侵入防御で誤検知をなくすためのDeepSecurity 運用

Trend Micro Cloud Integrator Consortium

classmethod.jp 1

15/09/15 クラスメソッド株式会社AWS コンサルティング部

森永 大志

会社紹介

クラスメソッドとは

classmethod.jp 2

クラスメソッド株式会社

classmethod.jp 3

Developers.IO

classmethod.jp 4

Developers.IO

classmethod.jp 5

5000 本の技術記事1800 本の AWS 記事

月間 100 万 PV

自己紹介

森永大志とは

classmethod.jp 6

自己紹介

森永 大志

クラスメソッド株式会社AWS コンサルティング部

ソリューションアーキテクト

classmethod.jp 7

誤検知を無くすための運用

運用でなんとかする

classmethod.jp 8

侵入防御ホスト型 IDS/IPS や WAF のことを指す。これとファイアウォールで侵入を防ぐ。

classmethod.jp 9

仮想パッチソフトウェアに脆弱性が発見され、公式のパッチが出る前に攻撃を防ぐための疑似パッチ。

classmethod.jp 10

誤検知「侵入防御」「仮想パッチ」が正常な通信を遮断してしまうことがある。異常な通信を通してしまうのも問題ですが…

classmethod.jp 11

モード「侵入防御」には２つのモードがある。• 防御モード　いわゆる IPS 。　攻撃と思われる通信を遮断する。• 検出モード　いわゆる IDS 。　攻撃と思われる通信を検知する。

classmethod.jp 12

おすすめの運用新しいルールを一定期間「検出モード」で適用したのちに「防御モード」に切り替えるつまり慣熟期間をもうける

classmethod.jp 13

から

ルールアップデートの頻度侵入防御のルールアップデートは以下の時間

• 毎月第二水曜日 3:00 ～ 8:00 頃• 毎月第四火曜日 22:00 ～第四水曜日 5:00 頃これ以外に緊急のルールアップデートが実施される

classmethod.jp 14

緊急の脆弱性に対応したルールアップデートBIND 、 OpenSSL 、 Bash など

侵入防御ルール適用方針① 新規定期ルー

ルアップデート配信

② 既存ルールは自動で「防御モー

ド」へ移行

③ 新規定期ルールは「検出モー

ド」で適用

④ 次の定期ルールアップデートまで「検出モード」

⑤ 緊急のルールアップデートは即時「防御モード」

⑥ レポートで怪しい動きがあれば、そのルールのみ手

動で「防御モード」

classmethod.jp 15

詳細・設定方法続きは WEB で！弊社ブログをご覧ください。

classmethod.jp 16

さいごに

せんでん

classmethod.jp 17

宣伝！Re:Invent の振り返り、 IoT の話をするイベント「 Re:Growth 」を実施します！

classmethod.jp 18http://classmethod.connpass.com/event/19500/

ご清聴ありがとうございました。

classmethod.jp 19