DeepSecurity12で侵入防御の動作確認をしてみた

スポンサーリンク

はじめに

DeepSecurity12の機能について動作確認を実施していきます。今回は侵入防御の動作確認です。

過去の関連記事
DeepSecurity12で不正プログラム対策の動作確認をしてみた

前提条件

DeepSecurity12の環境が構築できているとします。もし未構築であれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install/

いずれかのサーバにDeepSecurity12のAgentがインストールできているとします。もし未インストールであれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install-script-agent/

サーバの設定

サーバの設定確認

トレンドマイクロ社のサイトに情報があります。公式サイトの情報を元に実際に試していきます。
https://help.deepsecurity.trendmicro.com/11_0/on-premise/ja-jp/set-up-intrusion-prevention.html

管理コンソールから「侵入防御」の状態を確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[詳細]ボタンをクリックします。
左サイドバーから[侵入防御]をクリックします。
デフォルト設定であれば、ステータスが「オン」「防御」「ルールなし」になっています。

ルールを追加します。

侵入防御の設定

侵入防御の画面から「割り当て/割り当て解除」ボタンをクリックします。

侵入防御ルールの画面で検索欄に「1005924」を入力してEnterキーを押下します。「1005924」の項目が検索されたらチェックを入れて「OK」ボタンをクリックします。

「1005924」は、HTTPによるEICARテストファイルのダウンロードを制限します。

また依存関係の項目を割り当てるか聞いてくるので「OK」ボタンをクリックします。

ルールが2つ割り当てられたことを確認します。

動作確認

テスト用ウィルスファイルのダウンロード

Agentをインストールしたサーバからトレンドマイクロ社のサイトにアクセスします。 「eicar.com」をダウンロードします。

侵入防御の確認

「eicar」ファイルのダウンロードが防御されます。侵入防御の機能で接続がリセットされたことが確認できます。

管理コンソールからイベントログを確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[イベント]ボタンから[侵入防御イベント]をクリックします。
サイトへの接続がリセットされたイベントを確認できます。

アラートメールの確認

アラートメールは以下の形で届きます。

【件名】
新しいアラートの発令: 1台のコンピュータで侵入防御ルール
 (1005924 - Restrict Download Of EICAR Test File Over HTTP) のアラートが発生しました

【本文】
ご使用のDeep Securityアカウントについて次のアラートが発生しました:

アラート: 1台のコンピュータで侵入防御ルール
 (1005924 - Restrict Download Of EICAR Test File Over HTTP) 
のアラートが発生しました [プライマリ (0)]
重要度: 警告
アラートのインスタンスID: 11
時刻: 2021-05-17 03:48
前回のアップデート: 2021-05-17 03:48
説明: 1台以上のコンピュータで、アラートを発するように設定されている
侵入防御ルールに合致しました。 
アラートの詳細についてはDeep Securityヘルプセンターを参照してください。
Deep Security Help Center | Deep Security
コンピュータ: WINDOWS2019

コメント

タイトルとURLをコピーしました