Deep Security Manageを入れてAgentで検知させる
DeepSecurity実践塾で学んだポリシー設計の基本をまとめてみた
検索除外を推奨するフォルダやファイル
【環境】
・Deep security Manager
Windows Server 2019
(ファイヤーウォールはすべて無効)
・Deep security Agent
Windows Server 2019
(ファイヤーウォールはすべて無効)
Red Hat Linux Enterprise 8.1
(selinux,firewalld無効)
上記の環境に、インストールして検知させていきたいと思います。
ManagerはDBがいるので、
今回はMySQLを入れていきたいです。
SQL Server 2019 Expressのインストール及び設定
https://pleasanter.org/manual/install-sql-server2019-express
データベースの作成
https://docs.microsoft.com/ja-jp/sql/relational-databases/databases/create-a-database?view=sql-server-ver15
今回は、「dsm」というデータベースを作成しました。
データベースができたら、Managerをインストールしていきます。
Deep Security Managerをインストールする
https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/manager-install.html
Deep Security Manager インストール手順
https://qiita.com/masato_qiita/items/de956b7f4c64362e177d
🌟初期ログインユーザーは「MasterAdmin」
これに苦しめられた。
Agentをいれていきます
https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/agent-install.html
インストールスクリプトを生成して使う方法
https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/computers-add-deployment-scripts.html
「Deep Security Managerコンソールの右上隅で、[サポート]→[インストールスクリプト] をクリックします。」
とあるけど、なぜか私の環境ではサポートじゃなくサポート情報と表示された。
Agentの有効化
https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/agent-activate.html
と、あるんだけどもコマンドではなぜか有効化されずに詰まっていたので、下記のやり方をお勧めします。
IPアドレスまたはホスト名を直接入力する
https://help.deepsecurity.trendmicro.com/10/0/ja-jp/Add-Computers/ug-add-local.html
コンピューターを検出して、有効化されていないAgentがあるけど有効化します?と聞かれるので、有効化。このやり方じゃないとできなかった…
ポリシーは
https://dev.classmethod.jp/articles/deepsecurity-policy-howto-making/
こちらを参照し、作成。
[コンピューター]-[右クリック]-[処理]-[ポリシーの配信]
上記操作でポリシーを配信
AgentににせものウイルスのEicarというものをググり、文字列をメモ帳に張り付け、保存。viコマンドで文字列を書き込み、保存。
そうすると、自動的にファイルが削除され、しばらくると[アラート]タブにへんなファイルありましたと報告されるのでヨシとする。