share facebook facebook2 twitter menu hatena pocket slack

2014.08.18 MON

Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)

吉田 浩和

WRITTEN BY吉田 浩和

こんにちは、ひろかずです。

Deep Security Managerの導入が完了したら、Deep Security機能が動作していることを確認します。
確認手法は、侵入防御ルールが機能していることを以って確認となります。

前提

参照情報

基本的には、トレンドマイクロ Q&Aページ:侵入防御機能の動作確認方法を教えてください。に書いてあります。

工程

  1. 動作検証用の侵入防御ルールを作成する
  2. 動作検証通信を受けるWebサーバにAgentをインストールする
  3. Agentを導入したWebサーバをManagerへ追加する
  4. Webサーバに動作検証用の侵入防御ルールを適用する
  5. 動作確認通信を行う

1.動作検証用の侵入防御ルールを作成する

Deep Security Managerコンソールにログインし、「ポリシー」タブから「侵入防御ルール」→「新規」→「新しい新入防御ルール」を選択します。

Deep Security コンソールで動作確認1

以下の様に設定して「適用」します。
設定内容としては、web通信中に「Hello」という文字列を見つけたら検知(ログ出力)するというものです。

Deep Security コンソールで動作確認2

Deep Security コンソールで動作確認3

2.通信を受けるWebサーバにAgentをインストールする

WebサーバにDeep Security Agentをダウンロードして、インストールします。
Amazon Linuxの場合は、以下になります。
URLはトレンドマイクロ社の米国サイトで最新のものを確認して下さい。


<h1>curl -O http://files.trendmicro.com/products/deepsecurity/Kernel%20Support/Agent-amzn1-9.0.0-3508.x86_64.rpm</h1>

<h1>rpm -ivh Agent-amzn1-9.0.0-3508.x86_64.rpm</h1>

Preparing...                ########################################### [100%]
   1:ds_agent               ########################################### [100%]
Loaded dsa_filter module version 3.4.37-40.44.amzn1.x86_64 [  OK  ]
Starting ds_agent: [  OK  ]

3.Agentを導入したWebサーバをManagerへ追加する

「コンピュータ」タブをクリックして、「新規」→「新規コンピュータ」を選択する。
Deep Security コンソールで、agent追加1

動作確認用に用意したWEBサーバのIPアドレスを指定する。
今回は同一VPC上に作成したので、プライベートIPを指定します。
– Agent側はManagerからの通信(ポート4118)を開けておいてください。
– Manager側はAgentからの(ポート4120,4122)を開けておいてください。
– 詳しくはマニュアルの24頁が判りやすいです。
Deep Security コンソールで、agent追加2

Agentが検出されたら「完了」します。
Deep Security コンソールで、agent追加3

「閉じる」をクリックして、次の工程に移ります。
Deep Security コンソールで、agent追加完了

4.Webサーバに動作検証用の侵入防御ルールを適用する

追加したてのAgentは、侵入防御がオフになっているので、「オン」に変更して「保存」します。
そのまま「割り当て/割り当て解除」ボタンをクリックします。
Deep Security コンソールで、侵入防御ルールを適用1

工程1で作成した動作確認用の侵入防御ルールを選択して「OK」をクリックします。
Deep Security コンソールで、侵入防御ルールを適用2

登録されていますね。
Deep Security コンソールで、侵入防御ルールを適用完了

5.動作確認通信を行う

ブラウザに以下の様なURLを指定して、Webサーバにアクセスします。
当然の事ながら、404エラーが返りますが・・・

http://fnifni.com/Hello

しばらくすると「イベントとレポート」の「侵入防御イベント」にイベントが記録されます。
Deep Security コンソールで、イベントとレポートの確認

検知内容はこのように記録されます。
ストリーム内の一致欄で、GET /Helloの箇所が赤字になっています。
これは、チェックが止まった箇所になります。
つまり「Hello」を検知してチェックが止まったことを示します。
Deep Security コンソールで、イベントとレポートの確認2

動作確認としてはここまでです。
お疲れ様でした。

元記事は、こちらです。

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。