Deep Securityの各種機能を快適に活用いただくためのコツ

コツ1 不正プログラム対策機能の検索除外設定の上手な使い分け

リアルタイム検索、手動検索、予約検索の検索除外設定の使い分けをお勧めします。

例えば、定期的に各フォルダやファイルへ常時アクセスが発生するアプリケーションが導入されているサーバで「リアルタイム検索」を利用する場合、パフォーマンスに影響を及ぼすことがありますが、それはアクセスが発生する度に、「リアルタイム検索」が実行されるためです。

このような状況を避けるためにフォルダやファイルに対して検索除外設定を設定いただくことがあります。

• 参考) 検索除外を推奨するフォルダやファイル

 

ただ、検索除外設定されたフォルダやファイルはセキュリティ検索がされないため、セキュリティリスクの懸念があります。これを解決するためにリアルタイム検索では検索除外設定しておくが、手動検索、予約検索では除外設定しないというような使い分けをお勧めします。

具体的には、定期メンテナンス時に各フォルダやファイルへ常時アクセスするアプリケーションのサービスを停止した状態で「手動検索」を実施したり、アプリケーションサーバの稼働が少ない営業時間外に「予約検索」を実施します。（予約タスクの設定を活用し、毎週土曜日の夜間に実施するなど）。

これにより、リアルタイム検索の除外設定箇所の検索を補うことができます。

※下図のように検索のタイプ毎に柔軟な設定が可能です。

 

コツ2 侵入防御機能の適切な推奨検索実施タイミング

ルールアップデートが配信される時期/タイミングは以下のとおりです。

• 毎週水曜日 2:00～6:00頃（日本時間)

※時間はあくまでも目安であり、この時間外にリリースされる場合もあります。また、定期アップデート以外に、緊急度の高い脆弱性が発見された場合には、不定期に臨時アップデートをリリースします。

 

ルールアップデートが配信されるタイミングに合わせて、推奨検索を実施されることをお勧めします。具体的には下記が適切ですので、是非この機会に見直しをお願いいたします。

• 毎週 1 回 水曜日6:00以降に予約タスクを設定する
• システムに変更を行った時は手動で実施する
• 緊急ルールがリリースされた時は手動で実施する

 

コツ3 変更監視機能をカスタムルールで小さく初めてみる

デフォルトのルールを使用すると、非常に多くのイベントが検出され運用負荷が高くなる傾向にあります。 このため、予め変更監視機能で監視したい対象を絞って、カスタムルールを作成していただくことで、 小さく初めることができます。

下記はWindows Serverで監視するディレクトリとファイルの拡張を設定する設定イメージです。変更監視ルールの作成の詳細はこちらをご確認ください。

 

コツ4 レポート機能でコンピュータの設定状況・セキュリティイベントログを忘れず確認

日々の業務の中、能動的に管理コンソールにログインし各種イベントを確認することは難しいと思いますが、レポート機能を活用することで解決します。

レポート機能とは各コンピュータの設定状況、各種セキュリティイベントログなどをサーバ管理者やセキュリティ管理者へ定期にレポートがメールに添付され通知する機能です。

この機能により、各コンピュータの設定状況、各種セキュリティイベントログの可視化が可能となります。レポート生成方法をご確認いただき、ぜひご活用ください。

• アラートやその他のアクティビティに関するレポートの生成

コツ5 定期的なメンテナンス

定期的なソフトウェアアップデート

LTSリリース版のサポート期間は3年間の標準サポートと2年間の延長サポートの合計5年間となっておりますが、

Deep Securityは新しい脅威への対応や近年のクラウドの登場といった環境の変化に合わせて、新機能を盛り込んだアップデートのリリースを日々行っております。

• Trend Micro Deep Security 各サポート期間について

 

そのため、各コンポーネント(Deep Security Manager/Relay/Agent)を常に最新版のメジャーバージョンにバージョンアップしてご利用頂くことを推奨しております。

また、見つかった製品の不具合なども随時マイナーバージョンのアップデートで修正しておりますので、常に最新のアップデートを適用することをお勧めしております。

• Deep Security アップグレード手順 (修正プログラム/最新モジュール の適用方法)

 

最新アップデートのリリース情報はRSSで配信しておりますので、この機会にご登録下さい。

• Deep Security Software

 

定期的なバックアップ

Deep Securityは、登録しているコンピュータ情報などの全てのデータをデータベースに保存しております。

データベースのバックアップを取得していれば、万が一の場合に復旧が可能ですので、定期的にデータベースのバックアップを取得することをお勧めしております。

• データベースのバックアップと復元

 

定期的なリソース確認

管理対象となるDeep Security Agent数や実行タスクの増加に伴い、Deep Security ManagerやDeep Security Relayのリソース負荷が上がることがあります。

定期的にリソース状況を監視し、適宜リソース増強を検討して下さい。Deep Security Managerノードを増やすことで負荷を分散することも可能です。

• 複数のノードでのDeep Security Managerの実行

 

※Deep Security ManagerのManager JVMプロセスに割り当てられる最大メモリの初期設定は4GBとなっています。Deep Security Managerの割り当てメモリを増やす目的でサーバのメモリ増強を行った場合には、割り当てメモリの上限を引き上げて下さい。

• Deep Security Managerのメモリ使用量の設定

 

同様に、Deep Security Agent数や実行タスクの増加に伴いデータベースの容量も増加するため、データベースサーバのディスク空き容量や、データベースの拡張設定に問題が無いか併せてご確認下さい。

 

コツ6 Deep Securityのチューニング

Deep Securityはデフォルトの設定のままでも十分運用が可能ですが、お客様の環境に併せてチューニングを行って頂くことで、より安定した稼働が期待できます。

お客様のサポートを行っていく中で蓄えたDeep Securityのチューニングに関するナレッジをベストプラクティスという形で公開しております。

運用に支障がある場合などにヒントとなる情報があるかも知れないので、一度目を通して頂けますと幸いです。

• Deep Security ベストプラクティスガイド (構築・設定・運用時の参考情報)

 

一例として、Deep Securityではトランザクションログを利用しないため、Microsoft SQL Serverを利用する復旧モデルには"単純"をご選択頂くことで、データベース容量を削減することができます。

※頻繁にお問合せ頂く内容は以下のようにQ&Aという形での情報公開も行っておりますので、何らかの疑問点がある場合、一度Q&Aの検索をお試しください。

• SQL Server の復旧モデルについて

 

コツ7 トラブルシューティング

Deep Securityを運用していると、Deep Security管理コンソール上でエラーやアラートが出力されることがあります。一般的な対処方法を以下のページでまとめておりますので、是非ご活用下さい。

• Trend Micro Deep Securityトラブルシューティングのコツ