ここでは、事前準備について説明します。
検疫ネットワークへの自動隔離機能を利用するために、以下の設定が必要です。
ウイルス対策製品
管理者通知のSNMPトラップの設定において、ウイルス/不正プログラム検出の"SNMPトラップによる通知を有効にする"にチェックをいれて、以下のメッセージを定義してください。
virus_name:%v,ip_address:%i,file:%p,datetime:%y,result:%a
管理者へのメール通知が必要な場合、管理者通知のメールの設定において、ウイルス/不正プログラム検出が発生した場合、管理者のメールアドレス宛てに通知されるように設定してください。
一般通知のSNMPサーバの設定において、本製品のマネージャーのIPアドレスを指定してください。
詳細はウイルスバスターCorp. 11.0またはウイルスバスターCorp. XGサーバのマニュアルを参照してください。
管理者通知のメールの設定
ウイルス/不正プログラム検出が発生した場合、管理者のメールアドレス宛てに通知されるように設定してください。
Trend Micro Policy ManagerにおけるNetwork Controllerの追加
Trend Micro Policy Managerのwebコンソールで[Administration] > [Network Controllers]の順で選択し[Network Contollers]画面を開きます。
本製品のマネージャーをNetwork Controllerとして追加してください。
注意が必要な入力値は以下のとおりです。
自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを1つ以上入力してください。
以下のURLを入力してください。
https://本製品のマネージャーのFQDN:23461/tmpm/v1/
本製品のマネージャーのインストール時に作成する特権ユーザーのユーザーアカウント名とパスワードを登録してください。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"ネットワークコントローラの追加"の記述を参照してください。
Trend Micro Policy ManagerにおけるSubnetの追加
自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを1つ以上追加してください。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"Subnet の追加"の記述を参照してください。
Trend Micro Policy ManagerにおけるSensorの接続
Trend Micro Policy ManagerはTrend Micro Deep Security Manager等のSensorからログを受信することによりセキュリティリスクの発生を把握します。
Trend Micro Deep Security Manager等のSensorとの接続が未完了の場合は、Trend Micro Policy Managerの管理者ガイドにおける、"Sensorの接続"の記述を参照して実施してください。
Trend Micro Policy ManagerにおけるPolicyの追加
Sensorから通知された各セキュリティリスクについて、本製品等のネットワークコントローラのAction等を定義する、Policyの追加が必要です。
注意が必要な入力値は以下のとおりです。
"Subnet の追加"で追加した、自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを選択してください。
以下を選択してください。
- Isolate the infected endpoints affected by the triggered event
以下は選択しないでください。
- Deny all access to the destination IP address specified in the triggered event
- Log only
- ユーザーが定義したカスタムアクション
またセキュリティリスク検出時に本製品に自動的に通知を行うために、オプションの設定で"Prompt before taking action"オプションは有効から無効に変更してください。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"Policy の管理"の記述を参照してください。
McAfee ePO サーバに対する本製品のSNMPサーバの登録
McAfee ePO サーバのwebコンソールの"登録済みサーバー"を開いて、"新しいサーバー"より本製品のSNMPサーバを登録します。
注意が必要な入力値は以下のとおりです。
サーバーアドレスの種類に"IPv4"を選択し、アドレスに本製品のマネージャーのIPアドレスを設定します。
SNMPサーバーバージョンに"SNMPv1"を選択し、セキュリティにコミュニティ文字列を指定します。
操作の詳細は、McAfee ePolicy Orchestratorの製品ガイドにおける"SNMPサーバーを登録する"の記述を参照してください。
なお、上記ガイド内に、テストトラップを送信する手順が記載されていますが、本製品がテストトラップには対応していないため、本手順は実施不要です。
McAfee ePO サーバへの自動応答ルール追加による通知設定
McAfee ePO サーバのwebコンソールの"自動応答"を開いて、"新しい応答"に自動応答ルール追加し、本製品のマネージャーへのSNMPトラップによるセキュリティリスクの通知、および管理者へのメールによるセキュリティリスクの通知を可能にします。
注意が必要な入力値は以下のとおりです。
"ステータス"を有効にします。
"脅威カテゴリ"を選択し、"マルウェア検出"を"属している"設定にします。
SNMPトラップによるセキュリティリスクの通知
"SNMP トラップを送信"を選択します。
"登録済みサーバー"で登録したSNMPサーバを指定します。
SNMPトラップで送信する値を定義するために、"使用可能な種類"で"値"を選択し、すべての種類を">>ボタン"で追加します。
メールによるセキュリティリスクの通知
"電子メールの送信"を選択します。
"受信者"の横にある、"..."をクリックし、メッセージの受信者を選択します。
メールの件名、本文を指定します。
詳細は、McAfee ePolicy Orchestratorの製品ガイドにおける、"自動応答のセットアップ"の記述を参照してください。
仮想PCや物理サーバへのMcAfee AgentのインストールとMcAfee Endpoint Securityの配備
McAfee ePolicy Orchestratorの製品ガイドにおける以下の記述を参照して実施してください。
"McAfee ePO サーバーのセットアップ"の"McAfee Agent とライセンス ソフトウェアのインストール"
"高度な設定"の"製品の配備"
Symantec連携バッチファイルおよびSymantec連携スクリプトファイルの配置
Symantec連携バッチファイルおよびSymantec連携スクリプトファイルを圧縮したファイル(SEPMfile.zip)は、本製品マネージャーの以下のフォルダー配下に格納されています。
インストールフォルダー\SVROR\Manager\opt\FJSVrcxmr\sys\SEPM
Symantec Endpoint protection Managerが動作するサーバの以下のフォルダーにSEPMfile.zipを格納し、そのフォルダーでSEPMfile.zipを展開してください。
drive\Symantec\Symantec Endpoint Protection Manager\bin
展開されるSymantec連携バッチファイルおよびSymantec連携スクリプトファイルの説明、ファイル名、格納場所は以下のとおりです。正しく展開されたか確認してください。
正しく展開された場合はSEPMfile.zipを削除してください。
ウイルス検出時に、SEPマネージャーから本製品に通知する際に起動されるバッチファイルです。
ファイル名
rcx_quarantine_lserver.bat
ファイルの展開場所
drive\Symantec\Symantec Endpoint Protection Manager\bin
rcx_quarantine_lserver.batから呼び出されるPowerShellスクリプトファイルです。
ファイル名
rcx_quaratine_lserver.ps1
ファイルの展開場所
drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\bin
本製品のユーザー情報をSymantec Endpoint protection Managerに登録するためのPowerShellスクリプトファイルです。
ファイル名
rcx_register_ror.ps1
ファイルの展開場所
drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\cmd
本製品のユーザー情報登録用スクリプトファイルの実行
PowerShellの実行ポリシーの変更
Symantec Endpoint protection Managerが動作するサーバで、PowerShellの実行ポリシーを"RemoteSigned"に変更します。
管理者権限でPowerShellのコンソールを起動し、以下のコマンドを実行します。
PS > Set-ExecutionPolicy -ExecutionPolicy RemoteSigned <RETURN>
以下のコマンドでカレントディレクトリを変更します。
PS > Set-Location -Path 'drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\cmd'
本製品のユーザー情報を登録するために以下のコマンドを実行します。
指定する本製品のユーザーIDには、本製品のインストール時に作成した特権ユーザーとしてログインするためのユーザーアカウント名を指定してください。
PS > ./rcx_register_ror.ps1 create -host 本製品のマネージャーのIPアドレスまたはホスト名(FQDN) -user 本製品のユーザーアカウント名 -password パスワード <RETURN>
既に情報が登録済の場合は以下のメッセージが出力されます。
上書きしてよい場合はyを応答してください。
INFO:230:Information already exists.Overwrite it? [y/n]
本製品のユーザー情報が登録されたことを確認します。以下のコマンドを実行します。
PS > ./rcx_register_ror.ps1 show <RETURN>
例
PS > ./rcx_register_ror.ps1 show HOST:192.168.10.40 PORT:23461 USER:manage PASSWORD:*******
本製品のユーザー情報登録用スクリプトファイルの詳細は、「4.7 【Symantec】rcx_register_ror.ps1」を参照してください。
セキュリティリスク検出時に本製品に通知するための設定
Symantec Endpoint protection Managerがセキュリティリスクを検出した時、本製品のマネージャに通知できるようにします。
Symantec Endpoint protection Managerのwebコンソールから、以下の手順で、設定します。
左ペインの[監視] > [通知]タブ > 右下の[通知条件]をクリックします。
左上の[追加]から"単一リスクイベント"を選択します。
通知条件の編集ウィンドウで "バッチファイルまたは実行可能ファイルを実行する"にチェックします。
Symantec連携バッチファイルの名前(rcx_quarantine_lserver.bat)を入力して"OK"をクリックします。
操作の詳細は、Symantec Endpoint Protection 14 インストールガイドおよび管理者ガイドにおける、"管理者通知の設定"の記述を参照してください。
Symantec連携バッチファイルの呼び出しを有効にするための設定
Symantec連携バッチファイルの呼び出しを有効にするため、以下の設定ファイルを編集します。
drive\Symantec\Symantec Endpoint Protection Manager\tomcat\etc\semlaunchsrv.properties
ファイルの末尾に以下の行を追加します。
sem.launchsrv.authorized.userdefined.tasks=bin\\notification.bat|bin\\rcx_quarantine_lserver.bat
設定ファイル編集後、以下のサービスを再起動すると、Symantec連携バッチファイルの呼び出しが有効になります。
Symantec Embedded Database
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Launcher
Symantec Endpoint Protection Manager Web サーバ
管理者通知のメールの設定
ウイルス/不正プログラム検出が発生した場合、管理者のメールアドレス宛てに通知されるように設定してください。
仮想PC
以下のどれかを実施してください。
ウイルスバスターCorp. 11.0 クライアントを導入して、ウイルスバスターCorp. 11.0 サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. 11.0のマニュアルを参照してください。
ウイルスバスターCorp. XG クライアントを導入して、ウイルスバスターCorp. XG サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. XGのマニュアルを参照してください。
Trend Micro Deep Security AgentまたはTrend Micro Deep Security Virtual Applianceを導入して、Trend Micro Deep Security Managerから管理している状態にしてください。
詳細は、Trend Micro Deep Securityのマニュアルを参照してください。
McAfee Agentのインストールを行いMcAfee ePO サーバから管理されている状態にしたあとでMcAfee Endpoint Securityの配備をしてください。
McAfee ePolicy Orchestratorの製品ガイドにおける以下の記述を参照して実施してください。
"McAfee ePO サーバーのセットアップ"の"McAfee Agent とライセンス ソフトウェアのインストール"
"高度な設定"の"製品の配備"
Symantec Endpoint protection クライアントを導入して、Symantec Endpoint protection Managerから管理されている状態にしてください。
詳細は、Symantec Endpoint protectionのマニュアルを参照してください。
SBCサーバ
以下のどれかを実施してください。
ウイルスバスターCorp. 11.0 クライアントを導入して、ウイルスバスターCorp. 11.0 サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. 11.0のマニュアルを参照してください。
ウイルスバスターCorp. XG クライアントを導入して、ウイルスバスターCorp. XG サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. XGのマニュアルを参照してください。
Trend Micro Deep Security Agentを導入して、Trend Micro Deep Security Managerから管理している状態にしてください。
詳細は、Trend Micro Deep Securityのマニュアルを参照してください。
McAfee Agentのインストールを行いMcAfee ePO サーバから管理されている状態にしたあとでMcAfee Endpoint Securityの配備をしてください。
McAfee ePolicy Orchestratorの製品ガイドにおける以下の記述を参照して実施してください。
"McAfee ePO サーバーのセットアップ"の"McAfee Agent とライセンス ソフトウェアのインストール"
"高度な設定"の"製品の配備"
Symantec Endpoint protection クライアントを導入して、Symantec Endpoint protection Managerから管理されている状態にしてください。
詳細は、Symantec Endpoint protectionのマニュアルを参照してください。
本製品のマネージャー
VMware vSphere PowerCLI 6.0以降を導入して、VMware PowerCLI が起動することを確認してください。
詳細は、VMware vSphere PowerCLIのマニュアルを参照してください。
注意
本製品のマネージャーの導入後にPowerCLIをインストールした場合、本製品からの操作が正常に動作しない場合があります。
上記の場合、本製品のマネージャーを再起動してください。
マネージャーの停止と起動方法については、「運用ガイド CE」の「2.1 マネージャーの起動と停止」を参照してください。
管理サーバがインターネットに接続されていない場合、PowerCLIスナップインのロード時間が長くなり、ネットワーク切替えの処理を阻害します。
このため、管理サーバをインターネットに接続してください。
インターネットに接続できない場合は、"Microsoft ルート証明書プログラム"無効化と発行元証明書の取り消しに関する設定を無効化の対処を実施します。
管理サーバ上で、以下の2つの手順を実施してください。
"Microsoft ルート証明書プログラム"を無効化
グループポリシーエディターを起動します。
[コンピューターの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]を選択します。
[証明書パス検証の設定]をダブルクリックします。
[ネットワークの取得]タブをクリックします。
[これらのポリシーの設定を定義する]チェックボックスにチェックを入れます。
[Microsoft ルート証明書プログラムで証明書を自動更新する]チェックボックスのチェックを外します。
参考
[パス検証時に発行者証明書 (AIA) 取得を許可する]チェックボックスのチェックは入れたままにしてください。この項目は、証明書チェーンの検証に影響します。
証明書チェーンの検証
証明書の機関情報アクセス(AIA)に記載されているパスをもとに、ルート証明書以外のCA証明書(中間証明書)を必要に応じてダウンロードします。この中間証明書を経由して、ルートのCA証明書までのチェーンを構築します。
[OK]をクリックします。
OSを再起動します。
発行元証明書の取り消しに関する設定を無効化
レジストリエディターを起動します。
以下のレジストリキーを開きます。
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing |
[State (REG_DWORD)]の値を以下のように変更します。
変更前 | 0x00023c00: 有効 |
変更後 | 0x00023e00: 無効 |