Azure仮想マシン (VM) をDeep Security Manager VM for Azure Marketplaceで保護し始めるには、基本的な手順は次のとおりです。
既存のDeep Security Manager VMをAzure Marketplace用にアップグレードする場合は、Azure Marketplace用Deep Security Manager VMのアップグレードを参照してください

Buy Deep Security from the Azure Marketplace

Azure MarketplaceでDeep Security Manager (BYOL) としてDeep Securityを購入できます。
注意
注意
Deep Security Manager (BYOL) を購入するには、すでにDeep Securityのライセンスを取得している必要があります。ライセンスが必要な場合は、azure@trendmicro.comに連絡して取得してください。
  1. Azureポータルにログインし、[All Services]→[General]→ Marketplace] をクリックします。
  2. Deep Security Manager (BYOL)を検索してください。
  3. 検索結果で、[Deep Security Manager (BYOL)]をクリックします。
  4. 提供された情報を確認し、[作成]をクリックしてください。
  5. Deep Security Managerの作成手順に従って、Deep Security仮想マシンを作成します。
    1. [Basics] ブレードで、Deep Security Manager VMの名前を指定し、その他の全般的な設定を行って、[OK] をクリックします。
      • このブレードで指定する資格情報は、Deep Security Manager VMにログオンする際に使用します。
      • 選択した認証の種類によっては、強力なパスワードまたはSSH公開鍵を入力する必要があります。
      • [Resource group]に名前を入力して新しいリソースグループを作成します。
        注意
        注意
        Azureでは、既存のリソースグループにDeep Security Manager VMをデプロイすることはできません。新しいリソースグループを作成する必要があります。
      • [場所]リストからAzureリージョンを選択してください。
    2. [Deep Security Manager VM] ブレードで、VMのサイズを選択し、Deep Security ManagerのURLとポート番号を設定して、[OK] をクリックします。
      • [Deep Security Manager URL]に入力するDNS名をazurevmdemo01のように使用します。
      • ポート番号を入力して、[Deep Security Manager console port]がDeep Security Managerにアクセスしてログインできるようにします。例えば、https://azurevmdemo01.eastus.cloudapp.azure.com:443です。
      • Deep Security AgentがDeep Security Managerと通信するために使用するハートビートポート番号を入力してください。
    3. [Database Settings] ブレードで、新しいデータベースを作成するか、既存のデータベースの名前を入力して、[OK] をクリックします。
      • 新しいデータベースを作成する場合、[Database Hostname]に何も入力しないでください。ただし、[Use Existing]をクリックする場合は、データベースのホスト名が必要です。
      • [SQL databases] ブレードでデータベースのプロパティを表示すると ([Settings blade]→[Properties blade]→[Server name])、既存のAzure SQLデータベースの名前を確認できます。
    4. [Deep Security Credentials] ブレードで、Deep Security Managerへのログオンに使用する管理者アカウントの名前を入力し、そのアカウントのパスワードを入力して確認し、[OK] をクリックします。
    5. [Network Settings] ブレードで、矢印をクリックしてDeep Security Manager VMの新しい仮想ネットワークとサブネットの設定を確認し、[OK] を2回クリックします。
    6. [Summary] ブレードで情報を確認し、「Validation passed」と上部に表示されていたら、[OK] をクリックして仮想マシンの作成を終了します。
      検証が成功しました
    7. 購入ブレードで[Terms of use][privacy policy][Azure Marketplace Terms]をクリックして確認し、[作成]をクリックします。
    新しい仮想マシンが稼働するまでには約30~40分かかります。
  6. インストールが完了したら、ブラウザを開いて次のアドレスにアクセスします。
    https://<DNS名>:8443
    DNS名は、Deep Security Managerブレードで指定した名前です (例: azurevmdemo01.eastus.cloudapp.azure.com)。Deep Security仮想マシンのDNS名を表示するには、[Public IP address]ブレードで仮想マシンを選択し、[概要]をクリックします。[DNS name]フィールドに表示されます。
  7. 仮想マシンのサブスクリプションIDを入力し、[サインイン]をクリックしてください。
    インストールが成功すると、Deep Security Managerにリダイレクトされます。インストールが失敗した場合は、エラーメッセージが表示されます。この場合は、[Deep Security Managerを再インストール]をクリックして、インストールを再度実行しながらすべての設定を確認してください。

DSM仮想マシンのインバウンドSSHポートを許可する

  1. Deep Security Managerがデプロイされたリソースグループに移動します。
  2. [ネットワークセキュリティグループ]の種類を選択してください。
  3. 左側のナビゲーションペインから[Inbound security rules]を選択します。
  4. [+ Add]→[Add inbound security rules]を選択してください。
  5. ドロップダウンから[送信元]を選択してください。
  6. 必要に応じて[Source IP addresses]または[CIDR ranges]を入力してください。
    CIDR表記 (例: 192.168.99.0/24 または 2001:1234::/64) を使用してアドレス範囲を指定するか、IPアドレス (例: 192.168.99.0 または 2001:1234::) を指定してください。また、IPv4またはIPv6を使用して、IPアドレスまたはアドレス範囲のカンマ区切りリストを指定することもできます。
  7. [Source port range]を入力してください。
    単一のポート (例: 80)、ポート範囲 (例: 1024-65535)、または単一のポートおよび/またはポート範囲のカンマ区切りリスト (例: 80,1024-65535) を指定します。これにより、このルールによってトラフィックが許可または拒否されるポートが指定されます。任意のポートでトラフィックを許可するには、アスタリスクを使用します。
  8. [送信先]ドロップダウンを使用して、必要に応じて宛先を制限します。デフォルトのAnyを使用することをお勧めします。
  9. [サービス] ドロップダウンで、SSHを選択します。
  10. [Destination port ranges]を入力してください。
    単一のポート (例: 80)、ポート範囲 (例: 1024-65535)、または単一のポートおよび/またはポート範囲のカンマ区切りリスト (例: 80,1024-65535) を指定します。これにより、このルールによってトラフィックが許可または拒否されるポートが指定されます。任意のポートでトラフィックを許可するには、アスタリスクを使用します。
  11. ルールの[優先度]または[名前]を変更できます。(任意)
  12. ルールの[説明]を追加します。(任意)
  13. ルールを作成するには[追加]を選択します。
 

Deep SecurityへのMicrosoft Azureアカウントの追加

Deep Security Managerをインストールしたら、Microsoft AzureアカウントをDeep Security Managerに接続してMicrosoft Azure仮想マシンを追加および保護できます。手順については、Microsoft AzureアカウントをDeep Securityに追加するを参照してください。

ポリシーを作成する

Microsoft Azure仮想マシンをDeep Securityに追加した後、Deep Securityがそれらを保護する方法を指定するポリシーを作成する必要があります。
ポリシーは次の2つの方法で作成できます。
  • Deep Securityに含まれるサーバポリシーの1つをコピーし、必要に応じて変更します。
  • ベースポリシーを使用して、独自のポリシーを一から作成します。
ポリシーの作成方法の詳細については、ポリシーの作成または特定のコンピュータの設定変更を参照してください。
Deep Securityでポリシーがどのように機能するかについての詳細は、ポリシー、継承、およびオーバーライドを参照してください。

Deep Security Agentを配信する

Microsoft Azure仮想マシンをDeep Securityで保護し始めるには、Deep Security Agentをそれらに展開する必要があります。これを行う方法はいくつかあります。詳細については、Azure VMにエージェントをインストールするを参照してください。