※Trend Micro Cloud One - Workload Security (以下、Cloud One - Workload Security)につきましては、Deep Security Agentのみが監視対象となります。
Deep Security Manager - Windows
確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。
- □プロセス名:Deep Security Manager.exe
- □サービス名:Trend Micro Deep Security Manager
これらプロセス/サービスが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドなどで確認できます。)
Deep Security Manager - Linux
- □プロセス名: /opt/dsm/jre/bin/java
Deep Security Agent - Windows
通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。
より確実に監視を行う場合、以下のプロセスおよびサービスを監視してください。
プロセス名
- □dsa.exe (Agentのメインプロセス)
- □ds_monitor.exe (Agentのウォッチドッグプロセス)
- □Notifier.exe (Notifierによる通知プロセス)
- □coreFrameworkHost.exe (不正プログラム対策機能の検索プロセス)※1
- □coreServiceShell.exe (不正プログラム対策機能の検索プロセス)※1
- □dsvp.exe (Relayサービスのプロセス)※2
- □nginx.exe (Proxy接続に使用するプロセス)※3
- □ds_nuagent.exe (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※4
サービス名
- □ds_agent (Agent用のサービス)
- □ds_monitor (Agentのシステム監視用のサービス)
- □ds_notifier (Agentの通知用のサービス)
- □Amsp (不正プログラム対策機能用のサービス)※1
- □ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するサービス)※4、5
ドライバ
- □tbimdsa (侵入防御/ファイアウォールで使用するドライバ)※6
※1 不正プログラム対策機能を有効化した場合のみ起動
※2 Relayを有効化した場合のみ起動(Cloud One - Workload Security においては起動しません)
※3 Relayを有効化した場合のみ起動
※4 侵入防御機能にて高度なTLSトラフィック監視がサポートされており、かつ当該機能を有効にした際のみ稼働(DSA 20.0.0.4185以降のみ。サポートされる環境についてはヘルプセンター をご覧ください。)
※5 DSA 20.0.0-7119以降では、サービスとしては表示されません。プロセス側でのみ表示されるよう動作変更されました。
※6 侵入防御あるいは、ファイアウォールを有効にした場合のみ稼働
これらプロセス/サービス/ドライバが稼働している場合、正常と考えられます。(tasklistコマンド、scコマンドやmsinfo32コマンドなどで確認できます。)
Deep Security Agent - Linux
通常 Deep Security Manager が正常に運用されており、かつ Agent とのハートビートが取れない場合の警告設定を行っていれば (既定では設定されています)、Agent の正常稼動を担保することは可能です。
より確実に監視を行う場合、以下を監視してください。
プロセス名
- □ds_agent (Agentのメインプロセス)※1
- □ds_am (不正プログラム対策機能の検索プロセス)※2
- □dsvp (Relayサービスのプロセス)※3
- □nginx (Proxy接続に使用するプロセス)※4
- □ds_kmemcg (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5
- □ds_kproc (Webレピュテーション、ファイアウォール、侵入防御機能に使用するプロセス)※5
- □ds_nuagent (侵入防御機能の高度なTLSトラフィック監視に関するプロセス)※6
ドライバ
- □dsa_filter (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※7
- □dsa_filter_hook (Webレピュテーション、ファイアウォール、侵入防御機能で使用するドライバ)※8
※2 不正プログラム対策機能を有効化した場合のみ起動、ds_amはメインとモニタ用2つ起動
※3 Relayを有効化した場合のみ起動(Cloud One - Workload Security においては起動しません)
※4 Relayを有効化した場合のみ起動
※5 カーネル4.5以上の環境で、Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働(DS20.0以降のみ)
※6 侵入防御機能の高度なTLSトラフィック監視に関するプロセス(DSA 20.0.0.4185以降のみ)。当該機能がサポートされている環境 では、メインとモニタ用2つ起動。
※7 Webレピュテーション、ファイアウォール、侵入防御機能いずれかを有効にした場合のみ稼働
※8 DS11.3およびDS12.0のみ
Deep Security Virtual Appliance
通常 Deep Security Manager が正常に運用されている場合、Virtual Appliance が停止した場合などにはアラートが生成されるため、Virtual Appliance の正常稼動を担保することは可能です。
より確実に監視を行う場合、以下を監視してください。
ドライバモジュール
- □dvfilter-dsa
このモジュールがロードされている場合、正常と考えられます。(vmkload_modコマンドなどで確認できます。)
バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため dvfilter-dsaが存在しません。
Deep Security Agent / Deep Security Virtual Appliance - ポートで監視する
Deep Security Agent および Deep Security Virtual Appliance の死活監視の方法として Listen Port を監視する方法もあります。
- □4118/TCP: Managerからの通信ポート
- □4122/TCP: Agentからの通信ポート※1
※1 Relayのみ起動
これらのポートがListenされている場合、正常と考えられます。(netstatコマンド、リモートからtelnetコマンドで接続などで確認できます。)
※注意
telnetコマンドでポート4118に接続/切断を行うと、DebugView(Windows)、syslog(Unix)に「BIO_do_handshake() failed - peer closed connection.」というエラーが記録されます。
サポートエンジニアが問い合わせ傾向を元にDeep Securityを安心してお使いいただくための情報をWelcome Page(DS/C1WS)にまとめました。
Welcome Page(DS/C1WS)で機能概要や、事前準備から運用開始までに必要なステップ、運用のコツをぜひご確認ください!
