テナント
[テナント] タブは、マルチテナントモードを有効にしている場合のみ表示されます。
マルチテナントのオプション
- マルチテナントライセンスモード: マルチテナントのライセンスモードは、マルチテナントの設定後に変更できます。ただし、このモードを継承からテナント単位に切り替えると、ライセンス許可されているモジュールが既存のテナントで使用できなくなるので注意が必要です。
- 予約タスク「バックアップ」の使用をテナントに許可: 予約タスク「バックアップ」の使用をテナントに許可するかどうかを指定します。ほとんどの場合、バックアップはデータベース管理者によって管理されるため、このオプションは選択しないままにしておきます。
- 予約タスク「スクリプトの実行」の使用をテナントに許可: スクリプトは、システムへのアクセスを潜在的な危険にさらす可能性があります。ただし、スクリプトはファイルシステムのアクセス権を使用してManagerにインストールされるため、リスクを軽減できます。
- 「コンピュータの検索」の実行をテナントに許可 (直接および予約タスクとして): 検出の実行を許可するどうかを指定します。ネットワーク検出が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
- 「ポートの検索」の実行をテナントに許可 (直接および予約タスクとして): ポートの検索を実行できるかどうかを指定します。ネットワーク検索が禁止されているサービスプロバイダ環境での実行には適していない場合があります。
- VMware vCenterの追加をテナントに許可: vCenterとの接続を許可するかどうかを指定します。公共サービス向けのセットアップの場合、ホストされているサービスからvCenterへのルートがないため、このオプションの選択を解除します。
- クラウドアカウントの追加をテナントに許可: クラウド同期の設定をテナントに許可するかどうかを指定します。通常、クラウド同期はすべてのセットアップに対し適用されます。
- LDAPディレクトリとの同期をテナントに許可: ユーザとコンピュータの両方のディレクトリ (コンピュータはLDAPまたはActive Directory、ユーザはActive Directoryのみ) との同期をテナントに許可するかどうかを指定します。公共サービス向けのセットアップの場合、ホストされているサービスからvCenterへのルートがないため、このオプションの選択を解除します。
- SNMPの設定をテナントに許可: リモートコンピュータへのシステムイベントの転送をテナントに許可します (SNMP経由)。
- テナントに「はじめに」を表示 (すべての「追加」および「同期」オプションが有効になっている場合にのみ推奨): テナントが初めてログオンしたときに、製品概要のスライドショーを自動的に表示します。スライドショーは、Vulnerability ProtectionDeep Security Manager画面の右上にある [サポート] リンクをクリックして、[はじめに] を選択することでいつでも表示できます。
- [パスワードを忘れた場合] オプションを表示: パスワードのリセット画面に進むリンクをログオン画面に表示します (この機能を使用するには、[管理]→[システム設定]→[SMTP] タブでSMTP設定を正しく指定しておく必要があります)。
- [アカウント名とユーザ名を記憶] オプションを表示: ユーザのアカウント名とユーザ名を保存してログオン画面の該当するフィールドに自動的に入力するためのオプションを表示します。
- プライマリテナントからのアクセス管理をテナントに許可: 初期設定では、プライマリテナントは、[管理]→[テナント] 画面の [テナントとしてログオン] オプションを使用してテナントのアカウントにログオンできます。[プライマリテナントからのアクセス管理をテナントに許可] オプションをオンにすると、プライマリテナントからDeep Security環境へのアクセスを許可するか禁止するかをテナントが指定できるようになります ([管理]→[システム設定]→[詳細])。このオプションをオンにした場合、テナント環境の初期設定ではプライマリテナントのアクセスが禁止されます。
プライマリテナントがテナントのアカウントにアクセスするたび、テナントのシステムイベントにアクセスが記録されます。
- 「初期設定のRelayグループ」内のRelayの使用をテナントに許可 (割り当てられていないRelay): テナントは、プライマリテナントに設定されているRelayに自動的にアクセスできます。その結果、テナントはセキュリティアップデート専用のRelayを設定する必要がなくなります。
テナントは、「共有」Relayの使用を拒否できます。拒否するには、[管理]→[システム設定] 画面の [アップデート] タブを選択し、[プライマリテナントのRelayグループを初期設定のRelayグループとして使用 (割り当てられていないRelay)] オプションの選択を解除します。この設定の選択を解除する場合は、専用のRelayを設定する必要があります。
Relayを共有する場合は、プライマリテナントがRelayを最新の状態に保つ必要があります。最新の状態に保つには、すべてのRelayに対して予約タスク「セキュリティアップデートのダウンロード」を作成し、定期的に実行します。
- 新規テナントは最新のセキュリティアップデートを自動的にダウンロード: 新しいテナントアカウントが作成されると同時に、最新のセキュリティアップデートの有無を確認してダウンロードします。
- 次のオプションをロックして非表示 (すべてのテナントがプライマリテナントに設定されているオプションを使用):
- [Agent] タブのデータプライバシーオプション: プライマリテナントにデータプライバシーの設定を許可します。この設定は、[管理]→[システム設定]→[Agent] タブの [暗号化されたトラフィック (SSL) のパケットデータの取り込みを許可] にのみ適用されます。
- [SIEM] タブのすべてのオプション (すべてのテナントが [SIEM] タブの設定をすべてのイベントタイプに使用し、SyslogはManagerを介して転送される): プライマリテナントに、全テナントのSyslogの一括設定を許可します。CEF形式ではテナント名は「
TrendMicroDsTenant」です。
- [SMTP] タブのすべてのオプション: [SMTP] タブの設定をすべてロックします。
- [ストレージ] タブのすべてのオプション: [ストレージ] タブの設定をすべてロックします。
データベースサーバ
初期設定では、すべてのテナントがVulnerability ProtectionDeep Security Managerと同じデータベースサーバ上に作成されます。スケーラビリティ向上のために、Vulnerability ProtectionDeep Security Managerではデータベースサーバを追加できます。
SQL Serverの場合、セカンダリデータベースサーバにはホスト名、ユーザ名、およびパスワードが必要です (ドメインと名前付きインスタンスはオプションです)。TCP/名前付きパイプの設定は、プライマリデータベースと同じである必要があります (TCPを推奨します)。ユーザ (Vulnerability ProtectionDeep Security Manager) は、次の権限が必要です。
- データベースの作成
- データベースの削除
- スキーマの定義
このアカウントは、データベースの作成だけでなく、作成されたデータベースに対する認証にも使用されます。
Oracleのマルチテナントでは異なるモデルが使用されます。新しいデータベース定義で、表領域にバインドされるユーザが定義されます。このユーザを使用して、Oracleにおける追加ユーザの作成が自動化されます。
マルチテナントのデータベースユーザアカウントの設定については、「マルチテナント」を参照してください。
データベースサーバ (プライマリ以外) の削除は、サーバ上にテナントが存在しない場合に可能です。
ホスト名、ユーザ名、パスワード、またはその他の情報が変わった場合は、GUIを使用してデータベースサーバ (プライマリ以外) の設定を変更できます。プライマリサーバの値を変更するには、Vulnerability ProtectionDeep Security Managerのすべてのノードをシャットダウンし、「dsm.properties」ファイルを新しい情報に編集する必要があります。
新しいテナントテンプレート
テナントテンプレート機能では、カスタマイズしたテンプレートから新しいテナントを作成できます。
作成手順は、次のとおりです。
- 新しいテナントを作成します。
- 作成したテナントでログインします。
- サンプルポリシーをカスタマイズ (追加/削除/変更) し、セキュリティアップデートのバージョンを新しいバージョンに変更します。
- プライマリテナントに戻り、テナントテンプレートウィザードを実行します。
- 作成したテナントを選択し、スナップショットを作成します。
今後作成されるテナントには、スナップショットに含まれるサンプルポリシーとルールアップデートのバージョンが含まれます。
この機能は、一部のサンプルを使用できない、または特殊なサンプルを作成する必要があるサービスプロバイダ環境で便利です。
サンプルポリシーは、テナントで使用するポリシーを作成するための開始ポイントです。テナントごとに、それぞれ固有のニーズに応じたポリシーを作成することを推奨します。
新しいテンプレートを作成しても、既存のテナントに影響はありません。
保護の使用状況の監視
Vulnerability ProtectionDeep Securityは、保護対象のコンピュータに関する情報を収集します。この情報は、[テナント] ウィジェットと [テナントの保護アクティビティ] ウィジェットのダッシュボードに表示されます。また、テナントレポートでもこの情報を確認でき、REST API経由で取得できます。
監視機能は、一般的な使用の場合、(レポートまたはAPIを使用して) 保護時間からVulnerability ProtectionDeep Security Managerの使用率を判断するのに便利です。一般に「ショーバック」または「チャージバック」と呼ばれるこの情報は、さまざまな形で使用できます。高度な使い方としては、テナントコンピュータのOSなどの特性に基づいたカスタム請求に使用できます。
これらのオプションを使用して、追加で記録するテナントコンピュータの情報を指定します。