2017年2月1日水曜日

【間違った方法】 エージェントレス型 DeepSecurity での基本的な操作について

概要

これまでに DeepSecurity の構築方法を 3 回に渡り紹介してきました
今回はようやく機能が試せるようになったので、DeepSecurity Manager を使った機能の使い方について紹介したいと思います

環境

仮想環境

  • Nested ESXi 6.0.0
  • vCenter Server Appliance 6.0
  • NSX Manager 6.2.2 Build 3604087

DeepSecurity 環境

  • Microsoft SQL Server 2016
  • DeepSecurity Manager 9.6.4072
  • DeepSecurity Virtual Appliance 9.5.2.2022
  • Ubuntu 16.04 64bit
  • DeepSecurity Agent 9.6.2.7690

ポリシーの作成

VM に対して各セキュリティの機能の有効にするにはポリシーなるものを作成します
「ポリシー」タブから新規で新規ポリシーを選択します
deepsecurity_basic_training1.png

ポリシーの名前とポリシーの継承元を選択します
名前は適当で OK です
ポリシーは親子関係が持てるようですが、今回は継承なしにします
deepsecurity_basic_training2.png

ベースポリシーとして選択できますがこちらも「いいえ」を選択します
deepsecurity_basic_training3.png

これでポリシーが作成されました
そのまま OK するとポリシーの詳細設定が開きます
deepsecurity_basic_training4.png

ここで下の方にある「モジュール」で各セキュリティ機能を ON/OFF することができます
とりあえず全部オンにしておきましょう
実は全部オンにしてもエージェントレス構成だとそもそも使えない機能があるので、そういった機能はここでオンにしても使えません
deepsecurity_basic_training5.png

ポリシーの割当

作成したポリシーを VM に設定してみましょう
なんでも良いの事前に VM を準備しておいてください、今回は Windows を使います

コンピュータタブでポリシーを適用するサーバを選択しダブルクリックします
deepsecurity_basic_training6.png

するとコンピュータの詳細画面が表示されるのでここで「ポリシー」欄で先程作成したポリシーを選択します
選択したら保存しましょう
deepsecurity_basic_training7.png

これで VM へのポリシー適用が完了します

監視を有効化する

あとは監視を有効化するだけです
デフォルトでは監視はオフ状態になっているためポリシーを変更しても機能は有効になりません

有効にする方法は対象の VM を右クリックし処理から「有効化/最有効化」を選択します
deepsecurity_basic_training8.png

これでステータスが変わるので待ちます
最終的に「管理対象」という緑のステータスになれば OK です
deepsecurity_basic_training9.png

おそらくこれが DeepSecurity の各種機能を有効化する基本の手順となります
おそらくという表現を使っているのはいろいろ調べても正解が見つからなかったので自分で模索したためです
で、たぶんこの操作は API を使ってもできるはずです
API については別途どこかで紹介したいと思います

試しに不正プログラム対策を使ってみる

試しに不正プログラム対策という機能を使ってみます
まずはポリシーの「不正プログラム対策」を設定します

不正プログラム対策を ON にする

デフォルトでは設定自体はオンになっているのですが、機能自体が使えるようにはなっていません
なので、ポリシーを変更して機能を設定する必要があります

VM に割り当てているポリシーの詳細を開きます
リアルタイム検索の欄があるのでチェックボックスを外して不正プログラム検索設定のプルダウンから「Default Real-Time Scan Configuration」を選択します
そしてその下のスケジュールで「Every Day All Day」を選択します
deepsecurity_basic_training10.png

ポリシーの設定が VM に反映されると機能の一覧で不正プログラム対策が「オン、リアルタイム」という表示に変わっています
deepsecurity_basic_training11.png

Windows に eicar をインストールして挙動を確認してみる

この状態になった Windows 上で eicar という不正プログラムのテスト用ファイルをダウンロードしてみましょう
対象を右クリックしてファイルを保存してみてください
Deep Security Notirier がインストールされている場合は以下のように警告が出ると思います
インストールしていない場合でも実際にはファイルがダウンロードされていないことが確認できると思います

と思ったんですが、どうやらファイルを全然削除してくれません
ここであとから気づいたのですがこの方法自体が間違っており NSX から DeepSecurity 用のポリシーを作成する必要がありました
だから、タイトルにも間違った方法と書いてあります
なので、NSX Manager を使った正しい機能の連携方法を別途紹介したいと思います

最後に

エージェントレスな DeepSecurity 環境でポリシーを作成して各機能を有効化する方法を紹介しました
が、結果的に間違っていることがわかり正しい方法があるということに気が付きました
せっかく書いたので公開しました
間違った方法を紹介しても仕方ないのですが、同じ境遇にあった人がいたときに「これは違うのか」と気づいてもらえるかなと思い公開しました

別途正しい手順を公開しようと思うのでお待ちください

参考サイト

0 件のコメント:

コメントを投稿