ここでは、事前準備について説明します。
事前準備として、以下の設定が必要です。
なお、本製品のマネージャーが複数台で構成されている場合、ウイルス対策製品から指定する本製品のマネージャーは1台目のマネージャーだけです。
以下の設定は、1台目のマネージャーに対して行ってください。
ウイルス対策製品
virus_name:%v,ip_address:%i,file:%p,datetime:%y,result:%a
詳細はウイルスバスターCorp. 11.0またはウイルスバスターCorp. XGサーバのマニュアルを参照してください。
ウイルス/不正プログラム検出が発生した場合、管理者のメールアドレス宛てに通知されるように設定してください。
なお、このメールはTrend Micro Policy Managerから送信されるメールです。
「2.7 管理者へのメール通知機能の設定手順」で設定するメールとは異なります。
注意が必要な入力値は以下のとおりです。
自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを1つ以上入力してください。
以下のURLを入力してください。
https://本製品のマネージャーのFQDN:23461/tmpm/v1/
本製品のマネージャーのインストール時に作成する特権ユーザーのユーザーアカウント名とパスワードを登録してください。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"ネットワークコントローラの追加"の記述を参照してください。
自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを1つ以上追加してください。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"Subnet の追加"の記述を参照してください。
Trend Micro Policy ManagerはTrend Micro Deep Security Manager等のSensorからログを受信することによりセキュリティリスクの発生を把握します。
Trend Micro Deep Security Manager等のSensorとの接続が未完了の場合は、Trend Micro Policy Managerの管理者ガイドにおける、"Sensorの接続"の記述を参照して実施してください。
Sensorから通知された各セキュリティリスクについて、本製品等のネットワークコントローラのAction等を定義する、Policyの追加が必要です。
注意が必要な入力値は以下のとおりです。
"Subnet の追加"で追加した、自動隔離機能の対象となる、仮想PCおよび物理サーバの運用ネットワークのサブネットを選択してください。
以下を選択してください。
- Isolate the infected endpoints affected by the triggered event
以下は選択しないでください。
- Deny all access to the destination IP address specified in the triggered event
- Log only
- ユーザーが定義したカスタムアクション
またセキュリティリスク検出時に本製品に自動的に通知を行うために、オプションの設定で"Prompt before taking action"オプションは有効から無効に変更してください。
注意
ここでの"Action"は、「1.1 検疫ネットワークへの自動隔離機能とは」で述べた"アクション選択"とは異なります。
Trend Micro Policy ManagerのPolicyでは"TMPM Action"、本製品がセキュリティリスクを検知した際の処理は"アクション"として本マニュアル上では表記します。
操作の詳細は、Trend Micro Policy Managerの管理者ガイドにおける、"Policy の管理"の記述を参照してください。
注意
Trend Micro Policy ManagerでTrend Micro Deep Security Manager以外を管理する構成は、サポート対象外の構成です。
McAfee ePO サーバのwebコンソールの"登録済みサーバー"を開いて、"新しいサーバー"より本製品のSNMPサーバを登録します。
注意が必要な入力値は以下のとおりです。
サーバーアドレスの種類に"IPv4"を選択し、アドレスに本製品のマネージャーのIPアドレスを設定します。
SNMPサーバーバージョンに"SNMPv1"を選択し、セキュリティにコミュニティ文字列を指定します。
操作の詳細は、McAfee ePolicy Orchestratorの製品ガイドにおける"SNMPサーバーを登録する"の記述を参照してください。
なお、上記ガイド内に、テストトラップを送信する手順が記載されていますが、本製品がテストトラップには対応していないため、本手順は実施不要です。
McAfee ePO サーバのwebコンソールの"自動応答"を開いて、"新しい応答"に自動応答ルール追加し、本製品のマネージャーへのSNMPトラップによるセキュリティリスクの通知、および管理者へのメールによるセキュリティリスクの通知を可能にします。
注意が必要な入力値は以下のとおりです。
"ステータス"を有効にします。
"脅威カテゴリ"を選択し、"マルウェア検出"を"属している"設定にします。
"SNMP トラップを送信"を選択します。
"登録済みサーバー"で登録したSNMPサーバを指定します。
SNMPトラップで送信する値を定義するために、"使用可能な種類"で"値"を選択し、すべての種類を">>ボタン"で追加します。
"電子メールの送信"を選択します。
"受信者"の横にある、"..."をクリックし、メッセージの受信者を選択します。
メールの件名、本文を指定します。
詳細は、McAfee ePolicy Orchestratorの製品ガイドにおける、"自動応答のセットアップ"の記述を参照してください。
McAfee ePolicy Orchestratorの製品ガイドにおける以下の記述を参照して実施してください。
Symantec連携バッチファイルおよびSymantec連携スクリプトファイルを圧縮したファイル(SEPMfile.zip)は、本製品マネージャーの以下のフォルダー配下に格納されています。
インストールフォルダー\SVROR\Manager\opt\FJSVrcxmr\sys\SEPM
Symantec Endpoint Protection Managerが動作するサーバの以下のフォルダーにSEPMfile.zipを格納し、そのフォルダーでSEPMfile.zipを展開してください。
drive\Symantec\Symantec Endpoint Protection Manager\bin
展開されるSymantec連携バッチファイルおよびSymantec連携スクリプトファイルの説明、ファイル名、格納場所は以下のとおりです。正しく展開されたか確認してください。
正しく展開された場合はSEPMfile.zipを削除してください。
ウイルス検出時に、SEPマネージャーから本製品に通知する際に起動されるバッチファイルです。
rcx_quarantine_lserver.bat
drive\Symantec\Symantec Endpoint Protection Manager\bin
rcx_quarantine_lserver.batから呼び出されるPowerShellスクリプトファイルです。
rcx_quaratine_lserver.ps1
drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\bin
本製品のユーザー情報をSymantec Endpoint Protection Managerに登録するためのPowerShellスクリプトファイルです。
rcx_register_ror.ps1
drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\cmd
Symantec Endpoint Protection Managerが動作するサーバで、PowerShellの実行ポリシーを"RemoteSigned"に変更します。
管理者権限でPowerShellのコンソールを起動し、以下のコマンドを実行します。
PS > Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
PS > Set-Location -Path 'drive\Symantec\Symantec Endpoint Protection Manager\bin\ResourceOrchestrator\cmd'
指定する本製品のユーザーIDには、本製品のインストール時に作成した特権ユーザーとしてログインするためのユーザーアカウント名を指定してください。
PS > ./rcx_register_ror.ps1 create -host 本製品のマネージャーのIPアドレスまたはホスト名(FQDN) -user 本製品のユーザーアカウント名 -password パスワード
既に情報が登録済の場合は以下のメッセージが出力されます。
上書きしてよい場合はyを応答してください。
INFO:230:Information already exists.Overwrite it? [y/n]
PS > ./rcx_register_ror.ps1 show
例
PS > ./rcx_register_ror.ps1 show HOST:192.168.10.40 PORT:23461 USER:manage PASSWORD:*******
本製品のユーザー情報登録用スクリプトファイルの詳細は、「5.6 【Symantec】rcx_register_ror.ps1コマンド実行時に出力されるメッセージ」を参照してください。
Symantec Endpoint Protection Managerがセキュリティリスクを検出した時、本製品のマネージャーに通知できるようにします。
Symantec Endpoint Protection Managerのwebコンソールから、以下の手順で、設定します。
操作の詳細は、Symantec Endpoint Protection 14 インストールガイドおよび管理者ガイドにおける、"管理者通知の設定"の記述を参照してください。
Symantec連携バッチファイルの呼び出しを有効にするため、以下の設定ファイルを編集します。
drive\Symantec\Symantec Endpoint Protection Manager\tomcat\etc\semlaunchsrv.properties
ファイルの末尾に以下の行を追加します。
sem.launchsrv.authorized.userdefined.tasks=bin\\notification.bat|bin\\rcx_quarantine_lserver.bat
設定ファイル編集後、以下のサービスを再起動すると、Symantec連携バッチファイルの呼び出しが有効になります。
ウイルス/不正プログラム検出が発生した場合、管理者のメールアドレス宛てに通知されるように設定してください。
なお、このメールはSymantec Endpoint Protection Managerから送信されるメールです。
「2.7 管理者へのメール通知機能の設定手順」で設定するメールとは異なります。
仮想PC
以下のどれかを実施してください。
ウイルスバスターCorp. 11.0 クライアントを導入して、ウイルスバスターCorp. 11.0 サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. 11.0のマニュアルを参照してください。
ウイルスバスターCorp. XG クライアントを導入して、ウイルスバスターCorp. XG サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. XGのマニュアルを参照してください。
Trend Micro Deep Security AgentまたはTrend Micro Deep Security Virtual Applianceを導入して、Trend Micro Deep Security Managerから管理している状態にしてください。
詳細は、Trend Micro Deep Securityのマニュアルを参照してください。
Symantec Endpoint protection クライアントを導入して、Symantec Endpoint Protection Managerから管理されている状態にしてください。
詳細は、Symantec Endpoint protectionのマニュアルを参照してください。
SBCサーバ
以下のどれかを実施してください。
ウイルスバスターCorp. 11.0 クライアントを導入して、ウイルスバスターCorp. 11.0 サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. 11.0のマニュアルを参照してください。
ウイルスバスターCorp. XG クライアントを導入して、ウイルスバスターCorp. XG サーバから管理されている状態にしてください。
詳細は、ウイルスバスターCorp. XGのマニュアルを参照してください。
McAfee Agentのインストールを行いMcAfee ePO サーバから管理されている状態にしたあとでMcAfee Endpoint Securityの配備をしてください。
McAfee ePolicy Orchestratorの製品ガイドにおける以下の記述を参照して実施してください。
"McAfee ePO サーバーのセットアップ"の"McAfee Agent とライセンス ソフトウェアのインストール"
"高度な設定"の"製品の配備"
Symantec Endpoint protection クライアントを導入して、Symantec Endpoint Protection Managerから管理されている状態にしてください。
詳細は、Symantec Endpoint protectionのマニュアルを参照してください。
本製品のマネージャー
VMware vSphere PowerCLI 6.0以降を導入して、VMware PowerCLI が起動することを確認してください。
詳細は、VMware vSphere PowerCLIのマニュアルを参照してください。
注意
本製品のマネージャーの導入後にPowerCLIをインストールした場合、本製品からの操作が正常に動作しない場合があります。
上記の場合、本製品のマネージャーを再起動してください。
マネージャーの停止と起動方法については、以下を参照してください。
「運用ガイド VE」の「2.1 マネージャーの起動と停止」
「運用ガイド CE」の「2.1 マネージャーの起動と停止」
管理サーバがインターネットに接続されていない場合、PowerCLIスナップインのロード時間が長くなり、ネットワーク切替えの処理を阻害します。
このため、管理サーバをインターネットに接続してください。
インターネットに接続できない場合は、"Microsoft ルート証明書プログラム"無効化と発行元証明書の取り消しに関する設定を無効化の対処を実施します。
管理サーバ上で、以下の2つの手順を実施してください。
"Microsoft ルート証明書プログラム"を無効化
グループポリシーエディターを起動します。
[コンピューターの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]を選択します。
[証明書パス検証の設定]をダブルクリックします。
[ネットワークの取得]タブをクリックします。
[これらのポリシーの設定を定義する]チェックボックスにチェックを入れます。
[Microsoft ルート証明書プログラムで証明書を自動更新する]チェックボックスのチェックを外します。
参考
[パス検証時に発行者証明書 (AIA) 取得を許可する]チェックボックスのチェックは入れたままにしてください。この項目は、証明書チェーンの検証に影響します。
証明書チェーンの検証
証明書の機関情報アクセス(AIA)に記載されているパスをもとに、ルート証明書以外のCA証明書(中間証明書)を必要に応じてダウンロードします。この中間証明書を経由して、ルートのCA証明書までのチェーンを構築します。
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing
| 変更前 | 0x00023c00: 有効 |
|---|---|
| 変更後 | 0x00023e00: 無効 |