インターネットにアクセスできないAgentを設定する

ビュー:

エージェントまたはリレーがインターネットにアクセスできない場合 (エアギャップエージェント)、トレンドマイクロSmart Protection Networkが提供する一部のセキュリティサービスにアクセスできません。これらのセキュリティサービスは、Deep Security不正プログラム対策およびWebレピュテーションモジュールの完全かつ正常な動作に必要です。

トレンドマイクロSmart Protection Networkセキュリティサービスには、次のものが含まれます:

サービス名	対象機能
スマートスキャンサービス	スマートスキャン
Web Reputation Service	Webレピュテーション
Global Censusサービス	挙動監視, 機械学習型検索
Good File Reputationサービス	挙動監視、機械学習型検索、プロセスメモリスキャン
機械学習型検索サービス	機械学習型検索

これらのサービスに加えて、エージェントおよびRelay有効化済みAgentは、Smart Protection Networkの一部ではないが、トレンドマイクロによってホストされ、インターネット経由でアクセスされるコンポーネントであるトレンドマイクロUpdateサーバ (Active Updateとも呼ばれる) へのアクセスが必要です。

エージェントまたはRelay対応エージェントのいずれかがこれらのサービスに到達できない場合、いくつかの解決策があります。

解決策

ソリューション1: プロキシを使用する
解決策2:Smart Protection Serverをローカルにインストールする
解決策3: 隔離されたネットワークでアップデートを取得する
解決策4:トレンドマイクロのセキュリティサービスを使用する機能を無効にする

プロキシを使用する

エージェントまたはRelay対応エージェントがインターネットに接続できない場合、接続可能なプロキシをインストールできます。Deep Security AgentとRelayはプロキシに接続し、そのプロキシがSmart Protection Network内のトレンドマイクロのセキュリティサービスに外部接続します。

プロキシを使用すると、各スマートスキャンまたはWebレピュテーションの要求がインターネット経由でSmart Protection Networkに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの背後に配置されたAgentの接続を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントおよびRelay対応エージェントがインターネットに接続できない場合、エージェントおよびRelay対応エージェントが接続できるローカルエリアネットワーク (LAN) にSmart Protection Serverをインストールできます。ローカルのSmart Protection Serverは、インターネット経由で定期的に外部のSmart Protection Networkに接続し、最新のスマートスキャン不正プログラム対策パターンおよびWebレピュテーション情報を取得します。この情報はSmart Protection Serverにキャッシュされ、エージェントおよびRelay対応エージェントによってクエリされます。Smart Protection ServerはエージェントまたはRelay対応エージェントに更新をプッシュしません。

このソリューションを使用することを決定した場合、次の点に注意してください:

機能は制限されています。ローカルSmart Protection Serverでサポートされるのは、スマートスキャンモジュールとWebレピュテーションモジュールのみです。
これらの機能が必要な場合は、プロキシソリューションを使用してください: 挙動監視、機械学習型検索、およびプロセスメモリスキャン。詳細については、プロキシの使用を参照してください。これらの機能を使用しない場合は、クエリの失敗を防ぎ、パフォーマンスを向上させるために無効にする必要があります。手順については、トレンドマイクロのセキュリティサービスを使用する機能を無効にするを参照してください

Smart Protection Server をデプロイするには、手動でインストールしてください。詳細については、Smart Protection Server ドキュメントを参照してください。

このシナリオは、エージェントとRelay有効化済みAgentのみがエアギャップされているが、Deep Security Managerがインターネットアクセスまたはプロキシアクセスを持っている場合に適用されます。詳細はポート番号、URL、およびIPアドレスを参照してください。Deep Security Managerもエアギャップされている場合、トレンドマイクロActive Update Serverからセキュリティアップデートを受信するためにプロキシを使用する必要があります。あるいは、隔離されたネットワークでの更新取得のソリューション3を使用してください。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない孤立したネットワークにあり、AgentまたはRelay有効化済みAgentがインターネットに接続できない場合、インターネットアクセスが可能な非武装地帯 (DMZ)または別のエリアにデータベースとRelay有効化済みAgentを備えた追加のスタンドアロンDeep Security Managerをインストールできます。

すべてのコンポーネントがインストールされたら、DMZ内のRelay有効化済みAgentを構成して、インターネット上のUpdateサーバから最新の不正プログラム検索の更新を自動的に取得できるようにします。これらの更新は.zipファイルに抽出され、その後、手動でエアギャップされたRelayにコピーする必要があります。

このソリューションを使用することを決定した場合、次の点に注意してください:

.zipファイルには、基本的な不正プログラム対策機能を提供する従来の (大規模な) 不正プログラムパターンが含まれています。
.zipファイルには、侵入防御、変更監視、およびセキュリティログ監視に使用されるDeep Securityルール更新も含まれています。これらの更新を個別に取得することもできます。隔離されたネットワークでルール更新を取得するを参照してください。
次の高度な不正プログラム対策機能は利用できません: スマートスキャン、挙動監視、機械学習型検索、プロセスメモリスキャン、およびWebレピュテーション。これらの機能を利用するには、トレンドマイクロのセキュリティサービスへのアクセスが必要です。
高度な不正プログラム対策機能を無効にする必要があります。これらの機能は使用できないためです。
エアギャップされたRelay上の.zipファイルを定期的に更新する計画を立て、常に最新の不正プログラムパターンを保持するようにしてください。

このソリューションを配信するには、次の手順を実行します。

DMZにDeep Security Managerとその関連データベースをインストールします。これらのインターネットに面したコンポーネントは、DMZマネージャおよびDMZデータベースと呼ばれます。
DMZにエージェントをインストールし、Relayとして構成します。このエージェントはDMZ Relayと呼ばれます。Relayの設定に関する情報は、Relayを使用してセキュリティおよびソフトウェアの更新を配布するを参照してください。次のものがインストールされました:
- DMZマネージャ
- DMZデータベース
- DMZ Relay
- エアギャップManager
- エアギャップデータベース
- エアギャップRelay
- 複数のエアギャップAgent
DMZ Relayで、このコマンドを実行して最新の不正プログラムパターンを含む.zipファイルを作成します:

dsa_control -b

コマンドラインの出力に、生成された.zipファイルの名前と場所が表示されます。
.zipファイルをエアギャップされたRelayにコピーします。ファイルをRelayのインストールディレクトリに配置してください。
- Windowsの場合、初期設定のディレクトリはC:\Program Files\Trend Micro\Deep Security Agentです。
- Linuxの場合、デフォルトディレクトリは/opt/ds_agentです。
.zipファイルの名前は変更しないでください。
エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
1. 上部の[コンピュータ]をクリックします。
2. コンピュータのリストで、.zipファイルをコピーしたエアギャップRelayを見つけ、右クリックして[セキュリティアップデートのダウンロード]を選択します。エアギャップRelayは、設定された更新ソース (通常はインターネット上の更新サーバ) をチェックします。このサーバに接続できないため、インストールディレクトリ内の.zipファイルをチェックします。.zipファイルが見つかると、それを解凍して更新をインポートします。更新は、Relayに接続するように設定されたエアギャップエージェントに配信されます。
3. 更新がエアギャップRelayにインポートされた後、.zipファイルを削除してください。
空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します (接続エラーのアラートを防ぐために):
1. エアギャップManagerにログインします。
2. [管理] を上部でクリックします。
3. 左側で[システム設定]をクリックします。
4. メインペインで、[アップデート]タブを選択します。
5. [セキュリティアップデート元]の下で[その他のアップデート元]を選択し、https://localhost:[port]を入力します。[port]はセキュリティ更新のために設定されたポート番号で、デフォルトでは4122です。
6. [OK] をクリックします。エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
オプションとして、パフォーマンスを向上させるために、トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。
定期的に、DMZ Relayの最新の更新プログラムをダウンロードし、それらを圧縮して、エアギャップされたRelayにコピーし、Relayでセキュリティ更新プログラムのダウンロードを開始します。

これで、 Deep Security Manager、関連するデータベース、およびリレーがDMZに配置され、不正プログラム検索アップデートを取得できます。

このソリューションをアップグレードするには、次の順序でアップグレードを実行してください:

DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
DMZ Relay
エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
エアギャップRelay
エアギャップAgent

警告

リレーを最初にアップグレードしないと、セキュリティコンポーネントのアップグレードやソフトウェアのアップグレードが失敗する可能性があります。

アップグレードの詳細については、Deep Security Relayのアップグレード、およびDeep Security Agentのアップグレードを参照してください。

隔離されたネットワークでルールのアップデートを取得する

作成した.zipファイルには、侵入防御、変更監視、およびセキュリティログ監視に使用されるDeep Securityルール更新が含まれています。ただし、それらの更新を個別に取得したい場合は:

DMZマネージャで、[管理]→[アップデート]→[セキュリティ]→[ルール]に移動します。
ルール更新.dsruファイルをクリックし、[エクスポート]をクリックします。ファイルがローカルにダウンロードされます。
エアギャップマネージャに適用したい各.dsruファイルについてエクスポートを繰り返してください。
.dsruファイルをエアギャップマネージャにコピーしてください。
エアギャップマネージャで、[管理]→[アップデート]→[セキュリティ]→[ルール]に移動します。
[インポート]をクリックし、.dsruファイルを選択して、[次へ]をクリックします。
マネージャがファイルを検証し、含まれているルールの概要を表示します。[次へ]をクリックします。

ルールの更新が正常にインポートされたことを示すメッセージが表示されます。
[閉じる] をクリックします。
エアギャップマネージャに適用したい各.dsruファイルのインポートを繰り返してください。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。これにより、エアギャップエージェントがサービスを照会しようとしなくなるため、パフォーマンスが向上します。

注意

トレンドマイクロのセキュリティサービスがないと、不正プログラムの検出レベルが大幅に低下し、ランサムウェアがまったく検出されず、プロセスメモリの検索も影響を受けます。したがって、トレンドマイクロのセキュリティサービスへのアクセスを許可するには、他のソリューションの1つを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

スマートスキャンを無効にするには、次の手順に従います。
1. [コンピュータエディタとポリシーエディタ]を開く。
2. 左側で[不正プログラム対策]をクリックします。
3. メイン画面で、[Smart Protection]をクリックします。
4. [スマートスキャン]の下で、[継承](選択されている場合) を選択解除し、[オフ]を選択します。
5. [保存] をクリックします。
Webレピュテーションを無効にするには:
1. [コンピュータエディタとポリシーエディタ]を開いてください。
2. 左側で[Webレピュテーション]をクリックします。
3. メイン画面で [一般] タブが選択されていることを確認します。
4. [設定] リストから [オフ] を選択します。
5. [保存] をクリックします。
スマートフィードバックを無効にするには、次の手順に従います。
1. Deep Security Managerで、上部にある[管理]をクリックします。
2. 左側の[システム設定]をクリックします。
3. メインペインで、[スマートフィードバック]タブを選択します。
4. [トレンドマイクロスマートフィードバックを有効にする (推奨)]を選択解除します。
5. [保存] をクリックします。
プロセスメモリスキャンを無効にするには:
1. Deep Security Managerで、上部にある[ポリシー]をクリックします。
2. 左側で[共通オブジェクト]→[その他]を展開し、[不正プログラム検索設定]をクリックします。
3. [リアルタイム]の[SCAN TYPE]を持つ不正プログラム検索設定をダブルクリックします。
4. [一般]タブで、[プロセスメモリ検索]の下にある[プロセスメモリ内の不正プログラムを検索する]の選択を解除します。
5. [OK] をクリックします。
機械学習型検索を無効にするには:
1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
2. [一般]タブの[機械学習型検索]の下で、[機械学習型検索を有効にする]の選択を解除します
3. [OK] をクリックします。
挙動監視を無効にするには:
1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
2. [一般]タブの[挙動監視]の下で、[挙動監視を有効にする]の選択を解除します。
3. [OK] をクリックします。

パフォーマンスを向上させるために、Deep Security Managerでセンサスおよびグリッド (Goodファイルレピュテーション) クエリを無効にすることができます。それらを有効のままにしておくと、かなりの量の不要なバックグラウンド処理が行われます。

コマンドラインを使用してセンサスクエリを無効にするには、次のコマンドを実行します:

dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false
UIからセンサスクエリを無効にするには:
1. [コンピュータ]→[設定]→[一般]→[Census、Good File Reputation、機械学習型検索サービス向けのネットワーク設定] に移動します。
2. [Censusクエリを有効にします]については、[いいえ]を選択してください。

コマンドラインを使用してグリッドクエリを無効にするには、次のコマンドを実行します:

dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false
UIからグリッドクエリを無効にするには:
1. [コンピュータ]→[設定]→[一般]→[Census、Good File Reputation、機械学習型検索サービス向けのネットワーク設定] に移動します。
2. [Good file reputationクエリを有効にします]には[いいえ]を選択します。