【DeepSecurity】windows上でDSのイベントを受ける【イベントの転送】
メモ書き程度で
linuxならrsyslogなりでsyslogサーバできるんだけども、
今回、DSAが動いてるwindowsでローカルに検知イベントを飛ばせないかなと思い聞いて回ったら、文献見つけたのでそれ参考にDSのログを吐き出してみた。
参考文献:https://cloudpack.media/21537
PowerShellでsyslogサーバ
大まかなやり方:
①参考文献記載のPowerShell動かす。
②DS側でイベントの転送設定を行う。
→送信元IDは、識別できるものを入れるといいかと。
→サーバ名は、ホスト名とかIPを入れる。
→イベント形式 common event format
→Agentによるログ転送方法:はsyslogサーバに直接
細かい設定は、FAQ見て。
https://help.deepsecurity.trendmicro.com/ja-jp/siem-syslog-forwarding-secure.html
③イベント転送設定 (Agent/Applianceから)で設定した機能にて検知テストなりする。
④syslogサーバ側でイベントが書き込まれてるかチェック。
書き込まれてればOK。
【DSaaS-導入講座】第1話#DSaaSアカウント作成@神か悪魔か!? 地獄にあらわれたDSaaS【さすがDSaaSだぜ、なんともないぜ】
~~~~~
絵文字やらAAとか使っていくので許してください。
~~~~~
ハロニチワッ✧٩(ˊωˋ*)و✧
週末は、根がティブ思考になってしまう芋です。
DSに興味あるけど、検証メンドクサ('A`)って人もいるとはおもうので、
手軽に始められるDSaaSを紹介していきたいと思いまふ(`・ω・´)ゞ
贈ります。DSのトリセツ(徐々に歌詞作ってみる)
♪♬この度はDSを選んでくれてどうもありがとう♪♬
~♪ご使用の前にこの概要説明資料とシステム要件をよく読んで♪
♪ずっと正しく優しく運用してってね。♪
♫月額ものにつき時間課金は受け付けません。(マケプレ!)♪
♪ご了承ください~♪
♪♬急にメモリ不足になることがあります。♪♬
~♪理由を聞いたら♪
♪断片化してて放っとくと怒ります。♪
♫いつもごめんね。♪
♪でもそんな時は懲りずに♫
♬とことんドロップキャッシュしてあげましょう。♫♫
========================================
■無料でアカウント作るマン(*´艸`*)
アカウント作って魔法少女になって欲しいんだ。(◕‿‿◕)
ヵもんべぃべぇ(๑•̀ㅂ•́)و✧
https://app.deepsecurity.trendmicro.com/SignUp.screen?
■一応各項目について説明するよ(`・ω・´)
First Name: 名を書くといいよ。
Last Name: 姓を書くといいかもね。
Company/Account: アカウント名、取り返しつかないから考えたほうがいいお
Email: メールアドレスなんだな。
Password: パスワードみたいだよ。
Confirm Password: 入力パスワードが間違ってないかちぇっくだお
Password Strength: Country:大和魂なら日本を選ぶよろし
Language:かっこつけて英語を使う人がいるんですよぉ
なぁ〜に〜!やっちまったな!男は黙ってエスペラント!
(日本語がいいと思います)
Time Zone:JSTがいいと思うお。
とりあえず、まあ、こまいけどここの設定がデフォになってくるから、
ずっとこれでやるっていう設定がいいですよ。
理由は大したもんでもないから省きます
■申し込み完了後
こんな件名でたぶんアカウント作成完了メールくるお。
件名:Account Confirmation: Trend Micro Deep Security as a Service
届くまで
とりあえずアカウント作成完了までこんな感じで手軽にできるお!
【障害情報-YYYYMMDD】件名
【発生日時】
【障害概要】
【影響範囲】※芋が確認できている範囲
【影響内容】※運用している側視点
【対応状況】
【芋的コメント】
【障害情報-20190828】19-044.dsruにて配信されたルールについて「前回のアップデート」の日付が「なし」になっている
【発生日時】
2019/08/28
【障害概要】
ルールアップデートファイル「19-044.dsru」において、
配信されたルールの「前回のアップデート」 の日付情報が無くなっている。
↓こんな感じだお。↓
【影響範囲】※芋が確認できている範囲
・DSaaS
・DSM9.0(そもそもディスコンだけども)
・DSM11(11.0.308、11.0.349)
【影響内容】※運用している側視点
・前回のアップデート日付を元に処理を行っている場合影響する可能性があります。
・経過観察期間を設けてルールを検出モードから防御モードを手動で行ってる場合、
ルールアップデート日付がないことで2週間経ったかどうかメモしておかないと
わからなくなる可能性あり。
【対応状況】
20190828
現在も継続中。
まあ来週のアップデート分で解消されることを祈る。
【回避策】
無し!
【芋的コメント】
ワイが5年ほど見てきたけども、今回の事情はお初。
まあ、フォローするわけではないけどおー
(本音としては結構おこってんだけども)
ミスなのかバグなのか定かではないけども
ルールを配信するときのチェックはしてほしい。
なんでかっていうとルールこそ重要なんだからって考えてるからです。
今回は、些細な問題かもしれないけど、重要なものなんだから細心の注意を払ってほしいお。
____
/ \ /\ キリッ
. / (ー) (ー)\
/ ⌒(__人__)⌒ \
| |r┬-| |
\ `ー'´ /
ノ \
/´ ヽ
【DSaaS】DSの種類について【DSM】
〜WARNING〜
この記事の書き方はなめてます。
それをご了承のうえで見てください。
〜WARNING〜
はろにちわ。(`・ω・´)ゞ
どうも性根が腐った芋です。_(´ཀ`」 ∠)_
/⌒ヽ ( ^ν^) ・・・・ ( ) | | | (__)_)
前回はDSってなーに?どんなの?みたいなこと書きましたが、
今回はDSにはどういったタイプややり方があるのか書いていきます。
======================================================
■選べるスタイルそれがDeepSecurityクオリティ
そもそもDeepSecurityには2つのタイプが存在します。
タイプは↓の感じ(^ω^)
・パッケージ版のDS( DeepSecurityManager)
・SaaS版のDS →DeepSecurity as a Service(通称DSaaS)
■何が違う?゚ヽ(゚∀゚)ノ
・パッケージ版のDS
→自分で構築するタイプ。
サーバやらDBやら自分で全部用意してインスコする必要がある。
もちろん、メンテナンスも全部自分でやる。
・SaaS版のDS
中身は若干異なるけどイメージ的にはパッケージ版の
DSMをテナントモードちゅーもんで顧客に提供してる感じ。
トレンドマイクロがDSMを管理してるから、DSMのメンテをしなくて済む。
■どっちがいいの?( •᷄ὤ•᷅)
わいの独断と偏見ですが、大まかにこんな感じですな( ・`д・´)
書いたらキリないから抑えるけども。
・SaaS版のDS
選択する際の前提条件:
・保護対象が何らかの形でインターネットに出れること。
メリット:
・パッケージ版のDSMと異なりサーバやDBを持たなくて済む。
・DSMを自分で管理しなくて良い。
・DSMの管理しなくていいってことは、DSMのバージョンアップもしなくていい。
トレンドマイクロがバージョンしてくれる。
※AgentであるDSAのバージョンアップは必要なんだけどね(´・ω・`)
・つまり注視したいセキュリティのイベントの対応や管理だけにリソースを注げる。
・パッケージ版のDSと異なり新しい機能がまっさきにくる。
・体験版(今のところ無期限)で使えるので導入検証も楽。
当たり前だが課金されてないんだからサポートは当然無いぞ。
・futureVulsと連携できるぞ!これで脆弱性管理が楽ちんになる。
・DSMで障害が発生しても自社製品であるトレンドマイクロ社がちゃんと対応してくれる。
※もちろん、パッケージ版のDSMでも障害があればサポートセンターに
問い合わせしつつ、復旧を目指すルートもあるが、
調査のための資料など揃えたり連絡しあったり大変だ。
デメリット:
・侵入防御機能においてSSL通信のペイロードを表示できないから、
誤検知なのか正常通信なのか切り分けできねぇ問題。なんとかしてほしい切実。
トレンドマイクロさん、アカウントごとで制御できるようにしてくれませんかね?
ねーねーー。゚(゚´Д`゚)゚。たのんますよ。。。
※とはいえ、フロントで復号化しておけばいいんだけど、
状況によってはできなことあるからねぇ
・トレンドマイクロの定期メンテナンスがある為、
コンソールが見れないタイミングが発生する。
※セキュリティ機能は生きているから特にワイは問題視はしてない。
アラート確認に遅延が生じてしまうのが玉に瑕。
・メンテナンス後に問題が発生するケースがある。(DSMの機能などイジってることがあるからこそ)
もっとも、変な挙動があればサポートに連絡して調査復旧はしてもらえる。
メリットとデメリットが表裏一体になってる部分ですな(´・ω・`)
・ログが約1ヶ月しか保管されない。
代替コントロール的なところで、トレンドマイクロ社がログ採取の
ツール出してるから、これをうまくつかう必要があるんご。
2020年の11月か12月ごろに↑のツールは公開停止。
SNSトピック使うか、SEIMで解決するしかない。。。。
・パッケージ版のDS
選択する場合の理由:
・保護対象がインターネットに出れないクローズ環境
・会社のセキュリティ要件でSaaSがNGの場合。
メリット:
・トレンドマイクロ社の定期メンテや緊急メンテに左右さない。
己の裁量次第。
・同様にトレンドマイクロ社がAPI廃止など急な仕様変更の影響を受けづらい。
DSMをバージョンアップしなきゃそのままだからね。
・ルールアップデートのファイルを自分でインポートできる
・不正プログラム対策機能が要らないなら抜きのライセンスがある。
・↑の結果、日本の月額課金タイプのDSaaSより若干安くなる。
デメリット:
・DSMのバージョンアップを考えないといけない。
・侵入防御機能でSSL通信のペイロードを表示させることの設定が可能。
・障害発生時の復旧が糞大変。程度にもよるけども私の経験上、問い合わせるのも
復旧させる為に色々調整するのも大変。お客さんにも迷惑かけるし。
復旧できるのかも怪しいし。
・ログの保管期間を設定できる。
■結局、どういうことだってばよ?_(´ཀ`」 ∠)_
ワイの経験上、メンテナンスコスト考えたら、
厳しい要件が無い限りDSaaSを選びます。
ちな、サポート面については、パッケージ版もDSaaSも
トレンドマイクロさんとの付き合い方や向き合い方も理解できる人じゃないといけない。
トレンドマイクロさんには今よりもっとDSaaSを盛り上げてほしいから
どんどんリクエストを要望しますので期待してください(・∀・)
■最後にぼやき
水曜日のルールアップデートファイルだけど、
前回のアップデート日付欠けてましたね(´・ω・`)
障害っていいかわからないけども、
こういう細かい障害・バグ情報も展開していこうかな。
【総合セキュリティ】はじめてのDeepSecurity【ホスト型】
〜WARNING〜
この記事の書き方はなめてます。
それをご了承のうえで見てください。
〜WARNING〜
はろにちわ。どうも根腐れやろうの芋です。
自社でDeepSecurityの導入をお考えの方へ贈ります。
♪♬この度はDSを選んでくれてどうもありがとう♪♬
~♪ご使用の前にこの概要説明資料とシステム要件をよく読んで♪
♪ずっと正しく優しく運用してってね。♪
♫月額ものにつき時間課金は受け付けません。(マケプレ!)♪
♪ご了承ください~♪
色々書いてまどろっこしいので短く書きます。
言葉足らずだったらごめんなさい(; ・`д・´)
あと、かなりフランクな感じの斜め上スタイルで書いていきますのでご了承ください!
DSなんぞ?ってのからはじめます。
============================================================
■なんでぼくがDeepSecurity(DSちゃん)をはじめたのか
もっとも、なんでことは無く会社で使っていたから。
そんでもってサービス化してメインで扱うサービスになったのがことのことのはじまり!
■DSちゃんってなーに?
ざっくりいうと、総合セキュリティ製品ですお(`・ω・´)
ってもそれじゃざっくりだから機能ごとに説明するとこんな感じ
・不正プログラム対策機能
→アンチウィルス機能でウィルスバスターと同じような機能だお。
I/Oベースでも検査できるし、タスクでフルスキャンとかいろいろできる。
設定に監視は割と融通が利くほうかなって思ふ。
ただし、ファイルを検査して検査完了のログをトリガーに
その後の処理を実行させるってことは通常の使い方ではムリポ。('Д')
余談で、デバッグモードで動かしてデバッグログを無理くり使って
実装するなんてこともできなくもないけども・・・負荷的にもおすすめしない。
・WEBレピュテーション機能
→危ないサイトへのアクセスをフィルタリングする機能だお。
厳密には、リクエストは送られるけどトレンドのあぶねーサイト一覧的なものを
管理してるとこに問い合わせして一覧になきゃリクエスト先のサーバから
戻ってきた通信を受け入れる機能だお!
サーバ側で期待する部分は、C&Cサーバへのアクセスを防げる可能性がある。
業務用サーバでアングラなエッチなサイトにアクセスしちゃダメだぞっ!
ちなみに現状、HTTPSについてはチェックできないから
もはや、存在意義が疑われる。何とかしてくれー。
・ファイヤーウォール機能
→一般的なファイヤーウォールですお。スレートレスでもステートフルでもできるお。
そんなDSちゃんに僕はハートフル💕
ちなみにどんな風にイベントがでるかどうか検証したい場合は、
設定からタップモードにするといいんご。
ただし、後述の侵入防御機能もタップモードで動いちゃうから、
防御モードにしてても実質検出モードになっちゃうから覚えてほしいお。
・侵入防御機能
→IPS/IDSですお。DSちゃん上だと一般的な呼び方と変わるから要チェックだぞ!
防御モード(IPS)
検出モード(IDS)
侵入防御機能を防御モードについては、若干ややこしくて、
適用しているルール毎で設定されている動作モードに従うモードと
考えておくといいお。
侵入防御機能を検出モードにすると
適用している全てのルールが強制的に検出モードになるんご。
私がチューニングするときはまずはこのモードにしてから、
正常な通信を阻害しない形ではじめてます。
ちなみにチューニングするときは、本運用始まってからのほうが楽。
もし、想定されるすべてのリクエストを再現させることができる自信があるなら、
本運用開始前に再現させてチューニングするといいけど、
まあ現実的じゃないでしょうね。(;´Д`)
・変更監視機能
→ファイルやフォルダの属性を監視する機能だお。レジストリも監視できるお。
よく勘違いする人いるので覚えてほしいんだけど、
ファイルのデータ内容まで監視できないんごよ。
例えば、oimo.htmlが改ざんされたらどこのソースが改ざんされたのかまでは見れないんご。(´・ω・`)
ファイルの最終更新日やハッシュなどをベースラインを取って比較して、
変わってれば検知するっていう動きをします(`・ω・´)
・セキュリティログ監視機能
→指定のsyslogを監視することができるお。
ポピュラーなもので、ログインに失敗したことを検知することができるのがこの機能だお。(`・ω・´)
・アプリケーションコントロール
→正直、使ったことないから知識程度だけども、
意図しないソフトウェアの起動を監視したり起動を防ぐことができるみたいんご。
2019年8月現在では、以上がDSちゃんが備えて機能なんだお!(^ω^)おっおっおっ
質問とかあったらどんどん送ってください~。
正直、セキュリティについては100% の正解ってないと思ってますので、
こうしたほうがいい、俺はこうしてるっていうのがあればご意見ください。
ざっくりとDSの機能について解説してみました。
ではサラバダー (`・ω・´)ノシノシ