運用中に「新しいルールアップデートが未適用です」というアラートが届きました。なんだこれ……と一瞬焦ったんですが、調べてみたら慌てなくていいやつでした。同じように手が止まる人もいると思うので、調べた流れをそのまま残しておきます。
届いたアラートはこんな内容でした。
新しいルールアップデートが未適用です セキュリティアップデートの一部として、新しいルールを利用できます。ルールはダウンロード済みですが、まだポリシーに適用されておらず、コンピュータに送信されていません。
重要度は「警告」。警告って書かれると身構えますよね。でも結論から言うと、多くの場合は一過性の通知で、急いで何かする必要はありませんでした。なぜそう言えるのかを、調べた順に書いていきます。
まずアラート文を読み解いてみる
落ち着いてアラート文を分解すると、状態はこういうことみたいです。
- トレンドマイクロから新しいセキュリティルールが配信されて、管理コンソール(Manager)にはダウンロード済み
- でも、そのルールがまだポリシーに適用されていない
- だから、各サーバ(保護対象のコンピュータ)にも送信されていない
要するに「新しいルールは届いてるけど、まだ反映処理が終わってませんよ」という通知ですね。何かを検知したとか攻撃を受けたとか、そういう話ではない。ここでまず少し落ち着きました。
そもそも「DSRU」って何だ
アラートの中身を見ると、ファイル名が「26-031.dsru」みたいな形式になっています。この .dsru という拡張子、最初は見慣れなくて引っかかりました。調べたら Deep Security Rule Update の略でした。
なんで「Deep Security」?
Workload Security(今は Vision One の Server & Workload Protection)は、もともとオンプレ製品の Deep Security がベースになっているそうです。だから内部の名称やファイル拡張子に、今でも “Deep Security” 由来の “DS” が残っている。.dsru もその名残でした。実際、ルールアップデートの詳細画面を開くと「Deep Securityルールアップデートに次の新しいまたはアップデートされた侵入防御ルールが含まれています」って書いてあって、なるほどと納得しました。
中身は何が入ってるのか
1つのDSRUには、こんなルールの新規・更新分がまとめて入っているようです。
- 侵入防御(IPS)ルール
- 変更監視ルール
- セキュリティログ監視ルール
リリースのペースを調べたら、原則毎週火曜に定期リリース、緊急の脅威があれば随時追加、とのこと。バージョンは「26-031」みたいに 年-連番 の形式で、数字が大きいほど新しい。
それぞれのルールが具体的にどの脆弱性(CVE)やアプリ向けなのかは、詳細画面の「コンテンツ」欄を開くと一覧で出てきました。自分の環境に関係あるやつかどうかは、ここで見られます。
で、なんで「未適用」のアラートが出たのか
ここが一番知りたかったところです。調べてみると、ポイントは 「インポート」と「適用」の間にタイムラグがあることでした。
DSRUがコンソールに取り込まれる(インポート)タイミングと、それがポリシーに反映される(適用)タイミングは同時じゃないんですね。適用処理は予約タスクのスケジュールや、エージェントの次の通信(ハートビート)のタイミングで走る。
つまりこのアラートは、ちょうど「インポートは済んだけど、まだ適用処理が終わってない」一瞬の状態を拾って飛んできたものでした。
実際、今回の時系列を見たらこんな感じでした。
- DSRU インポート済み:02:03
- アラート発生:02:59
インポートから1時間弱でアラート。適用処理が追いつく前に通知が出た、というわけです。タイミングの問題だったんだなと、ここでだいぶ腑に落ちました。
対応する前に確認した2つのこと
「適用」ボタンを押す前に、2つ確認しておいてよかったと思ったことがあります。
1. 自動適用がONになっているか
システム設定のアップデートのところに「新しいルールアップデートを自動的にポリシーに適用」というチェックボックスがありました。
自分の環境を見たら、ここがすでにONになっていました。ということは、新しいDSRUは放っておいても自動で適用される設定です。
これに気づいて、見方が変わりました。自動適用がONなのにアラートが出てるのは、別に異常じゃなくて「適用処理が完了する前の一過性の通知」なんだなと。だったら焦って手動で押す必要もないわけです。
2. 対象ルールが自分の環境に影響するのか
これは見落としがちだったポイントです。調べて知ったんですが、新規のルールって、適用しても自動でポリシーに割り当てられるわけじゃないんですね。
DSRUの「適用」には2パターンあるそうで、
- すでに割り当て済みのルールが更新された場合 → そのルールを使ってる全サーバに更新版が配信される
- 完全に新規のルールの場合 → コンソール上で「利用可能」になるだけ。どのポリシーにも自動では割り当てられない
今回の新規ルールは、特定のアプリ(PeopleSoft とか Exchange とか WordPress とか)向けの内容でした。うちの環境はそれらを動かしていないので、適用しても実害も恩恵もほぼない、という判断ができました。
しかも自分の環境は検出モードで運用していて、コアルールの自動実装もオフにしてあったので、新規ルールが勝手にトラフィックを止めることもない。影響はかなり限定的だと分かって、ここでほぼ安心しました。
実際にどう対応したか
適用されてるか確認する
ルールアップデートの一覧画面に「適用済み」という列があります。ここに緑チェックが付いてれば適用完了、空欄なら未適用です。
今回の該当DSRUの行を見たら、空欄でした。つまりまだ未適用。
ちなみに、行を選択すると上部のボタンが「適用」から「ロールバック」に変わったりして、一瞬「もう適用された?」と混乱しました。でもこれは選択状態によるボタン表示の切り替わりで、適用済みフラグ(緑チェック)の方が確実な判断材料です。表示が更新されてないこともあるので、一覧をリロードして確かめるのが安心でした。
自分は手動適用しなかった
未適用ではあったんですが、自分は手動での適用はしませんでした。理由は2つ。
ひとつは、自動適用がONなので、放っておいても次の処理サイクルで適用されるから。もうひとつは、運用しているのが自分一人の判断で勝手にいじっていい環境じゃなかったから。設定変更に承認が要るような環境では、勝手に手動適用するより自動適用に任せるほうが安全だと思います。
なので最終的には「自動適用がONであることを確認した。適用処理は自動に委ねる」という整理で対応しました。すぐ反映させたい場面なら、対象を選んで「適用」を押せばいいだけなんですが、今回はその必要がなかった、という話です。
メモ: 適用済みのDSRUを選ぶとボタンが「ロールバック」になります。これは適用を取り消す操作なので、通常運用では押さないように注意。
運用としてどうしていくか考えた
今回ひとつ気づいたのは、自動適用がONの環境だと、このアラートって実質「インポート直後の一過性の通知」だということ。毎回これに一次対応するのは、正直しんどいです。なので、長い目で見るとこのへんを決めておくといいなと思いました。
- アラート自体を止める:自動適用が効いてる以上、このアラートの監視価値は低い。アラート設定でオフにすればノイズが消える。ただしセキュリティ系のアラートを止める判断は、組織や顧客への説明が要る場合もある
- 確認だけの軽いフローにする:アラートは残しつつ、来たら「適用済みになってるか確認 → なってればクローズ」くらいの軽い対応に簡略化する。アラートを消すのに抵抗があるならこっち
どっちにしても、「自動適用の設定」と「アラートの扱い」をセットで決めておくと、毎回ぶれずに捌けるなと思いました。
まとめ
調べて分かったことを最後に整理しておきます。
- このアラートは脅威検知じゃなくて、新ルールの適用処理がまだ終わってないという通知
- DSRU = Deep Security Rule Update。週次で配信されるルールのパッケージ
- インポートと適用のタイムラグで出る、一過性のものが多い
- 対応の前に「自動適用がONか」「対象ルールが自分の環境に関係あるか」を確認するとよかった
- 新規ルールは適用しても自動でポリシーに割り当てられるわけじゃない
- 自動適用ONなら基本は放置で解消。運用としてはアラートを止めるか、軽い確認フローにするか決めておくと楽
最初は「警告」の文字に焦りましたが、ひとつずつ調べていったら、急いで操作しなくていいものだと分かりました。同じところで手が止まった人の参考になれば。
調べるときに参考にしたページ
今回理解するにあたって見たページです。一次情報にあたると、自分の環境のケースに当てはめて考えやすくなります。
- セキュリティ更新プログラムの適用 – Workload Security(Trend Micro Cloud One ドキュメント) … ルールアップデートの適用・ロールバック・自動適用設定まわりの公式説明
- Workload Security のソフトウェアとセキュリティアップデート(Trend Micro Cloud One ドキュメント) … DSRUの中身や週次リリースの仕組みについて
- 侵入防御について(TrendAI ドキュメント) … 検出モード/防御モードの違い、ルールの割り当ての考え方
- 侵入防御ルールの設定(TrendAI ドキュメント) … 新規ルールの自動割り当て設定について
※リンク先のドキュメントは、Cloud One 版(cloudone.trendmicro.com)と Vision One 版(docs.trendmicro.com)が並行して存在します。お使いの環境がどちらの表記かによって、メニュー名が多少異なる場合があります。
コメント