原因
DSA 10.0 から、挙動監視機能の追加によって、不正プログラム/ランサムウェア検索が強化されました。
挙動監視機能では、DSAが直接Global Census ServerおよびGood File Reputation Serviceに接続し、ファイルの正当性をチェックします。DSAがこれらのサーバに接続できない場合、該当のシステムイベントが記録され、アラートが発令されます。
Deep Security 11.0以降をご利用の場合は、Deep Securityヘルプセンターをご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。
対処法
DSAがプロキシ経由でインターネットに接続可能な場合、[コンピュータ]画面から対象のDSAをダブルクリックして詳細画面を表示し、[設定]→[一般]タブの[CensusおよびGood File Reputationサービス]欄からプロキシを指定します。
DSAによるインターネット接続が不可能な環境では、挙動監視およびプロセスメモリ検索機能を利用できません。リアルタイム検索設定の[一般]タブから両機能のチェックを外し、[アラート]画面のアラートの設定から[CensusおよびGood File Reputationサービスへの接続解除]アラートの設定をオフにして、該当アラートが発令されないようにします。
また、各機能のクエリを無効にしたい場合は、各機能を無効化したうえで以下の設定を行ってください。
CensusクエリとGRIDクエリを完全に無効化する方法
-
コマンドプロンプト(CLIコンソール)を起動し、DSMのインストールフォルダに移動します。
(Windows版DSMの初期設定のインストールフォルダ)
cd %ProgramFiles%\Trend Micro\Deep Security Manager(Linux版DSMの初期設定のインストールフォルダ)
cd /opt/dsm -
以下コマンドを実行し、現在の設定値を確認します。
・Censusクエリの設定
dsm_c -action viewsetting -name settings.configuration.enableCensusQuery・GRIDクエリの設定
dsm_c -action viewsetting -name settings.configuration.enableGridQuery -
以下コマンドを実行し、各クエリ機能を無効化します。
・コンピュータ単位で無効化する場合
dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false -computername xxxxx
dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false -computername xxxxx
・ポリシー単位で無効化する場合
dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false -policyname xxxxx
dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false -policyname xxxxx
・すべてのコンピュータで無効化する場合
dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false
dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false
-
以下コマンドを実行し、設定が正しく更新された事を確認します。
・Censusクエリの設定
dsm_c -action viewsetting -name settings.configuration.enableCensusQuery・GRIDクエリの設定
dsm_c -action viewsetting -name settings.configuration.enableGridQuery
Deep Security 11.0以降をご利用の場合は、Deep Securityヘルプセンターをご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。