Q. Deep Security as a Service における、既知の制限事項を教えてください
A. 以下情報をご参照ください。
製品Q&A: Deep Security as a Service (DSaaS) における、既知の制限事項を教えてください
Q. DSaaS利用ユーザはどんなログをどれくらいの期間保持可能ですか?
A. システムイベントとセキュリティイベントの2つが残ります。DSaaSにおいてはセキュリティイベントが32日間~39日間、システムイベントが13週間~17週間保存されます。
削除されるタイミングは弊社側のメンテナンススケジュールに依存します。
Q. イベントログを定期的にエクスポートする方法はありますか?
A. イベントログの情報は以下方法でエクスポートすることができます。
- 予約タスクで定期的にレポートを生成する。
メリット:予約タスクを設定することで、DSaaSに登録しているメールアドレスに自動的にレポートを送信することができるます。
デメリット:予約タスクでイベントログ自体を エクスポートすることができません。 - SIEMを利用して外部のサーバへログを転送する。
メリット:イベントログを自由に管理することができます。
デメリット: イベントログを保存するサーバをご利用者様側で用意していただく必要があります。
※SIEMでTLSをご利用いただく場合は、別途暗号化の設定を実施してください。 - 定期的にイベントログを手動でエクスポートする。
メリット:イベントログをエクスポートするために、設定をすることや、環境の構築をする必要がありません。
デメリット:予約タスクなど自動的に実行する方法がないため、定期的に手動でエクスポートする必要があります。 - イベントログ取得ツールを定期実行する。
メリット:ツールをタスクスケジュールに登録することで、自動的にイベントログをエクスポートすることができます。
Q. DSaaSを使用しているサーバは1台で、ライセンスも1台分購入してあります。
管理コンソールのアラートで「最大1台のコンピュータのうち1台を使用中」と表示されるのですが、何かのエラーですか?
A. エラーではありません。
購入いただいたライセンス数の最大値までご利用いただくと表示されるものです。表示が不要であれば下記の手順で当該アラートをオフにしてください。
- DSaaS管理コンソール画面の「管理」タブを選択します。
- 「システム設定」の中の「アラート」タブを選択します。
- 「アラート設定の表示」を選択します。
- 「ライセンスシート数の上限に達しました」アラートのプロパティを選択し、設定をオフにします。
Q. トライアル版アカウントで登録できるDSAの台数は?
A. トライアル版アカウントの場合、5台のDSAを登録することができます。
Q. [ライセンスの有効期限がまもなく終了します。]などのアラートが頻発します。
A. DSaaSでは、管理者の注意喚起を行う為、デフォルト設定では様々な条件によってアラートが発令されます。
個々のアラートのオン/オフ、重要度などは変更する事が可能ですので、Webコンソールの[アラート]>[アラートの設定]で、該当するアラートのプロパティから環境毎に合わせたチューニングを実施してください。
アラートが発令された場合には、アラート毎の詳細をご確認いただき、アクションの要/不要をご判断ください。
Webコンソールの[アラート]>[アラートの設定]のプロパティで「消去可能:」が「はい」となっているアラートについては、手動でクリアすることができます。「いいえ」となっているアラートについては、アラートの発令条件が解消されると自動的にクリアされます。
Q. LMP上で表示されるライセンス有効期限とDSaaS上で表示される有効期限がずれているのですがどれが正しい情報ですか?
A. DSaaSの有効期限は管理コンソールに表示される日時が正です。
Q.DSaaSにて攻撃(設定したルールに引っかかるもの)を検知した場合、どのように通知されるのでしょうか?
A. 下記の通りです。
- DSaaS管理コンソール上の「イベントとレポート」の該当するイベント部分に表示される。
- アラート設定をオンにしている場合、DSaaS管理コンソール上の「アラート」に表示される。
- アラートをメールで通知する設定にしている場合、メールにて通知される。
- 不正プログラムの検出、不正サイトのブロック(Webレピュテーション)については、保護対象サーバにてポップアップ通知される。(保護対象サーバにDeep Security Notifierが入っている必要があります。)
Q. DSaaSを利用する際、ポートにて443を全開放したくないと考えています。Deep Security Managerを特定する情報(IPアドレス、ドメイン名、ホスト名など)を教えてください。
A.以下のいずれかの設定を実施ください。
- 内側→外側のポート443を開けていただければ片方向通信にて管理可能です。
- 上記の穴あけが厳しい場合、次のFQDNをファイアウォールにて許可してください。
- "agents.deepsecurity.trendmicro.com" ⇒ Deep Security Agent からDeep Security Manager へのハートビート
- "relay.deepsecurity.trendmicro.com" ⇒ Deep Security Agent とDeep Security Relay の通信
- DSaaSをご利用いただくうえで必須ではございませんが、DSM⇒DSA方向の通信に対して、ポート443、もしくはURL[https://dsmim.deepsecurity.trendmicro.com] を許可していただくことで、Fast heartbeat機能をご利用いただけます。Fast heartbeat機能については、以下Q&Aをご参照ください。
Q&A:Fast heartbeat機能について
Q. ルールアップデート (セキュリティアップデート) が配信/更新される日に推奨設定の検索を行うと、推奨設定の検索完了までに時間がかかるようです。
Q. DSaaSをインストールする対象サーバがLinuxの場合のインストール手順を教えてください。
A. Deep Seucurity Agent をインストールする方法はDeep Securityと変わりませんので、以下の製品Q&Aをご参照ください。
製品Q&A: Deep Security Agent インストール手順
Q. DSaaSのインストールスクリプトを利用してDeep Seuciryt Agentのインストールを試みたのですが、上手くいきません。他に方法はありますか?
A. 以下の2つの手順をお試しください。
- 管理コンソール右上[サポート情報] > [Agentのダウンロード]からインストール対象のOSに応じたパッケージを取得、インストールを試してください。
- 管理コンソール[管理] > [アップデート] > [ソフトウェア] > [ローカル]にて、インストール対象のOSに応じたパッケージを選択します。
- [エクスポート] > [インストーラーのエクスポート]を実施し、インストーラを取得、インストールを試してください。
Q. DSaaSの方がDSよりも動作が遅いと聞いたのですが本当ですか?
A. DSaaSとDSで動作の速さがまったく変わらないというわけではありません。
DSaaSのDSMはマルチテナントであること、DSaaSはオンプレではなくSaaS型サービスであることなどが要因で、多少、動作の速さに違いが出てきます。
Q. DSaaSが実際に攻撃などを検知できるのか試したいのですが何か方法はありませんか?
A. 以下手法が有ります。
- 不正プログラム対策 : Eicarウイルスをダウンロードし、検知の有無をご確認ください。
- 侵入防御 : 以下の製品Q&Aをご参照ください。
製品Q&A: 侵入防御の動作確認方法 - 変更監視 : 監視対象のフォルダにファイル保存する、あるいは対象のファイルを編集するなどのアクションを行い、検知の有無をご確認ください。
- ログ監視 : 一例ですが、Windowsログインに失敗した場合の閾値を下げて、わざとログインに失敗をし検知の有無をご確認ください。
Q. Proxy環境での注意点を教えてください。
A. Deep Security Agent がDeep Security Relayにプロキシ経由でないと接続ができない環境については、以下の制限が有ります。
製品Q&A: Deep Security Agent9.5がRelayに接続する際にProxyを必須とする環境での問題点について
Deep Security Agent がインストールされているマシンから、Deep Security Manager への接続に必要となるプロキシの設定方法は以下の通りです。
- Deep Security Agent がインストールされているマシンにて、管理者権限でコマンドプロンプトを開きます。
- Deep Security Agent のインストールパスに移動します。
- 以下、コマンドを実行します。
dsa_control -x dsm_proxy://:/
Q. Deep Seucurity Agent をインストール後、次のハートビート 10分が経過するまで、Deep Security Manager 側からの設定配信が[ポリシー送信の失敗]のエラーになる。
A.次のハートビート 10分が経過するまで、お待ちいただくか、
Deep Security Agent から Deep Security Manager 手動でハートビートを実施する。
- Deep Security Agent がインストールされているマシンにて、管理者権限でコマンドプロンプトを開きます。
- Deep Security Agent のインストールパスに移動します。
- 以下、コマンドを実行します。
dsa_control -m
Q. 管理コンソールにDeep Security Agent をIPアドレス名で登録したが、有効化ができない。
A. ローカルのIPアドレスを使用している場合、有効化はできません。グローバルIPアドレスを付与し、登録するか、ホスト名での登録を実施してください。
Q. 侵入防御機能をオン(防御)にしたらすべての通信が切断しました。
A. 初回の設定の後、しばらくは検知モードでご使用いただき、必要な通信が検知されないかご確認いただく事をお勧めします。
また、バイパス設定を実施頂く事もご考慮ください。
製品Q&A: 高パフォーマンスの通信が要求される環境での注意点 - バイパス(放置)ルール作成手順 -
Q. 修正モジュールの適用手順を知りたい。
A. 以下の製品Q&Aをご参照ください。
製品Q&A: [DSaaS]アップグレード手順 (修正プログラムの適用方法)
Q.DSMのバックアップは取得する必要がありますか?
A.DSMについては弊社側で管理を行っており、お客様側でデータベースのバックアップ等について考慮いただく必要はありません。
