はじめに
DeepSecurity12の機能について動作確認を実施していきます。今回は侵入防御の動作確認です。
過去の関連記事
・DeepSecurity12で不正プログラム対策の動作確認をしてみた
前提条件
DeepSecurity12の環境が構築できているとします。もし未構築であれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install/
いずれかのサーバにDeepSecurity12のAgentがインストールできているとします。もし未インストールであれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install-script-agent/
サーバの設定
サーバの設定確認
トレンドマイクロ社のサイトに情報があります。公式サイトの情報を元に実際に試していきます。
https://help.deepsecurity.trendmicro.com/11_0/on-premise/ja-jp/set-up-intrusion-prevention.html
管理コンソールから「侵入防御」の状態を確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[詳細]ボタンをクリックします。
左サイドバーから[侵入防御]をクリックします。
デフォルト設定であれば、ステータスが「オン」「防御」「ルールなし」になっています。
ルールを追加します。
侵入防御の設定
侵入防御の画面から「割り当て/割り当て解除」ボタンをクリックします。
侵入防御ルールの画面で検索欄に「1005924」を入力してEnterキーを押下します。「1005924」の項目が検索されたらチェックを入れて「OK」ボタンをクリックします。
「1005924」は、HTTPによるEICARテストファイルのダウンロードを制限します。
また依存関係の項目を割り当てるか聞いてくるので「OK」ボタンをクリックします。
ルールが2つ割り当てられたことを確認します。
動作確認
テスト用ウィルスファイルのダウンロード
Agentをインストールしたサーバからトレンドマイクロ社のサイトにアクセスします。 「eicar.com」をダウンロードします。
侵入防御の確認
「eicar」ファイルのダウンロードが防御されます。侵入防御の機能で接続がリセットされたことが確認できます。
管理コンソールからイベントログを確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[イベント]ボタンから[侵入防御イベント]をクリックします。
サイトへの接続がリセットされたイベントを確認できます。
アラートメールの確認
アラートメールは以下の形で届きます。
【件名】
新しいアラートの発令: 1台のコンピュータで侵入防御ルール
(1005924 - Restrict Download Of EICAR Test File Over HTTP) のアラートが発生しました
【本文】
ご使用のDeep Securityアカウントについて次のアラートが発生しました:
アラート: 1台のコンピュータで侵入防御ルール
(1005924 - Restrict Download Of EICAR Test File Over HTTP)
のアラートが発生しました [プライマリ (0)]
重要度: 警告
アラートのインスタンスID: 11
時刻: 2021-05-17 03:48
前回のアップデート: 2021-05-17 03:48
説明: 1台以上のコンピュータで、アラートを発するように設定されている
侵入防御ルールに合致しました。
アラートの詳細についてはDeep Securityヘルプセンターを参照してください。
help.deepsecurity.trendmicro.com
コンピュータ:
WINDOWS2019
コメント