share facebook facebook twitter menu hatena pocket slack

2019.09.09 MON

【総合セキュリティ】はじめてのDeepSecurity【ホスト型】

稲田 一樹

WRITTEN BY 稲田 一樹

〜WARNING〜
この記事の書き方はなめてます。

それをご了承のうえで見てください。

〜WARNING〜

はろにちわ。どうも根腐れやろうの芋です。

自社でDeepSecurityの導入をお考えの方へ贈ります。

♪♬この度はDSを選んでくれてどうもありがとう♪♬
~♪ご使用の前にこの概要説明資料システム要件をよく読んで♪
♪ずっと正しく優しく運用してってね。♪
♫月額ものにつき時間課金は受け付けません。(マケプレ!)♪
♪ご了承ください~♪

色々書いてまどろっこしいので短く書きます。

言葉足らずだったらごめんなさい(; ・`д・´)

あと、かなりフランクな感じの斜め上スタイルで書いていきますのでご了承ください!

DSなんぞ?ってのからはじめます。

============================================================

■なんでぼくがDeepSecurity(DSちゃん)をはじめたのか

もっとも、なんでことは無く会社で使っていたから。

そんでもってサービス化してメインで扱うサービスになったのがことのことのはじまり!

 

■DSちゃんってなーに?

ざっくりいうと、総合セキュリティ製品ですお(`・ω・´)

ってもそれじゃざっくりだから機能ごとに説明するとこんな感じ

 

・不正プログラム対策機能

 →アンチウィルス機能でウィルスバスターと同じような機能だお。

  I/Oベースでも検査できるし、タスクでフルスキャンとかいろいろできる。

  設定に監視は割と融通が利くほうかなって思ふ。

  ただし、ファイルを検査して検査完了のログをトリガーに

  その後の処理を実行させるってことは通常の使い方ではムリポ。(‘Д’)

  余談で、デバッグモードで動かしてデバッグログを無理くり使って

  実装するなんてこともできなくもないけども・・・負荷的にもおすすめしない。

 

・WEBレピュテーション機能

 →危ないサイトへのアクセスをフィルタリングする機能だお。

  厳密には、リクエストは送られるけどトレンドのあぶねーサイト一覧的なものを

  管理してるとこに問い合わせして一覧になきゃリクエスト先のサーバから

  戻ってきた通信を受け入れる機能だお!

  

  サーバ側で期待する部分は、C&Cサーバへのアクセスを防げる可能性がある。

  業務用サーバでアングラなエッチなサイトにアクセスしちゃダメだぞっ!

  ちなみに現状、HTTPSについてはチェックできないから

  もはや、存在意義が疑われる。何とかしてくれー。

 

・ファイヤーウォール機能

 →一般的なファイヤーウォールですお。スレートレスでもステートフルでもできるお。

 そんなDSちゃんに僕は💕 
 

 ちなみにどんな風にイベントがでるかどうか検証したい場合は、

 設定からタップモードにするといいんご。

 ただし、後述の侵入防御機能もタップモードで動いちゃうから、

 防御モードにしてても実質検出モードになっちゃうから覚えてほしいお。

 

・侵入防御機能

 →IPS/IDSですお。DSちゃん上だと一般的な呼び方と変わるから要チェックだぞ!

 防御モード(IPS)

 検出モード(IDS)

 侵入防御機能を防御モードについては、若干ややこしくて、

 適用しているルール毎で設定されている動作モードに従うモード

 考えておくといいお。

 

 侵入防御機能を検出モードにすると

 適用している全てのルールが強制的に検出モードになるんご。

 私がチューニングするときはまずはこのモードにしてから、

 正常な通信を阻害しない形ではじめてます。

 

 ちなみにチューニングするときは、本運用始まってからのほうが楽。

 もし、想定されるすべてのリクエストを再現させることができる自信があるなら、

 本運用開始前に再現させてチューニングするといいけど、

 まあ現実的じゃないでしょうね。(;´Д`)

 

・変更監視機能

→ファイルやフォルダの属性を監視する機能だお。レジストリも監視できるお。

 よく勘違いする人いるので覚えてほしいんだけど、

 ファイルのデータ内容まで監視できないんごよ。

 例えば、oimo.htmlが改ざんされたらどこのソースが改ざんされたのかまでは見れないんご。(´・ω・`)

 ファイルの最終更新日やハッシュなどをベースラインを取って比較して、

 変わってれば検知するっていう動きをします(`・ω・´)

 

・セキュリティログ監視機能

→指定のsyslogを監視することができるお。

 ポピュラーなもので、ログインに失敗したことを検知することができるのがこの機能だお。(`・ω・´)

 

・アプリケーションコントロール

→正直、使ったことないから知識程度だけども、

 意図しないソフトウェアの起動を監視したり起動を防ぐことができるみたいんご。

 
 
 
2019年8月現在では、以上がDSちゃんが備えて機能なんだお!(^ω^)おっおっおっ

 
 
質問とかあったらどんどん送ってください~。

正直、セキュリティについては100% の正解ってないと思ってますので、

こうしたほうがいい、俺はこうしてるっていうのがあればご意見ください。

 

ざっくりとDSの機能について解説してみました。

ではサラバダー (`・ω・´)ノシノシ

元記事はこちら

【総合セキュリティ】はじめてのDeepSecurity【ホスト型】

稲田 一樹

稲田 一樹

AWSやlinux初心者向けのブログを更新してます。中の人は、美味しいもの好きなので美味いものあったら教えてください!

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。