Agent

ホスト名

IPがホスト名として使用されており、Agent/Applianceからの通信または検出時にIPの変更が検出された場合は、[ホスト名] エントリをアップデート: IPの変更が検出された場合に、コンピュータの [ホスト名] フィールドに表示されるIPアドレスをアップデートします (Vulnerability ProtectionDeep Security Managerは、IPアドレスやホスト名ではなく一意のフィンガープリントによってコンピュータを特定します)。

IPがホスト名として使用されておらず、Agent/Applianceからの通信または検出時にホスト名の変更が検出された場合は、[ホスト名] エントリをアップデート: ホスト名の変更が検出された場合に、コンピュータの [ホスト名] フィールドに表示されるホスト名をアップデートします (Vulnerability ProtectionDeep Security Managerは、IPアドレスやホスト名ではなく一意のフィンガープリントによってコンピュータを特定します)。

Agentからのリモート有効化

コンピュータにAgentをインストールして有効化する場合、コンピュータにAgentをインストールした後、Vulnerability ProtectionDeep Security Managerを使用して「Agentを有効化」するのが標準的な方法です。この有効化によって、独自の暗号化フィンガープリントがManagerからAgentへ送信されます。Agentはこのフィンガープリントを使用して、Managerからの正常な通信かどうか識別します。

ただし、ManagerではなくAgentから有効化することが望ましい状況もあります (大規模な分散インストール環境など)。その場合は、Agentがコンピュータと通信して有効化できるよう、Manager側で設定する必要があります。[Agentからのリモート有効化] パネルを使用して、Agentの有効化を実行できるコンピュータを制限します。

Agentからのリモート有効化は、コマンドラインから実行します。Agentの有効化に関するコマンドラインのオプションは、次のとおりです。

使用方法: `dsa_control [-a <str>] [-g <str>] [-c <str>] [-r]`		備考
`-a <str>`	指定されたURLのManagerに対してAgentを有効化します。URLの形式は必ず「dsm://ホストまたはIP:ポート/」にしてください。	「ポート」は、Managerのハートビートのポート(初期設定は4120です)。
`-g <str>`	AgentのURL。初期設定は「https://127.0.0.1:4118/」。	(備考はありません)
`-c <str>`	証明書ファイル。初期設定は「ds_agent.crt」です。	dsa_controlは正しい証明書を自動的に使用します。複数のAgentを別々のディレクトリにインストールしている場合や、別のコンピュータのAgentを制御しようとしている場合を除き、このオプションを使用する必要はありません。
`-r`	Agentの設定をリセットします	(備考はありません)

ポリシーが割り当てられていない、自身で有効化するAgentに、初期設定のポリシーを送信するようVulnerability ProtectionDeep Security Managerに対して指示することができます。その場合、[割り当てるポリシー (有効化スクリプトによってポリシーが割り当てられていない場合)] オプションを使用してポリシーを選択します。

Agentからのリモート有効化を許可する場合は、詳細オプションを設定できます。

[Agentからのリモート有効化を許可] をオンにします。

任意のコンピュータ: Vulnerability ProtectionDeep Security Managerの [コンピュータ] 画面に表示されているかどうかに関係なく、Agentからのリモート有効化を許可します。
既存のコンピュータ: [コンピュータ] 画面にリストされているコンピュータのみを対象とします。
次のIPリストにあるコンピュータ: 指定したIPリストとIPアドレスが一致するコンピュータのみを対象とします。

割り当てるポリシー (有効化スクリプトによってポリシーが割り当てられていない場合): 有効化スクリプトによってポリシーが割り当てられていない場合に、コンピュータに割り当てるセキュリティポリシーです。

Agentによる有効化が許可されているコンピュータに対して、ポリシーを割り当てるイベントベースタスクがある場合、イベントベースタスクで指定されたポリシーは、割り当てられているポリシーまたは有効化スクリプトによるポリシーをオーバーライドします。

同じ名前のコンピュータがすでに存在する場合: 同じホスト名のコンピュータがすでに [コンピュータ] 画面にある場合、Vulnerability ProtectionDeep Security Managerでは次の処理が可能です。

有効化を許可しない: Agentによる有効化を許可しません。
同じ名前で新規コンピュータを有効化: リストにあるコンピュータが有効化されていない場合、Agentによる有効化を許可し、[コンピュータ] 画面にすでにリストされているコンピュータと新しいコンピュータを入れ替えます。
既存のコンピュータを再有効化: リストにあるコンピュータが有効化されているかどうかにかかわらず、新しいコンピュータを有効化/再有効化し、リストされているコンピュータと入れ替えます。

クローン仮想マシンの再有効化を許可: すでに有効化されているVulnerability ProtectionDeep Security Agentを実行中の新しいクローン仮想マシンが、Vulnerability ProtectionDeep Security Managerにハートビートを送信すると、Vulnerability ProtectionDeep Security Managerは仮想マシンをクローンと認識して、新しいコンピュータとして再有効化します。元の仮想マシンで設定されていたポリシーやルールは、新しい仮想マシンには割り当てられません。新しい仮想マシンは、新規に有効化されたコンピュータと同じような状態です。

不明な仮想マシンの再有効化を許可: この設定は、クラウド環境およびVulnerability ProtectionDeep Security Managerから削除された、以前に有効化されていた仮想マシンが仮想マシンのインベントリに戻されている場合に、その仮想マシンの再有効化を許可します。Vulnerability ProtectionDeep Security Managerは、仮想マシンの有効な証明書を確認し、再有効化を許可します。元の仮想マシンで設定されていたポリシーやルールは、新しい仮想マシンには割り当てられません。新しい仮想マシンは、新規に有効化されたコンピュータと同じような状態です。

Agentアクティベーションシークレット: この値が指定されている場合、Agentによる有効化の実行時に同じ値を指定する必要があります。Agentアクティベーションシークレットは、Agentの有効化スクリプトのtenantPasswordパラメータで指定できます。LinuxコンピュータにおけるAgentからのリモート有効化のスクリプトの例を次に示します。

/opt/ds_agent/dsa_control -a dsm://172.31.2.247:4120/ "tenantPassword:secret"

マルチテナント環境の場合、[Agentアクティベーションシークレット]設定はプライマリテナントにのみ適用されます。

Agentによる有効化の詳細については、「コマンドラインユーティリティ」および「インストールスクリプト」を参照してください。

データプライバシー

暗号化されたトラフィック (SSL) のパケットデータの取り込みを許可: 侵入防御モジュールを使用すると、侵入防御ルールをトリガするパケットデータを記録できます。この設定をオンにすると、暗号化されたトラフィックに侵入防御ルールが適用された場合のデータの取り込みが有効になります。

AgentなしのvCloud保護

ApplianceによるvCloud仮想マシンの保護を許可: Vulnerability ProtectionDeep Security Virtual ApplianceによるvCloud環境内の仮想マシンの保護を許可し、マルチテナントのVulnerability ProtectionDeep Security環境内のテナントによってこれらの仮想マシンのセキュリティが管理されるようにします。