外部連携 DeepSecurity

外部連携について

FutureVulsでは外部連携の機能を用意しています。

Deep Security as a Serviceとの連携方法

Deep Security as a Service(以下、DSaaS)と連携することで以下のことが可能です。

  1. FutureVulsで検知した実際に潜在するCVE-IDのリストを元に、DSaaSのAPIを叩き潜在するCVE-IDに該当するDSaaSの侵入防御ポリシーを自動生成
  2. DSaaSで管理しているサーバの侵入防御のステータスを見て、FutureVulsのステータスに反映 (自動生成したポリシー以外も有効)

どちらの機能もFutureVulsでスキャンが走った場合に行われます。

1の機能は、実際に検知したCVE-IDを元にルールを補完するため、防御ルールの強度が向上します。DSaaSには [Vuls] {サーバのロール名}という形式でポリシーが作成されます。 サーバのロールはDSaaSで同じポリシーとして管理する単位で分割ください。(ロールの作成方法)

2の機能は、DeepSecurityのエージェントをインストールしたあと、FutureVulsで再スキャンする必要があります

連携方法

Deep Security as a Serviceでの操作

1. FutureVuls用の「役割」を作成

  1. 管理 > ユーザ管理 > 役割 で役割を作成
  2. 「一般」タブで「WebサービスAPIへのアクセスを許可」のみチェック role1
  3. 「コンピュータの権限」タブで「編集」にチェック role2
  4. 「ポリシーの権限」タブで「編集」にチェック、「ポリシーの作成」をチェック role3
  5. 「役割」を作成

※ コンピュータの侵入防御ルールを取得するために、コンピュータの「編集」権限が必要になります。編集権限の必要性については、トレンドマイクロ社に現在問い合わせ中です。

2. FutureVuls用のAPIトークンを発行

  1. 管理 > ユーザ管理 > APIキー で「新規」を選択
  2. 先ほど作成した役割を元にキーを発行
  3. 発行したキーを、FutureVulsの外部連携連携画面に入力

token

3. FutureVuls用のユーザを作成

  1. 管理 > ユーザ管理 > ユーザ で「新規」を選択
  2. 先ほど作成した役割を元にユーザを作成
  3. 作成したユーザの認証情報を、FutureVulsの外部連携連携画面に入力

user

FutureVulsでの操作

グループ設定の 外部連携 から設定できます。
先ほど作成した ユーザ名パスワードトークン と、Deep Securityのアカウント名を入力して、「保存」ボタンを押下します。

image.png

導入手順

0. 上記の手順に沿って、グループ設定画面で連携

1. FutureVuls画面で「ロール」を作成

分割したい単位でロールを作成します。
ロールの単位は、DSaaSのポリシー単位で作成すると、管理がしやすくなります。

2. DSaaS画面で「ポリシー」を作成

ポリシー作成時、[Vuls] {ロール名} の命名規則で作成すると、侵入防御ルールが自動更新されます。
たとえば defaultという名前のロールであれば、 [Vuls] default というポリシー名をDSaaS上で作成します。
※ ポリシー名が存在しない場合、上記の命名規則で、あらたなポリシーが作成されます。

create_policy.png

新規作成の場合は、ポリシーの「設定 > 一般 > 推奨設定」にて「推奨設定の継続的な検索を実行」を「はい」か「いいえ」に設定してください。どちらでもない場合、侵入防御の反映に失敗します。(「継承(はい/いいえ)」「初期設定(はい/いいえ)」の場合、処理が失敗します) recommend_policy.png また侵入防御を「オン」にしてオンにしておくと、設定したルールが有効になります。 prevention_policy.png

3. FutureVuls画面で、サーバをロールに割り当てる

サーバのページにて、複数のサーバを選択して、一括でロールを変更できます。

4. DSaaS画面でポリシーとコンピュータを割り当てる

computer.png

5. スキャンを行う

DSaaSとの連携を行うには、設定後に再度スキャンを行う必要があります。 DSaaSとの連携が完了するまで、数分お時間いただく場合がございます。

6. 連携の確認

サーバ一覧画面の「Deep Securityステータス」に、侵入防御ルールが有効になっているかのマークが表示されるようになります。

タスク一覧画面では、DeepSecurityで設定された侵入防御ルールが反映された場合、「DeepSecurityステータス」列に状態が反映されます。 また、状況に応じてタスクのステータスも変更されます。

連携後

  • DeepSecurityで防御 : 「✔」のアイコン、タスクステータスがWorkaroundに
  • DeepSecurityで検知 : 「!」のアイコン、タスクステータスは変更なし
  • DeepSecurityのコンピュータで侵入防御ルールがオフになっている : 「一時停止」マーク

状態が変化した場合

  • DeepSecurityで防御→検知に変更 : タスクステータスがNewに
  • DeepSecurityの連携を解除 : 次回スキャン時にDeepSecurity情報が削除

注意点

現在、オンプレミスのDeepSecurityとの連携はできません。

ポリシー設定は、ロールごとに作成されるため、連携の効果を高めるためには、適切にサーバをロール管理する必要があります。

ユーザアカウントとAPIトークンについて

現在、ユーザアカウントは「ポリシー作成」に利用しており、APIトークンは「侵入防御のステータスの反映」に利用しております。今後、DeepSecurityのAPIトークンのみご登録いただければ利用できるように変更していく予定です。