19
18

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Deep Security Manager導入後の動作確認(Agentの導入とManagerへの追加)

Last updated at Posted at 2014-08-14

こんにちは、ひろかずです。

Deep Security Managerの導入が完了したら、Deep Security機能が動作していることを確認します。
確認手法は、侵入防御ルールが機能していることを以って確認となります。

#前提

#参照情報
基本的には、トレンドマイクロ Q&Aページ:侵入防御機能の動作確認方法を教えてください。に書いてあります。

#工程
1.動作検証用の侵入防御ルールを作成する
2.動作検証通信を受けるWebサーバにAgentをインストールする
3.Agentを導入したWebサーバをManagerへ追加する
4.Webサーバに動作検証用の侵入防御ルールを適用する
5.動作確認通信を行う

#1.動作検証用の侵入防御ルールを作成する
Deep Security Managerコンソールにログインし、「ポリシー」タブから「侵入防御ルール」→「新規」→「新しい新入防御ルール」を選択します。
動作確認1.PNG

以下の様に設定して「適用」します。
設定内容としては、web通信中に「Hello」という文字列を見つけたら検知(ログ出力)するというものです。
動作確認2.PNG 動作確認3.PNG

#2.通信を受けるWebサーバにAgentをインストールする
WebサーバにDeep Security Agentをダウンロードして、インストールします。
Amazon Linuxの場合は、以下になります。
URLはトレンドマイクロ社の米国サイトで最新のものを確認して下さい。

# curl -O http://files.trendmicro.com/products/deepsecurity/Kernel%20Support/Agent-amzn1-9.0.0-3508.x86_64.rpm
# rpm -ivh Agent-amzn1-9.0.0-3508.x86_64.rpm
Preparing...                ########################################### [100%]
   1:ds_agent               ########################################### [100%]
Loaded dsa_filter module version 3.4.37-40.44.amzn1.x86_64 [  OK  ]
Starting ds_agent: [  OK  ]

#3.Agentを導入したWebサーバをManagerへ追加する
「コンピュータ」タブをクリックして、「新規」→「新規コンピュータ」を選択する。
agent追加1.png

動作確認用に用意したWEBサーバのIPアドレスを指定する。
今回は同一VPC上に作成したので、プライベートIPを指定します。

  • Agent側はManagerからの通信(ポート4118)を開けておいてください。
  • Manager側はAgentからの(ポート4120,4122)を開けておいてください。
  • 詳しくはマニュアルの24頁が判りやすいです。
    agent追加2.png

Agentが検出されたら「完了」します。
agent追加3.png

「閉じる」をクリックして、次の工程に移ります。
agent追加4.png

#4.Webサーバに動作検証用の侵入防御ルールを適用する
追加したてのAgentは、侵入防御がオフになっているので、「オン」に変更して「保存」します。
そのまま「割り当て/割り当て解除」ボタンをクリックします。
動作確認5.PNG

工程1で作成した動作確認用の侵入防御ルールを選択して「OK」をクリックします。
動作確認6.PNG

登録されていますね。
動作確認7.PNG

#5.動作確認通信を行う
ブラウザに以下の様なURLを指定して、Webサーバにアクセスします。
当然の事ながら、404エラーが返りますが・・・

http://fnifni.com/Hello

しばらくすると「イベントとレポート」の「侵入防御イベント」にイベントが記録されます。
動作確認8.PNG

検知内容はこのように記録されます。
ストリーム内の一致欄で、GET /Helloの箇所が赤字になっています。
これは、チェックが止まった箇所になります。
つまり「Hello」を検知してチェックが止まったことを示します。
動作確認9.PNG 動作確認10.PNG

動作確認としてはここまでです。
お疲れ様でした。

19
18
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
19
18

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?