Service Composer では、サードパーティのアンチウイルス ソリューションを使用して感染しているシステムをネットワークで識別し、感染の拡散を防止します。

サンプル シナリオでは、デスクトップを完全に保護する方法を示します。

図 1. Service Composer の設定
ワークフロー
図 2. Service Composer の条件付きワークフロー
テスト

前提条件

Symantec によって、感染した仮想マシンに AntiVirus.virusFound というタグが付けられることがわかっています。

手順

  1. Symantec アンチマルウェア ソリューションをインストール、登録、デプロイします。
  2. デスクトップにセキュリティ ポリシーを作成します。
    1. [セキュリティ ポリシー (Security Policies)] タブをクリックし、[セキュリティ ポリシーの追加 (Add Security Policy)] アイコンをクリックします。
    2. [名前 (Name)]DesktopPolicy と入力します。
    3. [説明 (Description)] に、Antivirus scan for all desktops と入力します。
    4. 重みを 51000 に変更します。他のすべてのポリシーより常に優先されるようにするため、このポリシーの優先順位は非常に高く設定されています。
    5. [次へ (Next)] をクリックします。
    6. [Endpoint サービスの追加] ページで、追加 をクリックし、次の値を入力します。
      オプション
      [アクション (Action)] デフォルト値は変更しないでください
      [サービス種別 (Service Type)] Anti Virus
      [サービス名 (Service Name)] Symantec アンチマルウェア
      [サービス設定 (Service Configuration)] シルバー
      [状態 (State)] デフォルト値は変更しないでください
      [強制 (Enforce)] デフォルト値は変更しないでください
      [名前 (Name)] デスクトップ AV
      [説明 (Description)] すべてのデスクトップに適用する必須ポリシー
    7. [OK] をクリックします。
    8. ファイアウォールまたはネットワーク イントロスペクション サービスを追加せずに、[終了 (Finish)] をクリックします。
  3. 感染している仮想マシンにセキュリティ ポリシーを作成します。
    1. [セキュリティ ポリシー (Security Policies)] タブをクリックし、[セキュリティ ポリシーの追加 (Add Security Policy)] アイコンをクリックします。
    2. [名前] に QuarantinePolicy と入力します。
    3. [説明] に、Policy to be applied to all infected systems. と入力します。
    4. デフォルトの重みは変更しないでください。
    5. [次へ (Next)] をクリックします。
    6. [Endpoint サービスの追加] ページでは何も行わず、[次へ (Next)] をクリックします。
    7. [ファイアウォール] で 3 つのルール(すべての送信トラフィックをブロックするルール、グループを使用してすべてのトラフィックをブロックするルール、修正ツールからの受信トラフィックのみ許可するルール)を追加します。
    8. ネットワーク イントロスペクション サービスを追加せずに、[終了 (Finish)] をクリックします。
  4. QuarantinePolicy をセキュリティ ポリシー テーブルの一番上に移動して、他のすべてのポリシーより確実に先に適用されるようにします。
    1. [優先順位の管理 (Manage Priority)] アイコンをクリックします。
    2. QuarantinePolicy を選択し、[上へ移動 (Move Up)] アイコンをクリックします。
  5. 環境内のすべてのデスクトップにセキュリティ グループを作成します。
    1. vSphere Web Client にログインします。
    2. [ネットワークとセキュリティ (Networking & Security)] をクリックし、[Service Composer] をクリックします。
    3. [セキュリティ グループ (Security Groups)] タブをクリックし、[セキュリティ グループの追加 (Add Security Group)] アイコンをクリックします。
    4. [名前] に DesktopSecurityGroup と入力します。
    5. [説明] に、All desktops と入力します。
    6. 次の数ページで [次へ (Next)] をクリックします。
    7. [設定内容の確認] ページで選択内容を確認し、[終了 (Finish)] をクリックします。
  6. 感染している仮想マシンを配置する検疫セキュリティ グループを作成します。
    1. [セキュリティ グループ (Security Groups)] タブをクリックし、[セキュリティ グループの追加 (Add Security Group)] アイコンをクリックします。
    2. [名前 (Name)]QuarantineSecurityGroup と入力します。
    3. [説明 (Description)] に、Dynamic group membership based on infected VMs identified by the antivirus scan と入力します。
    4. [メンバーシップ基準の定義] ページで、追加 をクリックし、次の基準を追加します。

      検疫

    5. [含めるオブジェクトの選択] ページおよび [除外するオブジェクトの選択] ページでは何も行わず、[次へ (Next)] をクリックします。
    6. [設定内容の確認] ページで選択内容を確認し、[終了 (Finish)] をクリックします。
  7. DesktopPolicy ポリシーを DesktopSecurityGroup セキュリティ グループにマッピングします。
    1. [セキュリティ ポリシー] タブで、DesktopPolicy ポリシーが選択されていることを確認します。
    2. [セキュリティ ポリシーの適用 (Apply Security Policy)]適用)アイコンをクリックし、SG_Desktops グループを選択します。
    3. [OK] をクリックします。
      このマッピングにより、アンチウイルス スキャンがトリガーされたときに、すべてのデスクトップ ( DesktopSecurityGroup の一部) が確実にスキャンされます。
  8. キャンバス ビューに移動して、QuarantineSecurityGroup に仮想マシンがまだ含まれていないことを確認します。
    1. [情報セキュリティ (Information Security)] タブをクリックします。
    2. グループ内の仮想マシンが 0 であることを確認します(仮想マシン)。
  9. QuarantinePolicyQuarantineSecurityGroup にマッピングします。
    このマッピングにより、感染しているシステムにトラフィックが流れないようになります。
  10. Symantec アンチマルウェア コンソールから、ネットワークでスキャンを起動します。
    感染している仮想マシンがスキャンで検出され、セキュリティ タグ AntiVirus.virusFound が付けられます。タグが付けられた仮想マシンは、即座に QuarantineSecurityGroup に追加されます。 QuarantinePolicy では、感染しているシステムとの間のトラフィックは許可されません。