Server & Workload Protection とエージェントは、相互にサポートされる最新バージョンのTLSを使用して通信します。
この記事のトピック:
ハートビートを設定する
注意すべてのエージェントで、ハートビート間隔と、アラートを送信する前に受信できなかったハートビート数の設定がサポートされなくなりました。
|
「ハートビート」とは、 Server & Workload Protection とエージェント間の定期的な通信です。ハートビート時に、 Server & Workload Protection は次の情報を収集します。
- ドライバのステータス (オンラインまたはオフライン)
- エージェントのステータス (時刻を含む)
- 前回のハートビート以降のエージェントログ
- カウンタをアップデートするデータ
- エージェントのセキュリティ設定のフィンガープリント (最新かどうかを判断するために使用)
ハートビートは、ベースまたは親ポリシー、サブポリシー、あるいは個々のコンピュータで設定できます。
ハートビート間の時間は10分で、アラートが生成されるまでに失敗する可能性のあるハートビートの数は2です。これら2つのプロパティは設定できません。
ハートビートは次のプロパティを設定できます。
- [非アクティブな仮想マシンに対してオフラインエラーを発令:] 仮想マシンの停止時にオフラインエラーを発生させるかどうかを設定します。
手順
- 設定するポリシーまたはコンピュータのポリシーエディタまたはコンピュータエディタを開きます。 ([コンピュータ] または [ポリシー] メニューで、表の行を選択し、 [詳細] ボタンをクリックします)。
- に移動 。
- 必要に応じてプロパティを変更します。
- [保存]をクリックします。
次に進む前に
通信方向を設定する
注意 Server & Workload Protectionでは、Agentからの通信が初期設定で有効になっているため、この設定は変更しないことを強くお勧めします。
|
注意macOSエージェントの場合、 [エージェントの開始] 通信のみがサポートされます。
|
エージェントまたは Server & Workload Protection のどちらから通信を開始するかを設定します。 「通信」には、ハートビートおよびその他すべての通信が含まれます。次のオプションを使用できます。
- [双方向:] エージェントは通常、ハートビートを開始します。また、エージェントの待機ポート番号で Server & Workload Protectionからの接続を待機します。 (「Server & Workload Protection のポート番号.) Server & Workload Protection はエージェントに接続して、必要な処理を実行できます。 Server & Workload Protection は、エージェントのセキュリティ設定に変更を適用できます。
- [Managerから開始:]Server & Workload Protection (Manager) は、 エージェントとのすべての通信を開始します。これらの通信には、セキュリティ設定のアップデート、ハートビート処理、およびイベントログの要求が含まれます。
- [エージェントの開始:] エージェントは Server & Workload Protectionからの接続を待機しません。代わりに、 Server & Workload Protection がエージェントのハートビートを待機するポート番号で Server & Workload Protection に接続します。 (「Server & Workload Protection のポート番号.)エージェントが Server & Workload ProtectionとのTCP接続を確立すると、通常の通信がすべて実行されます Server & Workload Protection はまず、エージェントにステータスとイベントを問い合わせます。 (これがハートビート処理です。)コンピュータで実行する必要がある未処理の処理がある場合 (たとえば、ポリシーの更新が必要な場合)、接続が切断される前にこれらの処理が実行されます。 Server & Workload Protection とエージェント間の通信は、ハートビートごとにのみ発生します。エージェントのセキュリティ設定が変更された場合、次のハートビートまで更新されません。 Agentからのアクティベーションを設定し、配信スクリプトを使用してAgentをアクティベートする手順については、を参照してください。 Agentからの有効化と通信を使用したAgentの有効化と保護。
手順
- 設定するポリシーまたはコンピュータのポリシーエディタまたはコンピュータエディタを開きます。
- に移動
- [Workload Security ManagerからAgent/Applianceへの通信の方向] メニューで、3 つのオプション ([Manager から開始]、[エージェント/Appliance から開始]、または [双方向]) のいずれかを選択するか、[継承] を選択します。 [継承] を選択した場合、ポリシーまたはコンピュータは親ポリシーから設定を継承します。他のオプションのいずれかを選択すると、継承された設定が上書きされます。
- [保存] をクリックして変更を適用します。
次に進む前に
Server & Workload Protection は、 Server & Workload Protection とエージェント間の通信を可能にするために、受信TCP/IPトラフィックに対してエージェントのハートビート用に待機するポート番号を開く (非表示の) ファイアウォールルール
(優先度4、バイパス) を自動的に実装します。初期設定では、任意のIPアドレスおよびMACアドレスからの接続を許可します。特定のIPアドレスまたはMACアドレス、あるいはその両方からの受信TCP/IPトラフィックのみを許可する新しい優先度4のファイアウォールルールを強制的に許可またはバイパスすることで、このポートの受信トラフィックを制限できます。設定が次の設定と一致する場合、この新しいファイアウォールルールによって非表示のファイアウォールルールが置き換えられます。
[action:] 強制的に許可またはバイパス [優先度:] 4 - 最上位 [パケットの方向:] 受信 [フレームタイプ:] IP [protocol:] TCP [パケットの送信先ポート:] エージェントが待機している、 Server & Workload Protectionからのハートビート接続用のポート番号、またはそのポート番号を含むリスト。 (「エージェントの待機ポート番号.)
これらの設定が有効な場合、非表示のルールは新しいルールに置き換えられます。次に、IPアドレスまたはMACアドレス、あるいはその両方のパケット送信元情報を入力して、コンピュータへのトラフィックを制限できます。
注意エージェントは、 Server & Workload Protection ホスト名を使用してネットワーク上の Server & Workload Protection を検索します。したがって、エージェントの --開始または双方向通信が機能するには、 Server & Workload Protection ホスト名 [しなければならない] がローカルDNSに存在する必要があります。
|
通信でサポートされる暗号化スイート
Server & Workload Protection とエージェントは、相互にサポートされる最新バージョンのTLSを使用して通信します。
エージェントでは、 Server & Workload Protectionとの通信用に次の暗号化スイートがサポートされています。 Server & Workload Protectionでサポートされている暗号化スイートについては、トレンドマイクロにお問い合わせください。
暗号化スイートは、鍵交換非対称アルゴリズム、対称データ暗号化アルゴリズム、およびハッシュ関数で構成されます。
Agentバージョン9.5の暗号化スイート
Deep Security Agent 9.5 (SP、パッチ、またはアップデートなし) では、次のTLS 1.0暗号化スイートがサポートされます。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1~9.5 SP1 Patch 3 Update 2では、以下の暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.5 SP1 Patch 3 Update 3~8では、以下の暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Agentバージョン9.6の暗号化スイート
Deep Security Agent 9.6 (SP、パッチ、またはアップデート適用なし) ~9.6 Patch 1では、以下のTLS 1.0暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 Patch 2~9.6 SP1 Patch 1 Update 4では、以下の暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Deep Security Agent 9.6 SP1 Patch 1 Update 5~21では、以下の暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
Agentバージョン10.0の暗号化スイート
Deep Security Agent 10.0のUpdate 15まででは、以下のTLS 1.2暗号化スイートがサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 10.0のUpdate 16以降のアップデートでは、以下のTLS 1.2暗号化スイートがそのままの形でサポートされています。
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
Agentバージョン11.0の暗号化スイート
Deep Security Agent 11.0 Update 4までは、次の暗号化スイートをサポートします。
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
Deep Security Agent 11.0 Update 6以降のアップデートでは、以下のTLS 1.2暗号化スイートがサポートされています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Agentバージョン12.0およびAgentバージョン20の暗号化スイート
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256