ビュー:

2023年8月23日より、「Trend Vision One Endpoint Security」がご利用いただけるようになりました。
本製品Q&Aにて、Apex Oneのセキュリティエージェントとして記載のあるものは、 基本的には Trend Vision One Endpoint Security の Standard Endpoint Protectionで管理されるエージェントでも同様となります。

参照: [Trend Vision One]Trend Vision One Endpoint Securityのガイドライン

検出時の動作について

 
C&CサーバのIPまたはURLへのアクセスを検知した場合、以下の動作を実施します。
 
URL情報で検出した場合:
 ・Webレピュテーションの動作と同様に以下の動作が実施されます。
  ブロック/ ユーザへの通知(POPUP 表示) / ログへの記録
 
 ・管理者への通知機能を設定することができます。
 
IPアドレス情報で検出した場合:
 ・[ブロック]/ [ログのみ] から処理を選択できます。
  
 ・グローバルエージェント設定の [セキュリティ設定]タブ > "不審接続監視設定"項目 にて、ユーザ定義のIPリストを編集できます。
 

設定の有効化

 
不審接続監視を有効にするには、以下の設定を実施してください。
  
1. 追加サービスの有効化
 
以下の手順より、追加サービスより、[不審接続監視サービス] が有効になっていることを確認します。
 
  1. Webコンソールにログインし、[エージェント] → [エージェント管理] を開きます。
     
  2. ルートドメイン/グループまたは該当の端末を選択します。
     
  3. [設定] → [追加サービス設定] を開きます。
    1105438_CCCA_servicesetting.png 

     
  4. [不審接続監視サービス] 内の以下の設定にチェックを入れ、[保存] をクリックし、設定を保存します。
     
    1105438_CCCA_servicesetting_02.png
 
2.検出時にポップアップを表示させる設定
 
C&Cサーバとの通信を検出した際にエージェント側へポップアップを出力させるには、
以下の設定を実施してください。
 
  1. Webコンソールにログインし、[エージェント] → [エージェント管理] を開きます。
     
  2. ルートドメイン/グループまたは、該当の端末を選択します。
     
  3. [設定] → [権限とその他の設定] を開きます。
     
    1105438_CCCA_previledgesetting_01.png
     
  4. [その他の設定] タブから、[C&Cコンタクトアラート設定] 内の以下の項目にチェックを入れます。
     
    1105438_CCCA_previledgesetting_02.png
     
  5. [保存]をクリックし、設定を保存します。
 
 3. IPの承認済み/ブロックリストを作成する方法
 
C&Cサーバへの通信時にIPアドレスに対して、承認リストまたはブロックリストに
登録することができます。 登録するには、以下の設定を実施してください。
 
  1. Webコンソールにログインし、[エージェント] → [グローバルエージェント設定] を開きます。
     
  2. 「不審接続監視設定」 設定にて、「ユーザ定義のIPリストを編集」 を選択します。
    1105438_CCCA_blocklist.png
     
  3. 「承認済みリスト」 または 「ブロックリスト」 にIPアドレスを登録します。
    1105438_CCCA_blocklist_02.png
     
4. IPアドレスで検出した場合にログを記録させる方法
 
以下の設定を有効にします。
 
  1. Webコンソールにログインし、[エージェント] → [エージェント管理] を開きます。
  2. ルートドメイン/グループまたは該当の端末を選択します。
  3. [設定] → [不審接続監視設定] を開きます。
     
    1105438_CCCA_configuration_01.png
     
  4. [不審接続監視設定] 内の以下の設定にチェックを入れ、適用方法を選択し、
    [保存] をクリックし、設定を保存します。
     
    ※ユーザ指定ブロックIPリスト内(グローバルエージェント設定)にて
      IPアドレスを登録しており、そのIPに対してのアクセスを許可してログに記録する場合は、
      チェックを入れてください。
     
    1105438_CCCA_configuration_02.png
     


 

Apex One SaaS の場合

Apex One セキュリティエージェントのポリシーにて、不審接続監視を設定してください。

 

検出時に表示される内容

 
検出時のポップアップを有効にしている場合に、C&Cサーバへの接続を検出した場合、
以下のようなポップアップおよびログがエージェント側で出力されます。
 
「C&Cコールバックがエンドポイントで検出されました。詳細については、Apex OneコンソールでC&Cコールバックログを確認してください。」
 
【ポップアップ】
 1105438_CCCAblockpopup.png
 
 
 
【ログ】
 
1105438_CCCA_log.png
 
 
ブラウザ上で検出した場合、以下のブロック画面が出力されます。
 
1105438_CCCA_browsermessage.png
 
※このスクリーンショット内でアクセスしているURLは、C&C コンタクトアラートのテスト用URLになります。
 
ca91-1.winshipway.com
 
 

検出時の対応

一度だけ表示され、ブロックされていた場合

ポップアップが一度だけ表示されブロックされていた場合は、下記ページを参照いただき手動検索を実施後に対応を終了してください。

繰り返し検出される場合

繰り返しポップアップが表示されるようであれば、ご利用環境に未知のウイルスや別の不正なファイルが存在し、その影響で不正なURLにアクセスさせようとしている可能性が考えられます。 下記Q&Aページをご覧のうえ、当該端末にてパターンファイルを最新にアップデート後、すべてのディスクドライブを対象に手動検索を実施してから、最新状態で検出された以下のログを採取してください。
 ・C&Cコールバックログ
 ・不審接続監視ログ
 ・Webレピュテーションログ
そのあと、下記ページを確認いただき、調査用ログを取得し弊社までご送付ください。

 

キーワード: ウイルスバスター コーポレートエディション,Apex One