Deep Security Managerとエージェントは、相互にサポートされている最新バージョンのTLSを使用して通信します。
この記事のトピック:
ハートビートを構成する
ハートビートは、Deep Security ManagerとDeep Security Agent間の定期的な通信です。ハートビート中に、マネージャは次の情報を収集します:
-
ドライバのステータス (オンラインまたはオフライン)
-
エージェントのステータス (クロック時間を含む)
-
最後のハートビート以降のエージェントのログ
-
カウンタをアップデートするデータ
-
agentのセキュリティ設定のフィンガープリント (設定が最新のものかどうか判断するために使用)
ハートビートは、ベースまたは親ポリシー、サブポリシー、あるいは個々のコンピュータのレベルで設定できます。
ハートビートは次のプロパティを設定できます。
-
[ハートビート間隔::心拍の間に経過する時間。
-
[次の数を超えるハートビートが失われた場合にアラートを発令:: 連続してハートビートが見逃された回数がアラートをトリガーします。例えば、値が3の場合、4回目のハートビートが見逃された時にマネージャがアラートをトリガーします。コンピュータがサーバである場合、連続して多くのハートビートが失われると、エージェント、またはコンピュータ自体に問題がある可能性があります。ただし、コンピュータがラップトップや接続の持続的な損失が発生しやすい他のシステムである場合、このオプションは無制限に設定する必要があります。
-
[ハートビート間でコンピュータのローカルシステム時間が次の時間を超えて変更された場合にアラートを発令::Windowsでは、システムクロックの変更を検出できるエージェントの場合、これらのイベントはエージェントイベント5004としてマネージャに報告されます。変更がここに記載されているクロック変更を超える場合、アラートがトリガーされます。この機能をサポートしていないエージェントの場合、マネージャは各ハートビート操作でエージェントによって報告されたシステム時間を監視し、この設定で指定された許容変更を超える変更を検出した場合にアラートをトリガーします。[Computer-Clock-Changed]アラートがトリガされたら、アラートを手動で消去する必要があります。
-
[非アクティブな仮想マシンに対してオフラインエラーを発令::仮想マシンが停止した場合にオフラインエラーを発生させるかどうかを定義します。
構成を実行するには:
-
[ポリシーエディタ]または[コンピュータエディタ]を開いて、ポリシーまたはコンピュータを設定します。
-
[設定]→[一般]→[ハートビート]に移動します。
-
必要に応じてプロパティを変更します。
-
[保存]をクリックします。
通信方向を設定する
![]() |
注意双方向通信は、初期設定で有効になっています。
|
通信を開始するアーティファクトを定義できます。このアーティファクトはエージェント、またはマネージャである可能性があります。通信にはハートビートおよびその他すべての通信が含まれます。次のオプションが利用可能です:
-
双方向: 通常、エージェントはハートビートを開始し、Deep Security Managerからの接続をエージェントのリスニングポート番号で待ち受けます (Deep Securityポート番号を参照)。マネージャはエージェントに連絡して必要な操作を実行できます。マネージャはエージェントのセキュリティ構成に変更を適用できます。
注意
Deep Security Virtual Applianceは双方向モードでのみ動作します。Virtual Applianceの設定を他のモードに変更すると、機能が中断します。 -
[Managerから開始: マネージャはエージェントとのすべての通信を開始します。これらの通信には、セキュリティ設定の更新、ハートビート操作、およびイベントログの要求が含まれます。このオプションを選択した場合、既知のDeep Securityマネージャからの接続のみを受け入れるようにDeep Security Agentを保護することを強くお勧めします。
-
Agentから開始: エージェントはマネージャからの接続を待機しません。代わりに、エージェントはマネージャがエージェントのハートビートをリッスンするポート番号に接続します (Deep Securityポート番号を参照)。エージェントがマネージャとのTCP接続を確立すると、すべての通常の通信が行われます。マネージャは最初にエージェントのステータスとイベントを確認します。これがハートビート操作です。コンピュータで実行する必要がある操作 (例えば、ポリシーの更新) がある場合、接続が切断される前にこれらの操作が実行されます。マネージャとエージェントの通信は、すべてのハートビートでのみ行われます。エージェントのセキュリティ構成が変更された場合、それは次のハートビートまで更新されません。
注意
Agentからのリモート有効化を設定し、インストールスクリプトを使用してAgentを有効化する方法については、Agentからのリモート有効化およびAgentからの通信を使用してAgentを有効化して保護するを参照してください。
マネージャとエージェント間の通信を有効にするために、マネージャはエージェントのハートビート用リスニングポート番号を受信TCP/IPトラフィックに対して開く隠しファイアウォールルール
(優先度4、バイパス) を自動的に実装します。デフォルトでは、任意のIPアドレスおよび任意のMACアドレスからの接続試行を受け入れます。このポートへの受信トラフィックを制限するには、特定のIPまたはMACアドレス、またはその両方からの受信TCP/IPトラフィックのみを許可する新しい優先度4の強制許可またはバイパスファイアウォールルールを作成します。この新しいファイアウォールルールは、設定が次の設定と一致する場合、隠しファイアウォールルールに取って代わります:
-
処理: 強制許可またはバイパス
-
優先度: 4 - 最高
-
パケットの方向: 受信
-
フレームの種類: IP
-
プロトコル: TCP
-
パケットの宛先ポート: マネージャからのハートビート接続のためのエージェントのリスニングポート番号、またはポート番号を含むリスト (エージェントのリスニングポート番号を参照)
構成を実行するには:
-
[ポリシーエディタ]または[コンピュータエディタを開いて、ポリシーまたはコンピュータを設定します。
-
[設定]→[一般]→[通信方向] に移動します。
-
[Deep Security ManagerとAgent/Applianceの通信方向] メニューで、[Managerから開始]、[Agent/Applianceから開始]、[双方向] の3つのオプションのいずれかを選択するか、[継承] を選択します。[継承] を選択すると、ポリシーまたはコンピュータは親ポリシーから設定を継承します。他のオプションのいずれかを選択すると、[継承] の設定がオーバーライドされます。
-
[保存]をクリックしてください。
エージェントは、マネージャのホスト名によってネットワーク上のDeep Security Managerを探します。そのため、エージェントが開始する通信や双方向通信が機能するには、マネージャのホスト名がローカルDNSに登録されている必要があります。
AgentとManagerの通信でサポートされている暗号化スイート
Deep Security Managerとエージェントは、相互にサポートされている最新バージョンのTLSを使用して通信します。
Deep Security Agentは、マネージャとの通信に以下の暗号スイートをサポートしています。
Deep Security Managerでサポートされている暗号スイートの詳細については、トレンドマイクロにお問い合わせください。
暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。
Deep Security Agent 9.6の暗号化スイート
Deep Security Agent 9.6は以下のTLS 1.0暗号スイートをサポートしています:
-
TLS_RSA_WITH_AES_256_CBC_SHA
-
TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 10.0の暗号化スイート
Deep Security Agent 10.0は、次のTLS 1.2暗号スイートを標準でサポートしています:
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 10.0 Update 16以降では、強力な暗号スイートが有効になっている場合、次のTLS 1.2暗号スイートのみがサポートされます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 11.0、12.0、および20の暗号化スイート
Deep Security Agent 11.0以降は、次のTLS 1.2暗号スイートをサポートしています:
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
FIPSモードでは、次のTLS 1.2スイートがサポートされています:
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256