TrendMicro Cloud Integrator Consortium LT資料

1. 侵入防御で誤検知をなくすための
DeepSecurity運用
Trend Micro Cloud Integrator Consortium
classmethod.jp 1
15/09/15 クラスメソッド株式会社
AWSコンサルティング部
森永 大志

2. 会社紹介
クラスメソッドとは
classmethod.jp 2

3. クラスメソッド株式会社
classmethod.jp 3

4. Developers.IO
classmethod.jp 4

5. Developers.IO
classmethod.jp 5
5000本の技術記事
1800本のAWS記事
月間100万PV

6. 自己紹介
森永大志とは
classmethod.jp 6

7. 自己紹介
森永 大志
クラスメソッド株式会社
AWSコンサルティング部
ソリューションアーキテクト
classmethod.jp 7

8. 誤検知を無くすための運用
運用でなんとかする
classmethod.jp 8

9. 侵入防御
ホスト型IDS/IPSやWAFのことを指す。
これとファイアウォールで侵入を防ぐ。
classmethod.jp 9

10. 仮想パッチ
ソフトウェアに脆弱性が発見され、公式のパッ
チが出る前に攻撃を防ぐための疑似パッチ。
classmethod.jp 10

11. 誤検知
「侵入防御」「仮想パッチ」が正常な通信を遮
断してしまうことがある。
異常な通信を通してしまうのも問題ですが…
classmethod.jp 11

12. モード
「侵入防御」には２つのモードがある。
• 防御モード
いわゆるIPS。
攻撃と思われる通信を遮断する。
• 検出モード
いわゆるIDS。
攻撃と思われる通信を検知する。
classmethod.jp 12

13. おすすめの運用
新しいルールを一定期間「検出モード」で適用
したのちに「防御モード」に切り替える
つまり慣熟期間をもうける
classmethod.jp 13
から

14. ルールアップデートの頻度
侵入防御のルールアップデートは以下の時間
• 毎月第二水曜日 3:00～8:00 頃
• 毎月第四火曜日 22:00～第四水曜日 5:00 頃
これ以外に緊急のルールアップデートが実施される
classmethod.jp 14
緊急の脆弱性に対応したルールアップデート
BIND、OpenSSL、Bashなど

15. 侵入防御ルール適用方針
①新規定期ルールアップ
デート配信
②既存ルールは自動で「防
御モード」へ移行
③新規定期ルールは「検出
モード」で適用
④次の定期ルールアップ
デートまで「検出モード」
⑤緊急のルールアップデー
トは即時「防御モード」
⑥レポートで怪しい動きが
あれば、そのルールのみ手
動で「防御モード」
classmethod.jp 15

16. 詳細・設定方法
続きはWEBで！弊社ブログをご覧ください。
classmethod.jp 16

17. さいごに
せんでん
classmethod.jp 17

18. 宣伝！
Re:Inventの振り返り、IoTの話をするイベン
ト「Re:Growth」を実施します！
classmethod.jp 18
http://classmethod.connpass.com/event/19500/

19. ご清聴ありがとうございました。
classmethod.jp 19