FutureVulsでは外部連携の機能を用意しています。
Deep Security as a Service(以下、DSaaS)と連携することでFutureVulsに以下の2点の機能を追加可能です。
侵入防御ルール最適化機能
FutureVulsで検知したCVE-IDのリストを元に、DSaaSの侵入防御ポリシーを自動生成します。
実際に検知したCVE-IDを元にルールを自動生成するため、最適化されたルールを生成できます。DSaaSには [Vuls] {サーバのロール名}
という形式でポリシーが作成されます。サーバのロールはDSaaSで同じポリシーとして管理する単位で分割ください。(ロールの作成方法)
侵入防御ルール表示、自動トリアージ機能
DSaaSにて防御中のCVE-IDを一覧画面に表示し、該当するタスクのステータスをWorkAroundに設定します。
DeepSecurityのエージェントをインストールしたあと、FutureVulsで再スキャンする必要があります。
どちらの機能もFutureVuls側でスキャンされた際に実行されます。
※ コンピュータの侵入防御ルールを取得するために、コンピュータの「編集」権限が必要になります。編集権限の必要性については、トレンドマイクロ社に現在問い合わせ中です。
グループ設定の 外部連携
から設定できます。
先ほど作成した ユーザ名
、パスワード
、トークン
と、Deep Securityのアカウント名を入力して、「保存」ボタンを押下します。
分割したい単位でロールを作成します。
ロールの単位は、DSaaSのポリシー単位で作成すると、管理がしやすくなります。
ポリシー作成時、[Vuls] {ロール名}
の命名規則で作成すると、侵入防御ルールが自動更新されます。
たとえば default
という名前のロールであれば、 [Vuls] default
というポリシー名をDSaaS上で作成します。
※ ポリシー名が存在しない場合、上記の命名規則で、新たなポリシーが作成されます。
新規作成の場合は、ポリシーの「設定 > 一般 > 推奨設定」にて「推奨設定の継続的な検索を実行」を「はい」か「いいえ」に設定してください。どちらでもない場合、侵入防御の反映に失敗します。(「継承 (はい/いいえ)」「初期設定 (はい/いいえ)」の場合、処理が失敗します。)
また侵入防御を「オン」にしておくと、設定したルールが有効になります。
サーバのページにて、複数のサーバを選択して、一括でロールを変更できます。
DSaaSと連携するには、設定後に再度スキャンを行う必要があります。 DSaaSとの連携が完了するまで、数分お時間いただく場合がございます。
サーバ一覧画面の「Deep Securityステータス」に、侵入防御ルールが有効になっているかのマークが表示されるようになります。
タスク一覧画面では、DeepSecurityで設定された侵入防御ルールが反映された場合、「DeepSecurityステータス」列に状態が反映されます。 また、状況に応じてタスクのステータスも変更されます。
現在、オンプレミスのDeepSecurityとの連携はできません。
ポリシー設定は、ロールごとに作成されるため、連携の効果を高めるためには、適切にサーバをロール管理する必要があります。
現在、ユーザアカウントは「ポリシー作成」に利用しており、APIキーは「侵入防御のステータスの反映」に利用しております。今後、DeepSecurityのAPIキーのみご登録いただければ利用できるように変更していく予定です。