エンドポイントセキュリティ (EPS) - AMS アドバンストオンボーディングガイド
一般的な EPS 設定基本ポリシーマルウェア対策

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンドポイントセキュリティ (EPS)

AMS Advanced 環境でプロビジョニングするリソースには、エンドポイントセキュリティ (EPS) モニタリングクライアントのインストールが自動的に含まれます。このプロセスにより、AMS Advanced マネージドリソースが 24 時間 365 日モニタリングされ、サポートされます。さらに、AMS Advanced はすべてのエージェントアクティビティをモニタリングし、セキュリティイベントが検出されるとインシデントが作成されます。

注記

セキュリティインシデントはインシデントとして処理されます。詳細については、「インシデント対応」を参照してください。

エンドポイントセキュリティはマルウェア対策保護を提供します。具体的には、以下のアクションがサポートされています。

  • EC2 インスタンスが EPS に登録される

  • EC2 インスタンスが EPS から登録解除する

  • EC2 インスタンスのマルウェア対策のリアルタイム保護

  • EPS エージェントが開始したハートビート

  • 隔離されたファイルの EPS 復元

  • EPS イベント通知

  • EPS レポート

AMS Advanced は、エンドポイントセキュリティ (EPS) に Trend Micro を使用します。これらはデフォルトの EPS 設定です。Trend Micro の詳細については、Trend Micro Deep Security ヘルプセンターを参照してください。Amazon 以外のリンクは予告なしに変更される可能性があります。

AMS Advanced マルチアカウントランディングゾーン (MALZ) のデフォルト設定については、以下のセクションで説明します。デフォルト以外の AMS マルチアカウントランディングゾーン EPS 設定については、「AMS Advanced マルチアカウントランディングゾーン EPS のデフォルト以外の設定」を参照してください。

注記

独自の EPS を持ち込むことができます。「AMS bring your own EPS」を参照してください。

一般的な EPS 設定

エンドポイントセキュリティの一般的なネットワーク設定。

EPS のデフォルト
設定 デフォルト

ファイアウォールポート (インスタンスのセキュリティグループ)

EPS Deep Security Manager エージェント (DSMs) では、エージェント/リレーからマネージャーへの通信用にポート 4120 を、マネージャーコンソール用にポート 4119 を開く必要があります。EPS リレーでは、マネージャー/エージェントが通信を中継するためにポート 4122 が開いている必要があります。エージェントがすべてのリクエストを開始するため、カスタマーインスタンスのインバウンド通信に特定のポートを開くことはできません。

通信方向

エージェント/アプライアンスが開始されました

ハートビート間隔

10 分

アラートまでに見逃されたハートビートの数

2

サーバー時間間の最大許容ドリフト (差分)

無制限

非アクティブ (登録済みだがオンラインではない) 仮想マシンのオフラインエラーを発生させる

なし

デフォルトポリシー

基本ポリシー (次に説明)

同じホスト名の複数のコンピュータのアクティベーション

許可されます

保留中の更新のアラートが生成されます

7 日後

スケジュールの更新

AMS は、Trend Micro Deep Security Manager (DSM) / Deep Security Agent (DSA) ソフトウェア更新の毎月のリリースサイクルを対象としています。ただし、AMS は更新の SLA を維持しません。更新は、デプロイ中に AMS 開発者チームによってフリート全体で実行されます。

DSA/DSA 更新は、AMS がデフォルトで 13 週間ローカルに保持する Trend Micro DSM システムイベントに記録されます。ベンダーのドキュメントについては、Trend Micro Deep Security ヘルプセンターの「システムイベント」を参照してください。ログは、Amazon CloudWatch のロググループ /aws/ams/eps/var/log/DSM.log にもエクスポートされます。

ソースの更新

Trend Micro Update Server (https://ipv6-iaus.trendmicro.com/iau_server.dll/)

イベントまたはログデータの削除

イベントとログは、7 日後に DSM データベースから削除されます。

エージェントソフトウェアバージョンが保持されている

最大 5 つ

最新のルール更新が保持されます

最大 10 個

ログストレージ

デフォルトでは、ログファイルは Amazon S3 に安全に保存されますが、監査およびコンプライアンス要件を満たすために Amazon Glacier にアーカイブすることもできます。

基本ポリシー

エンドポイントセキュリティの基本ポリシーのデフォルト設定。

EPS ベースポリシー
設定 デフォルト

有効なモジュール

マルウェア対策

無効なモジュール

ウェブ評価

ファイアウォール

侵入保護

整合性モニタリング

ログ検査

アプリケーションコントロール

マルウェア対策

エンドポイントセキュリティのマルウェア対策設定。

EPS マルウェア対策のデフォルト
設定 デフォルト 注意

リアルタイムスキャン

すべてをスキャンする

疑わしいウイルスをすべて隔離します。IntelliTrap と Spyware/grayware Protection を有効にします。

スパイウェアとグレーウェアはアンチマルウェアをトリガーし、項目を隔離します。

毎日/毎日 (24 時間)

手動スキャン

すべてをスキャンする

リクエストする必要があり、デフォルトのリアルタイムスキャン設定に従います。

スケジュールされたスキャン

すべてをスキャンする

毎月最終日曜日の午前 6 時に を設定します。

スマート保護

無効

該当なし

隔離されたファイル

Trend Micro Deep Security Manager (DSM)

隔離用に予約された約 1GB のディスク。

スキャンの制限

Trend Micro DSM

すべてのサイズのファイルをスキャンします。

許可されたスパイウェアまたはグレーウェア

なし

該当なし

ローカルイベント通知

あり

該当なし