![]() |
注意この記事は、Deep Securityオンプレミスソフトウェアインストールにのみ適用される仮想マシンの保護に関するリファレンスです。
|
イベントベースタスクを使用して、保護対象のコンピュータの特定のイベントを監視し、特定の条件に基づいてタスクを実行できます。
イベントベースタスクを作成する
Deep Security Managerで、[管理]→[イベントベースタスク]→[新規]をクリックします。表示されるウィザードの手順に従って、新しいタスクを作成します。タスクの種類によって、入力を求められる情報が異なります。
既存のイベントベースタスクを編集または停止する
既存のイベントベースタスクのプロパティを変更するには、[管理]→[イベントベースタスク] をクリックします。リストからイベントベースタスクを選択し、[のプロパティ] をクリックします。
監視できるイベント
-
コンピュータの作成 (システムによる)::Active Directoryやクラウドプロバイダのアカウントとの同期中、またはVirtual Applianceを実行する管理対象ESXiサーバ上への仮想マシンの作成中における、Managerへのコンピュータの追加。
-
コンピュータの移動 (システムによる)::1台のESXi内のvApp間での仮想マシンの移動。またはデータセンター間、あるいはESXi間 (非管理対象ESXiサーバからVirtual Applianceを実行する管理対象ESXiサーバへの移動を含む) でのESXi上の仮想マシンの移動
-
Agentからのリモート有効化::Agentからのリモート有効化によるAgentの有効化。
-
IPアドレスの変更::コンピュータが別のIPの使用を開始した場合。
-
NSXセキュリティグループの変更:: このイベントは下記の状況で発生します (イベントは影響を受ける各仮想マシン側に記録されます):
-
NSX Deep Securityサービスプロファイルに間接的に関連付けられたグループに仮想マシンが追加された
-
NSX Deep Securityサービスプロファイルに関連付けられたNSXグループから仮想マシンが削除された
-
NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループに適用された
-
NSX Deep Securityサービスプロファイルに関連付けられたNSXポリシーがNSXグループから削除された
-
NSXポリシーがNSX Deep Securityサービスプロファイルに関連付けられた
-
NSXポリシーがNSX Deep Securityサービスプロファイルから削除された
-
NSX Deep Securityサービスプロファイルに関連付けられたNSXグループの名前が変更された
-
-
コンピュータの電源オン (システムによる): VMware仮想マシンの電源オンイベントによってユーザが有効化をトリガできるようにします。
![]() |
注意「コンピュータの電源オン」イベントは、VMWareのESX環境でホストされた仮想マシンでのみ使用できます。このイベントを使用する際は、同時に多数のコンピュータの電源がオンになると処理速度が低下する可能性があることに注意してください。
|
条件
タスクを実行するために特定の一致条件が満たされるように要求できます。たとえば、[コンピュータの有効化]処理を実行するには、Amazon EC2インスタンスに
ProductionSystem
のAWSタグを含める必要があります (処理、下を参照) を実行します。条件を追加する場合:
-
複数の条件を追加するには、[+]ボタンをクリックします。複数条件のセットアップでは、処理を実行するにはすべての条件を満たす必要があります。
-
Javaの正規表現構文を使用する (regex).正規表現の使い方の例を次の表に示します。正規表現の詳細については、https://docs.oracle.com/javase/6/docs/api/java/util/regex/Pattern.htmlを参照してください。
それぞれの条件と説明のリスト
-
クラウドインスタンスのイメージID: AWSクラウドインスタンスAMI ID。
注意
この一致条件は、[コンピュータ]→[追加]→[AWSアカウントを追加]を介してマネージャに追加されたAWSインスタンスでのみ使用できます。 -
[クラウドインスタンスのメタデータ::一致するメタデータは、AWS、Azure、またはGCPインスタンスに追加された AWSタグ、 Azureタグ、または GCPラベル に対応します。
注意
この一致条件は、[コンピューター]→[追加 >][AWSアカウントを追加する], [Azureアカウントを追加する]、または[GCPアカウントの追加]を介してマネージャーに追加されたAWSインスタンスおよびAzureまたはGCP VMで使用できます。コンピュータに現在関連付けられているメタデータが、エディタ画面の[概要]画面に表示されます。一致する条件を定義するには、メタデータキーとメタデータ値の2つの情報を提供する必要があります。たとえば、「[AlphaFunction]」という名前のメタデータキーの値が「[DServer]」であるコンピュータに一致させるためには、「[AlphaFunction]」および「[DServer]」を入力します (括弧は不要)。複数の候補に一致させる場合、正規表現を使用できます。この例では、「[AlphaFunction]」と「[.*サーバ]」、または「[AlphaFunction]」と「[D.*]」というように指定できます。 -
クラウドインスタンスのセキュリティグループ名: クラウドインスタンスが適用されるセキュリティグループです。
注意
この一致条件は、AWSクラウドインスタンスに対してのみ使用できます。 -
クラウドアカウント名: クラウドアカウントプロパティウィンドウの [表示名] フィールドです。
-
クラウドベンダ: インスタンスのクラウド環境ベンダー。この条件は、特定のクラウドベンダーのインスタンスを照合するために使用されます。現在、AWS、Azure、およびGCPのベンダーで一致させることができます。
注意
[クラウドベンダ]は、[コンピューター]→[追加 >][AWSアカウントを追加する]、[Azureアカウントを追加する]、または[GCPアカウントの追加]を通じてクラウドインスタンスをマネージャに追加した場合にのみ機能します。 -
コンピュータ名: コンピュータプロパティウィンドウの [ホスト名] フィールドです。
-
ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。ESXi名: 仮想マシンコンピュータをホストするESXiサーバの [ホスト名] フィールドです。
-
フォルダ名: ローカル環境でコンピュータが配置されているフォルダ名またはディレクトリ名です。
注意
この一致条件は、コンピュータの[任意]上位フォルダ (vCenterサーバと統合されている場合はルートデータセンターを含む) の名前を照合します。正規表現の先頭に「*」を追加すると、[すべて]上位フォルダの名前が条件に一致する必要があります。これは、正規表現の否定構文と組み合わせると特に便利です。たとえば、フォルダ名に「Linux」を含まないフォルダ内のコンピュータを検索するには、「*^((?!Linux).)*$
」という正規表現を使用できます。 -
GCPネットワークタグ: GCP VMに追加されたネットワークタグ。
注意
GCP VM に複数のGCP ネットワークタグがあり、そのいずれかが任意のいずれかに一致する場合、VMは一致したものと見なされます。 -
NSXセキュリティグループ名:: この条件に適合するグループは、NSX Deep SecurityサービスプロファイルのNSXポリシーに関連付けられたNSXグループのみです。仮想マシンは他のNSXグループのメンバーである可能性がありますが、この一致条件では関係ありません。
-
プラットフォーム: コンピュータのOSです。
-
vCenter名:: Deep Security Managerに追加されたコンピュータのvCenterプロパティの [名前] フィールドです。次の2つの条件は、TrueまたはFalseと一致させる条件です。
-
Appliance保護が利用可能: Deep Security Virtual Applianceが利用可能で、仮想マシンがホストされているESXi上の仮想マシンを保護できます。仮想マシンの状態が有効化済みになっているかどうかは問いません。
-
Appliance保護が有効化済み: Deep Security Virtual Applianceを使用して、有効化されている仮想マシンをホストしているESXi上の仮想マシンを保護できます。この条件では、IPリスト内のIPに一致するものが検索されます。
-
最後に使用されたIPアドレス:コンピュータの現在または最後に使用された既知のIPアドレスです。新しいコンピュータは、そのソースによって使用可能なフィールドが異なります。たとえば、Active Directoryを使用した同期の結果として追加されたコンピュータの場合、「プラットフォーム」は使用できません。
Java正規表現の例
一致させる値
|
正規表現
|
任意の文字列 (空ではない)
|
.+
|
空の文字列 (文字なし)
|
^$
|
Folder Alpha
|
Folder\ Alpha
|
FIN-1234
|
FIN-\d+ [または] FIN-.*
|
RD-ABCD
|
RD-\w+ [または] RD-.*
|
AB [または] ABC [または] ABCCCCCCCCCC
|
ABC*
|
Microsoft Windows 2003 [または] Windows XP
|
.*Windows.*
|
Red Hat 7 [または] Some_Linux123
|
.*Red.*|.*Linux.*|
|
処理
上記のどのイベントが検出されたかに応じて、次の処理が実行されます。
-
コンピュータの有効化::コンピュータでDeep Securityの保護が有効化されます。
-
有効化の遅延 (分)::指定した時間 (分) の経過後に有効化されます。
-
-
注意
イベントベースのタスクによって、Deep Security Virtual Applianceで保護されているESXiにvMotionで移動中の仮想マシンに保護が適用される場合、保留になっているVMware管理タスクを完了できるよう、有効化を遅らせます。遅らせる時間は環境ごとに異なります。
-
コンピュータの無効化::コンピュータでDeep Securityの保護が無効化されます。
-
ポリシーの割り当て::新しいコンピュータにポリシーが自動的に割り当てられます。(最初にコンピュータを有効化する必要があります)
-
Relayグループの割り当て::新しいコンピュータに、セキュリティアップデートを受信するためのRelayグループが自動的に割り当てられます。
-
コンピュータグループへの割り当て::[コンピュータ] 画面のいずれかのコンピュータグループにコンピュータが配置されます。
実行順序
イベントベースのタスクを使用する場合は、各タスクに固有の条件を作成して使用する必要があります。これは、同一の条件に遭遇した場合、 Deep Securityはそれらを特定の順序で処理するため、この順序では、タスク内の条件の数を考慮しないため、これらのタスクを相互にランク付けします。
たとえば、Windows Server 2012プラットフォーム上のserver01.example.comコンピュータで次のイベントベースのタスクが発生したとします。

条件の多いイベントベースのタスクは自動的には実行されません。代わりに、「Platform」条件は2回照合され、イベントベースのタスクはタスクの名前とデータベースの種類に基づいて実行されます。
-
PostgreSQL: 「a task」、「A task」、「b task」、「B task」
-
Oracle: 「タスク」、「Bタスク」、「aタスク」、「bタスク」(ASCIIBetical の順)
-
Microsoft SQL Server: OSのロケールによって異なります。
ただし、この順序は最初の一致では停止せず、最後に一致した時点で停止します。これは実際には、Oracleを使用している場合、上記の例では、「catch-All EBT」によってポリシーが割り当てられることになります。というのも、ASCIIBetical
orderを使用すると、「catch」の「c」が「S」の後に来ることになるからです。 「特定」
予期しない結果を回避するには、イベントベースのタスク(CamelCaseなど)に固有の命名規則を使用してください。
タスク名の順序は実際には、データベース内のテーブル「scheduledtasks」の列「name」に使用する照合スキームによって決まります。たとえば、Oracleでは、すべての列に対して初期設定の照合スキームとして照合スキーム「NLS_COMP:
BINARY」および「NLS_SORT: BINARY」が使用され、タスク名文字列はASCII順序でソートされます。
イベントベースタスクを一時的な無効にする
既存のイベントベースタスクが実行されないようにするには、このタスクを右クリックして、[無効] をクリックします。たとえば、特定の管理作業の実行時に他のアクティビティが発生しないようにするには、イベントベースタスクを一時的に無効にします。
イベントベースタスクを再び有効にするには、このタスクを右クリックして、[有効] をクリックします。