ビュー:

概要

InterScan Web Security Suite (IWSS) および InterScan Web Security Virtual Appliance (IWSVA) では、 「破損したZIPファイル」(Corrupted_Zip_file) や「パスワードで保護されたファイル」(Password_Protected_File) を検出した際の処理において、初期状態で「放置」が指定されています。
しかし、処理が「放置」の場合においても、URLブロックログに検出した内容が記録されてしまい、管理者に検知した内容がメールで通知されます。

上述のような特定の検出に対して、URLブロックログへの記録や管理者へのメール通知を抑止することは可能です。
ただし、本抑止の適用範囲については、処理が「放置」以外の全ての処理に対しても適用されるために、特定の処理のみを抑止の対象とすることができません。
また、URLブロックログへの記録または管理者へのメール通知のどちらか一方のみを抑止の対象とすることもできません。

手順

  1. 以下の設定ファイルをテキストエディタで開きます。

   Windows 版:
   <インストールディレクトリ※>\intscan.ini
   ※ 例)C:\Program Files\Trend Micro\InterScan Web Security Suite\

   Windows 版以外:
   /etc/iscan/intscan.ini
 
  1. [http] セクションにある "skipSpecificVirus" パラメータに通知を除外したい検出名を半角スペースで区切って記述します。

例:Corrupted_Zip_file と Password_Protected_File を除外する場合
skipSpecificVirus=Corrupted_Zip_file Password_Protected_File
  1. 設定の変更を反映させるために HTTP/FTP サービスを再起動します。

   Windows 版:
   Trend Micro InterScan Web Security Suite for HTTP
   Trend Micro InterScan Web Security Suite for FTP

   Windows 版以外:
   # /etc/iscan/S99ISproxy stop
   # /etc/iscan/S99ISproxy start
   # /etc/iscan/S99ISftp stop
   # /etc/iscan/S99ISftp start
 
上記設定後は、指定した検出名の記録をスキップしたことを示すログが、HTTP検索ログ (http.log.yyyy.mm.dd.nnnn) に記録されるようになります。
--------------------------------------------------
skqipSpecificVirus: skip logging for Corrupted_Zip_file.
--------------------------------------------------
※Corrupted_Zip_file の記録をスキップした場合
  • IWSS 6.5 および IWSVA 6.5 の場合、スキップしたことを示すログをHTTP検索ログに記録するには、HTTP検索ログに対するデバッグを有効化する必要があります。

参考:HTTP検索ログに対するデバッグログ有効化手順

注意:デバッグログを取得されている間は、通常よりもログの書き込み頻度が高まります。そのため、パフォーマンスに影響出ていないか確認しながら実施をお願いいたします。

1. IWSVA/IWSS に root でログインして実施します。
2. /etc/iscan/intscan.ini を開き、[http] セクションの verbose パラメータを「1」に変更します。

 --------------------------------------------------
 [http]
 verbose=1 (初期値: 0)
 --------------------------------------------------

※verbose パラメータは各セクションにありますので、必ず [http] セクションのパラメータの変更をお願いします。

3. 設定を反映させるため、HTTP サービスをリロードします。

 # /usr/iwss/S99ISproxy reload