ビュー:
2021年 7月 6日現在 で弊社が把握している既知の制限事項について記載いたします。

1.ルールアップデート時に C1WS のシステム負荷が高くなる問題

セキュリティルールのアップデート(DSRU)が C1WS管理マネージャで実施されると、C1WS管理マネージャ/データベースがビジー状態となり、C1WS管理マネージャでのジョブ処理の遅延が発生する場合があります。

DSRU は基本的に水曜の日本時間AMに実施されます(詳細はこちら)。緊急性の高い脆弱性がある場合は不定期に実施される場合もあります。

[参考] C1WS管理マネージャで実行するジョブの例
アップグレード / 有効化 / セキュリティアップデート / 推奨設定の検索 / 不正プログラムの予約検索 / 変更の検索 など
特に、通信方向が [Agentからの片方向通信] の場合は、推奨設定の検索などの C1WS管理マネージャで実施するジョブの処理が開始されるまでに 4~6 時間程度かかってしまう例も確認しています。これは実施できる可能性 (タイミング) の問題です。
双方向の場合、C1WS管理マネージャがジョブの処理ができるタイミングで DSA に通知ができるのに対し、片方向の場合には DSA のハートビート時に C1WS管理マネージャ側のリソースに空きがある必要性があります。
 
[参考] C1WS において推奨設定の検索の遅延が発生した場合の例
14:00 予約タスク(推奨設定の検索)開始
19:00 推奨設定の検索の開始
19:01 推奨設定の検索完了
 
 

例えば、通信方向が [Agentからの片方向通信] で C1WS側でジョブがプールされている間は、DSAのステータスが [推奨設定の検索の保留中 (ハートビート)] と表示されますが、実際にはDSA側へジョブ実行のコマンドは送信されておりません。そのため、推奨設定の検索は開始されていない状態となります。
ですが、平常時と同様に、不正プログラム対策や既に適用されている侵入防御ルールなどのセキュリティ機能は動作している状態ですので、ご安心ください。

2. Deep Security Agent の HotFix (Update) を適用する際の注意点

DSAのHotfixを適用した場合、C1WSコンソールの [コンピュータ] タブから DSA の情報を表示できない可能性があります。(以下、赤枠)
これは、C1WS で保持しているAgentの最新バージョンよりも、実際に保護対象のサーバにインストールしたビルド番号が新しいために発生します。/div>
C1WS で保持しているAgentのビルド番号は、C1WSコンソールの [管理]タブ-[ソフトウェア]―[ローカル] にて確認可能です。
例えば、C1WS で保持している Windows版 DSA の最新版が"9.5.2754"で、DSA側ではそれよりも新しいビルド"9.5.3042"を利用した場合、この事象が発生します。

3. Deep Security Agent のインターネット向け通信に制限がある場合の制限

DSA のインターネット向けの通信を拒否している環境や名前解決を自由に行えない環境では、以下の制約を受けます。

  1. 通信方向で [agent/applianceから開始] を選択している場合、DSAをインストールした後に初めてDSAを有効化する際、名前解決が自由にできる環境のDSAよりも有効化に時間がかかります。
  2. 隔離ファイルの復元・ダウンロードの操作ができません。
  3. SSL設定ウィザードで「今すぐ資格情報をアップロードします」を選択した場合、資格情報のアップロードに失敗します。
  4. C1WS管理マネージャから不正プログラム対策の手動検索を実行した場合、DSA上での検索処理は次回のハートビート後に開始されます。
※ 2, 3, 4 を解決するためには、Fast heartbeat を使用するように以下のURLの通信を許可してください。
https://dsmim.deepsecurity.trendmicro.com

4. システムのタイムゾーンを変更した場合の注意点

DSAコンピュータのタイムゾーンを変更した場合、ログやシステムイベントは変更後のタイムゾーンの時刻で出力されます。
しかし、システムイベントをManager経由で syslog/SNSに転送している場合、転送後のシステムイベントの説明欄 ([msg]フィールドなど) に記載されるタイムゾーンにずれが生じます。
これは、転送後の説明欄には 「テナント単位でのタイムゾーンの設定」 が反映されるためです。
※テナント単位でのタイムゾーンの設定には、テナント作成時のタイムゾーンが反映されています。
 

以下はテナントやDSAコンピュータをJST(+0900)のタイムゾーンで作成した後、DSAコンピュータのタイムゾーンをJSTからUTC(+0000)に変更した環境で、システムイベントをsyslog転送した際の出力例です。
冒頭に記載されている時刻はUTCですが、[msg] フィールドはJSTになっています。

Oct 23 06:45:30 deepsecurity CEF: 0|Trend Micro|Deep Security Manager|20.0.244|730|Offline|8|
src=XXX suser=System target=XXX
msg=Deep Security Manager has been unable to communicate with the Agent/Appliance since October 23, 2020 15:40:30. The Agent/Appliance is presumed to be offline.
TrendMicroDsTenant=XXX TrendMicroDsTenantId=XXX

なお、C1WSコンソールにてシステムイベントを確認した場合は、ずれは生じません。
以下は、上記のsyslog転送の元になったシステムイベントを管理コンソールからエクスポートしたものです。[Time]と[Description]の時刻はどちらもUTCになっていることがわかります。

Time: October 23, 2020 06:45:30
Level: Error
Event ID: 730
Event: Offline
Target: XXX
Event Origin: Agent Action By: System Manager: XXX Description: Deep Security Manager has been unable to communicate with the Agent/Appliance since October 23, 2020 06:40:30. The Agent/Appliance is presumed to be offline.

このずれが生じても、運用上 影響がない場合は無視していただいて問題ありません。

テナント単位でのタイムゾーンの設定の変更をご希望の場合は、お手数ですが以下の情報をご用意いただきサポートまでお問い合わせください。

  • C1WSのアカウント名/テナントID: 確認方法は こちら
  • 現在のタイムゾーン: 例) JST(+0900)
  • 変更を希望するタイムゾーン: 例) UTC(+0000)

 

テナント単位でのタイムゾーンの設定を変更した場合は、Manager経由で転送する全てのDSAのシステムイベント内の[msg]フィールド等のタイムゾーンが変更されます。
変更はテナント単位であり、DSA単位で本設定を変更することはできません。
異なるタイムゾーンのDSAコンピュータを管理されている環境ではこの点にご留意ください。

 

5. システムイベントID 600: ユーザのログオン に記録されるIP アドレスが異なる問題

"ユーザのログイン"のシステムイベントに記録されるIP アドレスは、C1WS のコンソールへのアクセスを行っているユーザのIPアドレスとは異なり、C1WSのシステム内にて使用されておりますIP アドレスが記録されます。

キーワード: Deep Security as a Service