0 返信 最新の回答 日時: Jun 28, 2017 3:00 AM ユーザー:hnegishi

    【TIPS】 TIE /DXL 導入~動作確認手順

    hnegishi

      皆さん、こんにちは。

      マカフィーテクニカルサポートセンターです。

       

      弊社脅威対策製品の TIE(Threat Intelligence Exchange) および 

      DXL(Data Exchange Layer)のお問い合わせが増えております。

      単一のエンドポイント製品としての利用ではなく、様々な製品と連携して

      セキュリティインシデントの共有を素早く行える製品ですが、製品にご関心をお持ちの方、

      今後製品導入をご検討いただいているお客様へ、今回のトピックは製品導入から

      実用までの一連の流れをご紹介させていただきます。

       

      まずは、TIE および DXL の概念を下記弊社ブログにて解説しておりますのでご参照ください。

      "TIE(Threat Intelligence Exchange)& DXL (Data Exchange Layer)

      の働きを人間の体に例えると?"

      http://blogs.mcafee.jp/mcafeeblog/2014/12/tiethreat-intel-777e.html

       

       

      下記よりTIE サーバ OVA パッケージを用いての TIE サーバーおよび DXL ブローカーの配備、

      クライアントにはTIE for VSE クライアントおよび DXL クライアントの導入手順を記載いたします。

       

      • ePolicy Orchestrator (ePO) サーバーは 5.3.2 を使用いたします。
      • クライアントはWindows 8.1にVirusScan Enterprise 8.8 Patch 8 および

      McAfee Agent 5.0.5が既にインストールされていて、各製品ポリシーはすべて「McAfee Default」ポリシーを使用している前提となります。

       

       

      <事前準備>

       

      ・下記 TIE / DXLソフトウェアをダウンロードします。

       

      McAfee Threat Intelligence Exchange 2.0 の項目より以下をダウンロードしてください。

       

      [Patches]タブ

      Threat Intelligence Exchange module for VirusScan Enterprise 1.0.2.112

      (TIEm_1.0.2_Build_112_Package_ENU-LICENSED-RELEASE-MAIN.zip)

       

      [Extensions]タブ

      Server Help - 2.0.1.020(help_tie_201.zip)

      Server Management - Hotfix 1 - 2.0.1.188

      (TIEServerMgmt_2.0.1_Build_188_Package_1_(ENU-LICENSED-RELEASE-Branch).zip)

      Module Help – 1.0.0.016(help_jtic_100.zip)

      Threat Intelligence Exchange module for VSE – 1.0.2.112(TIEmMeta.zip)

       

      [Other]タブ

      Server OVA - Hotfix 1 – 2.0.1.188

      (TIEServer_2.0.1.188.x86_64-MAIN.ova.zip)

       

       

      McAfee Data Exchange Layer 3.1 の項目より以下をダウンロードしてください。

       

      [Extensions]タブ

      Broker Management Hotfix 2 - 3.1.0.592

      (DXLBrokerMgmt_3.1.0_Build_592_Package_1_(ENU-LICENSED-RELEASE-BRANCH).zip)

       

      Client Management – 3.1.0.580

      (DXLClientMgmt_3.1.0_Build_580_Package_1_(ENU-LICENSED-RELEASE-MAIN).zip)

       

      ePO Client – 3.1.0.580

      (DXLClient_3.1.0_Build_580_Package_1_(ENU-LICENSED-RELEASE-MAIN).zip)

       

      Help – 3.1.0.020

      (help_dxl_310.zip)

       

      [Packages]タブ

      Client Hotfix 2 – 3.1.0.592(DXL_3.1.0_Build_592_Package_1_(ENU-LICENSED-RELEASE-BRANCH).zip)

       

       

      ・TIE / DXL で通信に必要なポート情報を下記KBで公開しています。事前に確認お願いします。

      “Required communication ports for Threat Intelligence Exchange, Data Exchange Layer, and Advanced Threat Defense”

      https://kc.mcafee.com/corporate/index?page=content&id=KB83713

       

       

      § 1 - 拡張ファイルをインストールする

       

      こちらのセクションでは、TIE サーバー、DXL ブローカーおよび TIE / DXL クライアントを管理する ePO サーバーへの各製品の拡張ファイルインストール方法を記載します。

       

      1.

      ePO コンソールのメニュー -> ソフトウェア -> 拡張ファイルをクリックし、[拡張ファイルのインストール]をクリックし、事前準備でダウンロードした拡張ファイル(zipファイル)を選択してインストールします。

       

      1.png

       

      2.

      以下の順で拡張ファイルをインストールします。

       

      DXLBrokerMgmt_3.1.0_Build_592_Package_1_(ENU-LICENSED-RELEASE-BRANCH).zip

      DXLClient_3.1.0_Build_580_Package_1_(ENU-LICENSED-RELEASE-MAIN).zip

      DXLClientMgmt_3.1.0_Build_580_Package_1_(ENU-LICENSED-RELEASE-MAIN).zip

      help_dxl_310.zip

      TIEServerMgmt_2.0.1_Build_188_Package_1_(ENU-LICENSED-RELEASE-Branch).zip

      TIEmMeta.zip

      help_tie_201.zip

      help_jtic_100.zip

       

      3.

      インストール後、拡張ファイルは以下のスクリーンショットの状態となることをご確認ください。

      2.png

      3.png

      4.png

      5.png

       

      §2 - TIE for VSE クライアントおよび DXL クライアントのチェックイン

       

      このセクションでは、各製品のパッケージチェックイン方法を記載します。

       

      ePO コンソールのメニュー -> ソフトウェア ->マスター リポジトリをクリックし、[パッケージをチェックイン]をクリックし事前準備でダウンロードした

      下記パッケージ(zipファイル)を選択して各々をチェックインします。

       

      ・TIEm_1.0.2_Build_112_Package_ENU-LICENSED-RELEASE-MAIN.zip

      ※zip ファイルを解凍し 「JTICAgent.zip」を選択してチェックインします。解凍したフォルダ内のその他2つの zip ファイルは使用しません。

      ・DXL_3.1.0_Build_592_Package_1_(ENU-LICENSED-RELEASE-BRANCH).zip

      ※この zip ファイルをそのままチェックインします。

       

      下記のようにチェックインされていることを確認してください。

      6.png

      7.png

       

       

      §3 – TIE サーバー / DXL ブローカーのデプロイおよび設定

       

      こちらのセクションでは、TIE サーバーおよび DXL ブローカーのデプロイおよび初期設定方法を記載します。

       

      1.

      TIEServer_2.0.1.188.x86_64-MAIN.ova.zip を解凍します。

       

      2.

      VMWare vSphere Client の [ファイル]-[OVF テンプレートのデプロイ]をクリックし

      手順1 で解凍したフォルダ内のTIEServer_2.0.1.188.x86_64-MAIN.ova

      指定してデプロイを実行します。

       

      8.png

       

      3.

      デプロイ完了後、TIE サーバーのパワーオンを実行し使用許諾条件を読み進め同意します。

       

      9.png

       

      4.

      root パスワードを設定し次へ進みます。パスワードは9文字以上にしてください。

       

      10.png

       

      5.

      オペレーションアカウント名とパスワードを設定し次へ進みます。

       

      11.png

       

      6.

      TIE サーバーで使用するネットワークアダプタを指定し次へ進みます。デフォルトで良い場合は N

      で進めます。

       

      12.png

       

      7.

      IPアドレス等設定します。

       

      13.png

       

      8.

      ホスト名、ドメイン名を入力します。

       

      14.png

       

      9.

      時刻同期サーバーの設定を行います。デフォルトの設定をそのまま利用するか使用するサーバーのアドレスを入力してください。

       

      15.png

       

      10.

      当該 TIE サーバーのMcAfee Agentをセットアップするため、ePO サーバーの情報を入力します。

       

      16.png

       

      11.

      実行するサービスを指定します。ここでは TIEサーバー および DXL ブローカーを選択します。

       

      17.png

       

      12.

      DXL ブローカーのポートを設定します。

       

      18.png

       

      13.

      TIE / DXLのインストールが開始されます。完了するとログイン画面に遷移します。

       

      19.png

       

      14.

      インストール完了後、ePO コンソール-システムツリーに下記のように TIE サーバーおよび DXL ブローカーのタグが付与されたシステムが追加されていることを確認してください。

       

      20.png

       

      §4 – TIE クライアント / DXL クライアントのインストール

       

      こちらのセクションでは、テスト目的で ePO 管理下のクライアント1台に TIE クライアントと DXL クライアントをインストールする方法を記載いたします。

       

      1.

      システムツリー-[システム]タブよりテストに使用するシステムの左側チェックボックスにチェックを入れ、

      画面下部のアクションより[エージェント]-[単一システムのタスクの変更]をクリックします。

       

      21.png

       

      2.

      遷移した画面下部のアクションより、[新しいクライアントタスクの割り当て]をクリックし、

      製品:[McAfee Agent]、タスクの種類:[製品の配備]、タスク名:[タスクの新規作成]をクリックします。

       

      3.

      [タスク名]は任意のタスク名を入力し、[製品とコンポーネント]で「Data Exchange Layer Client 3.1.0.580」を選択し、右端の「+」ボタンをクリックし「Threat Intelligence Exchange module for VirusScan Enterprise 1.0.2.112」を選択し[保存]をクリックします。

       

      22.png

       

      4.

      [次へ]をクリックしタスク実行のスケジュールを設定し保存します。

       

      5.

      システムツリー-[システム]より対象システム名をクリックし、システム情報詳細の[製品]タブ画面で下図のように TIE / DXL クライアントがインストールされていることを確認してください。

       

      23.png

       

      §5 – 動作確認方法

       

      こちらのセクションでは、サンプルファイルを使用し検出テストを行い、各製品が正常に動作しているか確認を行う方法を記載します。

       

      1.

      TIE / DXL クライアントをインストールしたシステム上で、下記サンプルファイルをダブルクリックします。

      C:\Program Files\McAfee\TIEM\McAfeeTestSample.exe

       

      2.

      下記ダイアログボックスが表示されたら、OK をクリックします。

       

      24.png

       

      3.

      画面右下のタスクトレイより、M アイコン右クリック- McAfee Agent ステータスモニターより、[イベントの送信]をクリックします。

       

      4.

      ePO コンソール メニュー -> システム -> TIE レピュテーションより、下図のようにMcAfeeTestSample.exe のファイル情報が登録されていることを確認します。

      ※表示されていない場合は上部のクイック検索バーより「 McAfeeTestSample 」と入力しファイル情報を検索します。

       

      25.png

       

      5.

      1. McAfeeTestSample.exe ファイル名をクリックすると、下図のように詳細情報の確認が可能です。

       

      26.png

       

      6.

      ePO コンソール メニュー -> レポート -> 脅威イベントログで下記のイベントがアップロードされていることを確認します。

       

      27.png

       

       

      以上が TIE /DXL の導入から動作確認までの手順となります。

      製品動作の詳細およびポリシー設定等は下記製品ガイドをご参照ください。

      ※TIE につきましては製品ガイドは英語版のみとなります。

       

      DXL 3.1.0 製品ガイド

      https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/ 26000/PD26984/ja_JP/dxl_310_pg_0-16_ja-jp.pdf

       

      TIE 2.0.0 Product Guide

      https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/ 26000/PD26713/en_US/tie_200_pg_en-us.pdf

       

       

      以上、今後とも McAfee 製品のご愛顧をよろしくお願い申し上げます。