はじめてのDeep Security運用に必要な情報まとめ

144件のシェア(ちょっぴり話題の記事)

こんにちは、臼田です。

みなさんDeep Security使っていますか?

今回は弊社でDeep Security(DSaaS)を導入させていただいた際に、どのように使ったらいいか?運用したらいいか?というご質問を頂いたので必要な情報をブログにまとめてみました。

なお、導入方法はスコープ外ですので下記などをご参照ください。

AWS 向け Deep Security Agentインストール方法まとめ

Deep Securityとは

ホスト上で動くセキュリティ製品です。ホストで必要セキュリティ機能を多数持っていていろんな役割を任せられます。

AWS上ではEC2上で動いてスケールしてくれるので、ゲートウェイ型のセキュリティ製品と比べるとクラウドに対する親和性が高いです。管理コンソールもDSaaS(Deep Security as a Service)の場合にはクラウド上にあるため管理サーバを構築/運用する必要がない点もAWS上ではプラスです。

主に活用する機能は下記のとおりです。

  • 不正プログラム対策
    • アンチマルウェア
    • リアルタイムに受信、開く、ダウンロード、コピー、編集などの処理が行われるたび、そのファイルにセキュリティ上のリスクがないかどうかが検索
  • 侵入防御
    • IDS/IPS
    • 受信/送信トラフィックを検査し不審なアクティビティを検出してブロック
    • 既知またはゼロデイの脆弱性に対する攻撃を防ぐ
  • 変更監視
    • 不審なアクティビティを示している可能性があるファイルや重要なシステム領域への変更を検出
  • セキュリティログ監視
    • システムログをキャプチャして分析
    • 多数のログエントリの中から重要なセキュリティイベントを識別するのに役立つ

他にも機能はありますが今回は対象外とします。詳細は製品ページヘルプセンター

設定と定常的な動作

弊社で導入させて頂く場合の基本の設定内容や定常的な動作を共有します。

予約タスク

Deep Securityには推奨設定とその検索という機能があり、サーバにインストールされたり実際に動いているプロセスなどに応じて侵入防御ルール、変更監視ルール、およびセキュリティログ監視ルールを検出します。

この機能により環境に合わせたルールの設定を自動的に行なってくれるため設定/運用が非常に簡単にできるところがDeep Securityのメリットの一つです。

予約タスクでは推奨設定の検索や適用を設定しています。このタスクはスケジュールされた日時に実行されるようになっており、弊社では基本毎日深夜に実行されるよう設定しています。

深夜のオペレーションが存在する場合には競合しないかご確認ください。

予約タスクは管理コンソールの「管理 -> 予約タスク」から確認できます。

詳細はDeep Security予約タスクの設定推奨設定の検索の管理と実行をご確認ください。

ポリシー設定

監視対象のホストにはエージェントがインストールされ、ポリシーが割り当てられています。

ポリシーの内容は「ポリシー」タブから、ホストにどのポリシーが割り当てられているかは「コンピュータ」タブから確認できます。

ポリシーでは各セキュリティ機能のオン/オフや設定郡が定義されています。詳細はコンピュータとその他のリソースを保護するためのポリシーの作成をご確認ください。

通知設定

Deep Securityで検知したセキュリティ上の脅威情報や管理上の問題については、Deep Securityに登録したユーザの連絡先情報で「アラートメールを受信」が設定されているユーザに通知されます。

通知先情報は管理コンソールの「管理 -> ユーザ管理 -> ユーザ」からご確認ください。詳細はユーザの作成と管理をご確認ください。

AWS連携

場合によりますがAWSアカウントと連携してEC2の情報を収集してDeep Security管理上のコンピュータと連携する機能を利用します。主にAuto Scaling環境で利用します。

インスタンスが入れ替わった場合でもエージェントが適切に動作していれば、手動でコンピュータの情報を編集することなく自動で管理できます。

連携する手法はいくつかありますが主にIAM Roleを利用します。設定についてはAWSクラウドアカウントの追加をご確認ください。

異常が起きたらどうなるか

異常が起きたら各種イベントとして記録されます。通知が飛ぶのでそれを受け取って詳細を確認することになります。

イベントの確認方法はDeep Securityのイベントをご参照ください。

イベントにはIDがあり、それをベースに起きている事象と対策を確認します。

侵入防御イベントのように該当機能のイベントページで確認してもいいですし、検索エンジンやヘルプで検索してもいいでしょう。

過検知等でルールを外したい場合

必要以上に検知が上がるルールを除外したい場合には、推奨設定の検索の管理と実行の「推奨設定の検索からルールまたはアプリケーションの種類を除外する」を参考に設定を変更してください。

まとめ

Deep Securityを運用する上で必要になりそうな情報をまとめました。

実際活用しているともっと様々な情報が必要になるかと思いますが、ヘルプセンターが非常に充実しているのでこちらで検索すればだいたいなんとかなると思います。

あとはサポートを活用しましょう!