際際滷

DeepSecurity
でシステムを便るための�\喘をﾗつか
by hirokazu@cloudpack.jp

Who am I ?
耳弥ひろかず (hirokazu yoshida)
Suport Engineer at cloudpack
http://qiita.com/fnifni

and more ?
?2013定7埖にcloudpackにJOIN
?耳弥侖ってパッとしないコンプ
?挫きなサ�`ビス

キッカケは�
http://www.slideshare.net/YoshidaShingo/20130622-jawsug-aws

寄昜になんかスゴい繁がいる�
��g�`い�

しかも耳弥侖�
●ココ寄並●

匯�wにクラウドの碧並すれば
耳弥侖の芙氏議仇了�貧に!?

そんなこんなで
クラウド順晢に秘ったキッカケの
JAWS-UG寄昜で
セキュリティ�v�Bの�を
することになりました

Today¨s ODAIMOKU
0. 好�弔�A�
1. 盃秘契囮?゛契囮モ�`ドで芦畠に便る�\喘
2. セキュリティログ�O�?゛�歸笋魏譴垢諧\喘
3. �筝鉧O�?゛�篁�鰆�諧\喘

Not ODAIMOKU
? �u瞳�B初
? マルチテナント�h廠の�\喘
? ア�`キテクチャに�Sる何蛍
? 好�弔僚睥�峽�

�g縞、どれくらい好�弔�瓦襪裡�

とある二�Iの盃秘契囮レポ�`ト(�i�)
2015/1/1゛2/28

�g箭1
蝶晩23:00
謹方の砿尖サ�`バに��してPHPの
巌樋來を粧った好�弔��r謹�k。
�返��茲�200周。
�奮�皎`ドであったため、畠岬�{
�砲僚Y惚、唹�なしと登協。

�g箭2
2014定11埖蝶晩 19:28:46゛
20:12:08の�g、￣URIパスの侮さが
階�^￣イベントを2227周�返��
DeepSecurityにて畠てリセットさ
れており、サイトオ�`プンも措挫。

モ�`ドとは、盃秘契囮�C嬬における
コンピュ�`タ(サ�`バ)�g了で�O協する�嘛�皎`ド

トレンドマイクロ Q&Aペ�`ジ
http://esupport.trendmicro.com/solution/ja-jp/1096610.aspx
ネットワ�`ク�U喇の好�弔睦��

いきなり契囮モ�`ドじゃ
だめなの�

屎械宥佚を�`(�^)�返�靴��蓮�
宥佚をリセット(契囮)してしまう
訊れが�

�g箭1.
ユ�`ザ�`兆に晩云�Z猟忖を根むアプリ宥佚に��して
DeepSecurityが晩云�Zをデコ�`ドできない尖喇で
�返� �URIに聞喘できない猟忖�
?
￣�奮�皎`ド￣で�T母�\佩嶄であったため
唹�なし
DS9.5sp1(DSaaS根む)では
デフォルトOFF

�g箭2.
仟しくリリ�`スされた�∀襯僖奪舛硫�笋�
mysqlへの宥械宥佚が好�弔箸靴謄▲薊`ト�返�
?
アップデ�`トしたル�`ルを�奮�皎`ド�m喘
していたため、唹�なし

�\喘�_兵瘁の�T母豚�gと
弖紗?厚仟ル�`ルの
�奮�皎`ド�m喘がオススメ

降母豚寂嶄どこを需たらいいの�

1. 盃秘契囮イベント
音屎な恠��
?????HTMLの��Ⅲ修��靴�覆� ★ /../aaa/bbb
SQLインジェクション、XSS�v�Bル�`ル
?????XML宥佚�(��ﾕ{屁)
?????PHPでのデ�`タベ�`ス荷恬�(.htaccess)
etc´

2. ファイアウォ�`ルイベント
TCP恷寄俊�A方
?????寄訓腹�WebSocket�りっぱなし�
メモリ音怎、メモリ護り輝ての払��
?????インスタンス弌さすぎる�寄訓腹�
?????蒙協宥佚で哈っかかってる�
´etc

ケアした瘁には芦畠な�\佩が�
��

契囮モ�`ドにしたら、
DSにお販せでいい´よね�

だがちょっと棋ってほしい�
AA徭�

弖紗?厚仟ル�`ルは
仝返�嘸m喘々で仝�奮�皎`ド�m喘々
仝徭�嘸m喘々では仝�奮�皎`ド�m喘々が
できないのです。。。

返強癖喘と徭強癖喘の曳熟

メリットデメリット
返�嘸m喘 ?�奮�里烝m喘ができる
?返�gがかかる
?�g佩するまで�m喘されない
徭�嘸m喘 ?仟しい�{璃に儻堀に��
?厚仟/弖紗ル�`ルがいきなり
契囮モ�`ド(�`�返�凌屬�)
?徭�嘸m喘されない麗もある

恷�K議には�\喘してみてからの
革紗�p��

潤蕉、どれ聞ったらいいの�

容�X�O協の�碧�鯤垢い泙靴腓�

容�X參翌のル�`ルもあります
1000608 - Generic SQL Injection Prevention
1000552 - Generic Cross Site Scripting(XSS) Prevention
etc..
蒙歩喘余?�{屁が�yしいものが謹いので
????????????????ご旋喘は�鮫議に´

セキュリティログ�O�って
DeepSecurity9.5 SP1 砿尖宀ガイド
http://?les.trendmicro.com/jp/ucmodule/tmds/95Sp1/
Deep_Security_95_SP1_Admin_Guide_JP.pdf

好�蝶氷Δ泙任砲�?
嚠孥があります

とある二�Iのセキュリティログ�O�レポ�`ト(�i�)
2015/1/1゛2/28

禽艶艶沿皆艶界顎姻庄岳霞でシステムを便る塰喘を叱つか

彜�rを岑ることができれば
鯛ち彭いて��Iできます。

これも容�X�O協の�碧��
いい湖じにやってくれるの�

1. 容�Xをそのまま聞うと´
嚠豚せぬ�o�L彜�B
????�輝�`いの��銈魃O�してた
?
嚠豚せぬ寄楚アラ�`ト
????レスポンスコ�`ド4xxとか5xxとか
????屎�のsyslog侘塀(size)ではないとか

2. �h廠に鬉犬尽O協が駅勣
アクセスログの�O�には廣吭が駅勣
????云輝に駅勣�
????�O�するなら坪否を函�累x�k
匯何メッセ�`ジの嶷勣業�O協の�筝�
�O��ログファイルパスの峺協
????エラ�`竃ます。恷��腎尅りします。

仝畠何秘り々なので
�\喘しながら�{屁しましょう

これで寄嬋健´�
寄嬋健�

火廷ながらDeepSecurityは
舞��じゃないのです��

便れないケ�`ス
ル�`ル翌の好��
????ル�`ル隆�m喘、ゼロデイ好��
屎械宥佚を宥すための�才企崔の唹�
????�^��バイパス、��､累^��才
屎�ル�`トでのロ�`カル盃秘
????蜘畜息��▲僖好鍠`ド�J�^融篤
アプリケ�`ションロジックの音��

�筝鋓猜咾�欷兇④泙靴腓Γ�

�O��とリアルタイム�返�

これは容�X�O協の�碧��
いい湖じにやってくれる
´のかな�

火廷ながら
畠何秘りであるが絞に寄楚に�返�垢��呂�
????ポ�`トの�筝釮�返��SSH吉�
????システム議�嘛��返�┘廛蹈札貢�B�
�筝釮枠��返�気譴�
????WindowsUpdateで寄楚の�筝�返�
????コンテンツ厚仟も畠て�返�
????措い�筝釮��い�筝釮稜�eはない

喘吭されているル�`ルは
ちょっと聞いにくいです��

書のところの�F�g盾�1�
Windowsはまだ聞えます
????匯何ル�`ルの�{屁
1002781 - Microsoft Windows - Attributes of a service modi?ed
1006076 - Task Scheduler Entries Modi?ed
1003138 - Microsoft Windows - Active Directory
´etc

Linuxは、カスタムル�`ルで�{屁
????砿尖宀ガイドに�かく�dってます�
http://downloadcenter.trendmicro.com/index.php?
regs=jp&clk=latest&clkval=4703&lang_loc=13
????カスタムル�`ルの��い栽わせは嗤��

WindowsUpdateの�Hは、匯�r�o�浸�
????システムから俳り�xせばリスク詰�p
�筝釮稜衣瓩�筝�碧�織好�鯤��g佩
????�筝�g仏のタイミングを苧�_晒
????それ參翌の�筝釮��と登協

�\喘チ�`ムと��Bチ�`ムの
コミュニケ�`ションが寄並

ところで
どこがどう�筝釮気譴燭�
登るの�

レポ�`トが宴旋です
�筝鉧O�の��な�筝釤譽櫞`ト

レポ�`トのポイント
猟忖双ベ�`スでの�筝錂敞櫃老屬�蕕覆�
????�筝錂敞櫃�diff吉で�e余函誼が駅勣
�筝�碧�織好��g佩�r�gが�返�r�g
????�g�Hの�筝�r�gは仝��々を歌孚

廣吭�
タスク�g佩の�g侯を玉くすると房わぬ並�Bに
????�塞貧�N�Agent�箸廃殍磽�
????タスクが�Kわらない��I尖嶷�}�
�筝鉧O�の��は�gって�
????ﾚすぎる�筝鉧O��は音侑しかない
????械�r�筝釮気譴��銈漏��

まとめ
?契囮モ�`ドはDSの寔糠�
?�奮�皎`ドで�T母豚�gを�Oけて��徨�
?契囮モ�`ド卞佩瘁は、アップデ�`トに廣吭
?盃秘契囮�セキュリティログ�O��筝鉧O�
?�\喘が��しいなら、ある殻業の護り俳りもアリ
?お販せし�^ぎず、��徨を�ながら。

�h廠に栽せて�O協を圄てて
いい湖じの�\喘に鯛とし�zむ
PDCAサイクルが駅勣

際際滷

禽艶艶沿皆艶界顎姻庄岳霞でシステムを便る塰喘を叱つか

More Related Content

禽艶艶沿皆艶界顎姻庄岳霞でシステムを便る塰喘を叱つか