている場合に行うことができます。割り当ての解除が推奨されているルールを表示するには、フィルタの表示メニューから [割り当て解除を推奨] を選択します。

推奨ルールを設定する

適用前に設定が必要なルールもあります。たとえば、一部のセキュリティログ監視ルールでは、変更について監視するログファイルの場所を指定する必要があります。この場合、推奨設定が作成されるコンピュータでアラートが発令されます。アラートのテキストには、ルールの設定に必要な情報が含まれます。