Trend Micro Deep Securityのセキュリティ保護機能を検証!!動作確認編

こんにちは。SB Cloud ソリューションアーキテクトのMIです。

前回は、Deep Securityの構築手順をご紹介させて頂きました。⇒環境構築編
今回は、動作確認の手順をご紹介させて頂きます。
Deep Securityには7つの保護機能がありますが、各機能ついて動作確認を実施し、動作することを確認しています。

検証環境の構成図

Deep Security動作確認

不正プログラム対策、ファイアウォール、侵入防御、変更監視、セキュリティログ監視、アプリケーションコントロール、Webレピュテーションの7つの機能について動作確認を実施します。

No 機能 動作確認概要
1 不正プログラム対策 テスト用ウィルスファイルダウンロード
2 ファイアウォール 拒否ルールでブロック
3 侵入防御 特定のシグネチャを含むURLへの接続を禁止
4 変更監視 テストファイルの変更を監視
5 セキュリティログ監視 SSHログイン成功のイベントを検知
6 アプリケーションコントロール 許可されていないシェルの実行をブロック
7 Webレピュテーション 危険なWebサイト(テスト)へのアクセスをブロック

 

1.不正プログラム対策

不正プログラム対策の動作確認は以下URLのトレンドマイクロ社の手順を参考に実施します。
https://success.trendmicro.com/jp/solution/1114066

(1)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。
以下のコマンド実行します。wgetコマンドでテスト用ウィルスファイル(eicar.com)をダウンロードしますが、不正プログラム対策機能によりファイルが作成されないことが確認できます。

# wget http://files.trendmicro.com/products/eicar-file/eicar.com
--2018-09-07 16:28:18--  http://files.trendmicro.com/products/eicar-file/eicar.com
Resolving files.trendmicro.com (files.trendmicro.com)... 23.217.125.215, 2600:140b:5000:1a3::286b, 2600:140b:5000:190::286b
Connecting to files.trendmicro.com (files.trendmicro.com)|23.217.125.215|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68 [text/plain]
Saving to: ‘eicar.com’

100%[======================================>] 68          --.-K/s   in 0s

utime(eicar.com): No such file or directory
2018-09-07 16:28:18 (16.1 MB/s) - ‘eicar.com’ saved [68/68]

#
# ls –l
total 0
#

(2)DSMコンソールで管理対象サーバの[不正プログラム対策]>[不正プログラム対策イベント]でファイルeicar.comが隔離されたイベントが検知されたことを確認できます。

2.ファイアウォール

ファイアウォールの動作確認は以下URLのトレンドマイクロ社の手順を参考に実施します。
https://success.trendmicro.com/jp/solution/1114068

(1)DSMコンソールで管理対象サーバの[ファイアウォール]>[一般]>[割り当て/割り当て解除]ボタンを押下します。

(2)ファイアウォールルールが表示されます。拒否ルールに登録されている[Ping Deny]ポリシーにチェックを入れ、[OK]ボタンを押下します。

(3)マネージャサーバのコマンドプロンプトを起動し、管理対象サーバへpingを実行します。ファイアウォール機能によりpingの結果がタイムアウトになることが確認できます。

(4)[ファイアウォール]>[ファイアウォールイベント]でpingが拒否されたイベントが検知されたことを確認できます。

 

3.侵入防御

侵入防御の動作確認は以下URLのトレンドマイクロ社の手順を参考に実施します。
https://success.trendmicro.com/jp/solution/1310142

(1)DSMコンソールで管理対象サーバの[侵入防御]>[一般]>[割り当て/割り当て解除]ボタンを押下します。

(2)侵入防御ルールが表示されます。[新規]>[新しい侵入防御ルール]を押下します。

(3)[一般]に以下の通りに入力し、[ルール]を押下します。

名前:hello world
説明:test
アプリケーションの種類:Web Client Common

(4)[ルール]に以下の通りに入力し、[OK]ボタンを押下します。

テンプレート:シグニチャ
シグニチャ:Hello
処理:パケットの破棄、接続のクローズ

(5)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。
以下のコマンド実行します。curlコマンドでURLのシグネチャにhelloが含まれると、侵入防御機能により接続がリセットされることが確認できます。

# curl  http://www.google.co.jp/search?q=hello
curl: (56) Recv failure: Connection reset by peer
#

(6)[侵入防御]>[侵入防御イベント]でhello worldのWeb Client Commonがリセットされたイベントが検知されたことを確認できます。

 

4.変更監視

変更監視の動作確認は管理対象サーバにテストファイルを作成し、テストファイルが更新されたときに変更監視機能によってイベントが検知されること確認します。
以下URLのトレンドマイクロ社の手順を参考にしています。
http://esupport.trendmicro.com/solution/ja-JP/1114070.aspx

トレンドマイクロ社の手順はWindowsのhostsファイルの変更を規定ルールで動作確認をしています。検証環境はLinux環境のため、新規にルールを作成して動作確認を実施しています。

(1)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。
以下のコマンド実行します。テスト用のディレクトリを作成し、テストファイル(testfile)を準備します。

# mkdir /tmp/testdir
# cd  /tmp/testdir
# date > testfile
#
# ls -l
total 1
-rw-r--r-- 1 root root 29 Sep  7 18:09 testfile
#

 

(2)DSMコンソールで管理対象サーバの[変更監視]>[一般]>[割り当て/割り当て解除]ボタンを押下します。

(3)変更監視ルールが表示されます。[新規]>[新しい変更監視ルール]を押下します。

(4)[一般]に以下の通りに入力し、[ルール]を押下します。

名前:testfile change
説明:test

(5)[ルール]に以下の通りに入力し、[OK]ボタンを押下します。

テンプレート:ファイル
基本ディレクトリ:/tmp/testdir
ファイル名:*

(6)[変更監視]>[一般]>[ベースラインの再構築]ボタンを押下します。

(7)「ベースラインを再構築してもよろしいですか?」画面で[OK]ボタンを押下します。

(8)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。
以下のコマンド実行します。テストファイル(testfile)を更新します。

# cd  /tmp/testdir
# date > testfile
# ls -l testfile
-rw-r--r-- 1 root root 29 Sep 13 15:06 testfile
#

 

(9)DSMコンソールで管理対象サーバの[変更監視]>[一般]>[変更の検索]ボタンを押下します。

(10)[変更監視]>[変更監視イベント]でtestfileがアップデートされたイベントが検知されたことを確認できます。

 

5.セキュリティログ監視

セキュリティログ監視の動作確認は管理対象サーバにsshでログインされたことをセキュリティログ監視機能によってイベントが検知されること確認します。
以下URLのトレンドマイクロ社の手順を参考にしています。
http://esupport.trendmicro.com/solution/ja-JP/1114071.aspx

トレンドマイクロ社の手順はWindowsのイベントログで動作確認をしています。検証環境はLinux環境のため、Linuxのsshのルールを利用して動作確認を実施しています。

(1)DSMコンソールで管理対象サーバの[セキュリティログ監視]>[一般]を表示します。

推奨設定で追加されたルール「1002828 – Application – Secure Shell Daemon(SSHD)」が割り当てられていることが確認できます。このルールはSSHログイン成功を検知する設定が含まれています。以降でSSHログイン成功のイベントが検知できることを確認していきます。

(2)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。

(3)DSMコンソールで管理対象サーバの[セキュリティログ監視]>[セキュリティログ監視イベント]でSSHD authentication successのイベントが検知されたことを確認できます。

6.アプリケーションコントロール

アプリケーションコントロールの動作確認は以下URLのトレンドマイクロ社の手順を参考に実施します。
https://success.trendmicro.com/jp/solution/1116882

(1)DSMコンソールで管理対象サーバの[アプリケーションコントロール]>[一般]を表示します。以下の通りに入力し、[OK]ボタンを押下します。

実行:承認されていないソフトウェアを明示的に許可するまでブロック

(2)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。

以下のコマンド実行します。viエディタで実行ファイル(test999.sh)を作成し、実行権限を付与します。実行ファイルを実行すると、アプリケーションコントロール機能で実行できないことが確認できます。

# cd /tmp/testdir/
# vi test999.sh
===viで入力する内容 ここから===
#!/bin/bash
date
===viで入力する内容 ここまで===
# chmod +x test999.sh
# ./test999.sh
-bash: ./test999.sh: Operation not permitted
#

(3)DSMコンソールで管理対象サーバの[アプリケーションコントロール]>[アプリケーションコントロールイベント]でtest999.shの処理がブロックされたイベントが検知されたことを確認できます。

 

7.Webレピュテーション

Webレピュテーションの動作確認は以下URLのトレンドマイクロ社の手順を参考に実施します。
https://success.trendmicro.com/jp/solution/1312210

(1)DSMコンソールで管理対象サーバの[Webレピュテーション]>[一般]を表示します。検証環境ではWebレピュテーションの設定が[オフ]であったため、[オン]に変更しています。

(2)管理対象サーバにターミナルソフトウェアから管理者ユーザでログインします。

以下のコマンド実行します。Webレピュテーション機能によりサイトへアクセスがブロックされたことが確認できます。

# curl http://wrs21.winshipway.com/
<html>
<head>
<title>Page Blocked</title>
<style>~省略~</style>
</head>
<body>
<h1 class="l">Trend Micro Deep Security</h1>
<h2>This page is unsafe.</h2>
<h3>URL: wrs21.winshipway.com/</h3>
<h3>Risk Level: Dangerous</h3>
<br/>
<h3>Your administrator has blocked this page for safety.</h3>
<br/>
<fieldset>
<legend>What you can do</legend>
<ul>
<li><a href="javascript:history.go(-1)">Go back to the previous page</a></li>
<li><a href="http://jp.sitesafety.trendmicro.com/">Contest this rating</a></li>
</ul>
</fieldset>
<br/>
<div class="l" align="right">Blocked by Web Reputation, Trend Micro Deep Security Agent</div>
<br/>
Copyright &copy; 2018 Trend Micro Inc. All rights reserved.
</body>
</html>

#

 

(3)DSMコンソールで管理対象サーバの[Webレピュテーション]>[Webレビュテーションイベント]でhttp://wrs21.winshipway.com/の処理がブロックされたイベントが検知されたことを確認できます。

 

おわりに

環境構築編、動作確認編と2編にわたって、Deep Securityのご紹介をさせて頂きました。Alibaba CloudのセキュリティソリューションのWAF、Anti-DDoS、セキュリティーグループはVPCに到達する前の攻撃から保護をすることができ、Deep SecurityはECSに出入りする攻撃から保護することができます。
それぞれを組合せて最適なセキュリティ対策を実施されることをオススメします。

この記事をシェアする