ビジネスサポートポータルアカウントでログイン
 

これを知っていれば快適!Deep Security運用のコツ「活用編」

    • 更新日:
    • 23 Jun 2020
    • 製品/バージョン:
    • Trend Micro Deep Security All
    • OS:
    • Windows Linux
概要
title

Deep Security をご利用いただいているお客さまに、おすすめの運用のコツ「活用編」をご紹介

詳細
Public

Deep Securityの各種機能を快適に活用いただくためのコツ

コツ1 不正プログラム対策機能の検索除外設定の上手な使い分け

リアルタイム検索、手動検索、予約検索の検索除外設定の使い分けをお勧めします。

例えば、定期的に各フォルダやファイルへ常時アクセスが発生するアプリケーションが導入されているサーバで「リアルタイム検索」を利用する場合、パフォーマンスに影響を及ぼすことがありますが、それはアクセスが発生する度に、「リアルタイム検索」が実行されるためです。

このような状況を避けるためにフォルダやファイルに対して検索除外設定を設定いただくことがあります。

 

ただ、検索除外設定されたフォルダやファイルはセキュリティ検索がされないため、セキュリティリスクの懸念があります。これを解決するためにリアルタイム検索では検索除外設定しておくが、手動検索、予約検索では除外設定しないというような使い分けをお勧めします。

具体的には、定期メンテナンス時に各フォルダやファイルへ常時アクセスするアプリケーションのサービスを停止した状態で「手動検索」を実施したり、アプリケーションサーバの稼働が少ない営業時間外に「予約検索」を実施します。(予約タスクの設定を活用し、毎週土曜日の夜間に実施するなど)。

これにより、リアルタイム検索の除外設定箇所の検索を補うことができます。

下図のように検索のタイプ毎に柔軟な設定が可能です。

 

コツ2 侵入防御機能の適切な推奨検索実施タイミング

ルールアップデートが配信される時期/タイミングは以下のとおりです。

  • 毎週水曜日 2:00~6:00頃(日本時間)
※時間はあくまでも目安であり、この時間外にリリースされる場合もあります。また、定期アップデート以外に、緊急度の高い脆弱性が発見された場合には、不定期に臨時アップデートをリリースします。

 

ルールアップデートが配信されるタイミングに合わせて、推奨検索を実施されることをお勧めします。具体的には下記が適切ですので、是非この機会に見直しをお願いいたします。

  • 毎週 1 回 水曜日6:00以降に予約タスクを設定する
  • システムに変更を行った時は手動で実施する
  • 緊急ルールがリリースされた時は手動で実施する

侵入防御機能の活用のいろいろなコツ

運用開始後の検知時によくお問合せ頂く、検知ルールの確認方法、過検出発生時の対応方法、設定チューニング、 不要ルールの除外方法などのコツをまとめている資料も、ぜひダウンロードいただき、ご活用ください。

 

コツ3 変更監視機能をカスタムルールで小さく初めてみる

デフォルトのルールを使用すると、非常に多くのイベントが検出され運用負荷が高くなる傾向にあります。 このため、予め変更監視機能で監視したい対象を絞って、カスタムルールを作成していただくことで、 小さく初めることができます。

下記はWindows Serverで監視するディレクトリとファイルの拡張を設定する設定イメージです。変更監視ルールの作成の詳細はこちらをご確認ください。

 

コツ4 レポート機能でコンピュータの設定状況・セキュリティイベントログを忘れず確認

日々の業務の中、能動的に管理コンソールにログインし各種イベントを確認することは難しいと思いますが、レポート機能を活用することで解決します。

レポート機能とは各コンピュータの設定状況、各種セキュリティイベントログなどをサーバ管理者やセキュリティ管理者へ定期にレポートがメールに添付され通知する機能です。

この機能により、各コンピュータの設定状況、各種セキュリティイベントログの可視化が可能となります。レポート生成方法をご確認いただき、ぜひご活用ください。

コツ5 定期的なメンテナンス

定期的なソフトウェアアップデート

LTSリリース版のサポート期間は3年間の標準サポートと2年間の延長サポートの合計5年間となっておりますが、

Deep Securityは新しい脅威への対応や近年のクラウドの登場といった環境の変化に合わせて、新機能を盛り込んだアップデートのリリースを日々行っております。

 

そのため、各コンポーネント(Deep Security Manager/Relay/Agent)を常に最新版のメジャーバージョンにバージョンアップしてご利用頂くことを推奨しております。

また、見つかった製品の不具合なども随時マイナーバージョンのアップデートで修正しておりますので、常に最新のアップデートを適用することをお勧めしております。

 

最新アップデートのリリース情報はRSSで配信しておりますので、この機会にご登録下さい。

 

定期的なバックアップ

Deep Securityは、登録しているコンピュータ情報などの全てのデータをデータベースに保存しております。

データベースのバックアップを取得していれば、万が一の場合に復旧が可能ですので、定期的にデータベースのバックアップを取得することをお勧めしております。

 

定期的なリソース確認

管理対象となるDeep Security Agent数や実行タスクの増加に伴い、Deep Security ManagerやDeep Security Relayのリソース負荷が上がることがあります。

定期的にリソース状況を監視し、適宜リソース増強を検討して下さい。Deep Security Managerノードを増やすことで負荷を分散することも可能です。

 

※Deep Security ManagerのManager JVMプロセスに割り当てられる最大メモリの初期設定は4GBとなっています。Deep Security Managerの割り当てメモリを増やす目的でサーバのメモリ増強を行った場合には、割り当てメモリの上限を引き上げて下さい。

 

同様に、Deep Security Agent数や実行タスクの増加に伴いデータベースの容量も増加するため、データベースサーバのディスク空き容量や、データベースの拡張設定に問題が無いか併せてご確認下さい。

 

コツ6 Deep Securityのチューニング

Deep Securityはデフォルトの設定のままでも十分運用が可能ですが、お客様の環境に併せてチューニングを行って頂くことで、より安定した稼働が期待できます。

お客様のサポートを行っていく中で蓄えたDeep Securityのチューニングに関するナレッジをベストプラクティスという形で公開しております。

運用に支障がある場合などにヒントとなる情報があるかも知れないので、一度目を通して頂けますと幸いです。

 

一例として、Deep Securityではトランザクションログを利用しないため、Microsoft SQL Serverを利用する復旧モデルには"単純"をご選択頂くことで、データベース容量を削減することができます。

※頻繁にお問合せ頂く内容は以下のようにQ&Aという形での情報公開も行っておりますので、何らかの疑問点がある場合、一度Q&Aの検索をお試しください。

 

コツ7 トラブルシューティング

Deep Securityを運用していると、Deep Security管理コンソール上でエラーやアラートが出力されることがあります。一般的な対処方法を以下のページでまとめておりますので、是非ご活用下さい。

 

Premium
Internal
Partner
評価:
カテゴリ:
Configure
Solution Id:
000242825
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド