Deep Securityに関する備忘録

近況報告

　勤務が始まってはや二週間。何ができるようになったとかは実感少ないけど，着実に進んでいるとは思うのでこれからもがんばっていく。

　スクールでの親交のあった同期が，新規開発事業に内定をもらった報告を頂きました。その人はスクールの時，同期の中でも擢ん出た成績を残し，さらに自身の勉強時間を犠牲にして同期のカリキュラムの進行を手助けするほどの聖人でした。
　先月，連絡を取った際にSESで妥協していたことを聞いて，「絶対もったいない」と思い，おこがましい話ですが就活を続ける打診をしたところ，そのあとも就活をつづけ，昨日，内定をいただいたとのことです。
　「私のおかげでがんばれた」って言われたのですが，私個人の考えでは，「その人の能力的にその結果は当然」であると思っていました。なので，そんなたいしたことはした気がしないのですが，感謝されるほどのgiveができる能力を自身が持っていることには自信を持たないとですよね。とにかく，本人がスクールに通っていた時から願っていた環境に就職できたことは本当に素晴らしいことだと思いました。そんなわけで，明日，ウィスキーで祝杯をあげに行ってきます。

本日のお題

Trend MicroのDSaaSのコンソール画面の備忘録（2020/08/14時点）

　昨日コンソール画面について上司からレクチャーを受けたので一部をここに残します。おもにイベントとレポートのタブは何を管理しているものなのかの把握がゴールです。

DSaaSって

Deep Security as a Service
　噛み砕くとセキュリティの総合サービス。EC2などのサーバーに設置してセキュリティ関連の管理を行うもの。基本的にDSA（Deep Security Agent）をサーバーにインストールして同期し，DSaaSで管理する感じ。３０日の無料トライアルサービスが存在し，今回私はそれを用いた講義を上長から受けました。

現在，DSaaSではなく，WorkLoad Securityって名前らしい。

イベントとレポート

　システムイベント

　サーバー内で生じたイベントが流れる空間。
　ex.) パスワードの認証失敗とか

　不正プログラム対策イベント

　ウィルスを見つけたら，「削除」「隔離」「駆除」してくれる，それに関するログが流れる。
「削除」・・・言葉の通りそのまま害悪なデータを削除する
「隔離」・・・害悪な因子を取り除き，隔離ファイルで管理する
「駆除」・・・害悪な因子を取り除き，削除する。

　ウィルスが混じっていても上のアクションが正常に取られているのであればセキュリティを憂いる必要がない。問題なのは上のアクションが失敗した場合。その場合はサーバーの中にウィルスが残留し続けているということなので，早急に解決する必要がある。

　検出ファイル
処理されたウィルスが表示される。そのウィルスがいつ，どこのサーバーで見つかって，どんなウィルスなのかが表示されるとのこと。

　Webレプテーション(Reputation)イベント

　滅多に起こらない分，このイベントは危険度が高い.
　外部サイト，外部端末への不正な情報の送信を検知したらアラートが鳴る。そしてその通信を遮断する。HTTP通信をキャッチ。HTTPSは暗号化して予防しており，中間者攻撃を防いでいる。

中間者攻撃
正規クライアント　▶️▶️▶️▶️▶️▶️▶️▶️▶️▶️▶️▶️▶️▶️・・・・・・・・・・▶️　サーバー
　　　　　　 　　↑第三者が解析　　　　　　　↓別のURLに飛ばす

　アプリケーションコントロール

　DSで許可したアプリケーション以外はブロックする。これにより，ユーザーが意図していないアプリケーションの起動を防ぐことができる。逆を言えば，この機能を利用していて，かつ，DS管理者とサーバー管理者が異なる場合，サーバー管理者はDS側の許可なくアプリケーションを本番環境に投入できないため，業務にラグが生じることがある。

　変更監視イベント

　ファイルやディレクトリが変更された日付，権限の変更を管理する場所。しかし，変更された事実を管理するものではあるが，どこが変更されたか具体的な場所は追跡することができない。

　セキュリティログ

　セキュリティログの監視。作業内容の確認など

　firewall

めっちゃ噛み砕くと許可されたIPを通す機能。AWSでいうセキュリティグループのような役割。もしこの機能をオフにしても，侵入防御イベントがオンになっている場合はアラートが鳴る可能性がある。

　侵入防御イベント

　侵入を防衛したことを残すアラート。
ex.) 攻撃確認▶️ブロック▶️どこからのアクセスか
　　　データ詳細から攻撃元のIPや攻撃方法が解析できる。
　　　善良なスキャンソフトがこれに引っかかる時もある。

　アラートについて

　どのアラートを表示させるかはカスタマイズすることができる。またアラートが複数存在する場合，新しいアラートが出現した場合通知が出ないことがあるため，アラートが解決したらアラートを消去する癖をつける。
　DSaaSで検知した問題はDSaaSのコンソールで消せるが，DSAなど別の場所由来のアラートはDSaaSでは消せない。

終わりに

　セキュリティど素人のまとめです。アドバイスは24365お待ちしています。