ビュー:
本FAQでは、Deep Discovery Inspector(以下DDI)のログ受信サービスを既にご利用中のお客様が、ログの送信先となるサーバホスト名を変更する際に使用いたします。
本手順は、大きく分けて3つのStepで構成されております。


  • 本手順は、「TPS Threat Management Option」あるいは
    「DDI Basic Service」サービスを契約いただいているお客様のみが対象となります。

  • 本手順は、弊社よりログ送信先設定の変更依頼があった場合にのみ実施いたします。

  • 本手順を実施するには、DDIのバージョンが、3.8 SP1以上である必要があります。

  • 本手順を実施する前に、管理者ガイドをご参照のうえ、DDIのセットアップが完了している状態にしておいてください。

  • お客様のネットワーク環境で、新ログ受信システムへの通信が許可されている必要があります。

Step 1 新ログ受信サーバの設定を追加する

Step1では、DDIにて変更先のログ受信サーバの情報を追加するための手順をご紹介しております。

ログ受信サーバの設定手順は、DDIのバージョン3.8と、バージョン5.0以降で異なります。

ご使用されているDDIのバージョンに合わせて、下記のいずれかの設定手順を実施ください。 

DDIバージョン3.8の設定手順

  

  1. DDIのWeb管理コンソールにログインします。

  2. ログイン後、以下のURLにアクセスします。

    URL:https://{DDIのIPアドレス}/html/luwak_agent.html

  3. 「Add」ボタンを押下します。

  4. 「Receiver Setting」というポップアップ画面が表示されますので、

    ◆チェックボックス「Enable」にチェックが入っていることを確認します。
    ◆チェックボックス「Import from Syslog」にはチェックを入れる必要はございません。
    ◆Hostに、弊社よりメールでお知らせした新ログ受信システムのログ受信サーバホスト名を入力します。
    ◆チェックボックス「Use System Proxy Setting」にて、プロキシサーバを利用する場合はチェックを入れます。




  5. 「Test Connection」ボタンを押下します。

  6. 「Add」ボタンを押下します。

 以上が完了しましたら、最後に動作確認テストを実施します。Step 2にお進みください。

DDIバージョン5.0以降の設定手順

 

  1. DDIのWeb管理コンソールにログインします。

  2. [管理]→[統合製品/サービス]を押下します。

  3. 画面左のメニューで「Threat Investigation Center」を押下します。

  4. 「追加」ボタンを押下します。

  5. 「Threat Investigation Centerサーバの追加」というポップアップ画面が表示されますので、

    ◆ステータスが「有効」にチェックボックスが入っていることを確認します。
    ◆サーバアドレスに、弊社よりメールでお知らせした新ログ受信システムのログ受信サーバホスト名を入力します。
    ◆チェックボックス「CA証明書を使用」にはチェックを入れる必要はございません。
    ◆チェックボックス「システムのプロキシ設定を使用を使用」にて、プロキシサーバを利用する場合はチェックを入れます。


    setting_v

  6. 「接続のテスト」ボタンを押下します。

  7. 「保存」ボタンを押下します。

 以上が完了しましたら、最後に動作確認テストを実施します。Step 2にお進みください。

 

Step 2 動作テストを実施する

Step2では、Step1にて、弊社ログ受信サーバの情報を登録後、以下の動作が正しく行われるかどうかを確認していただきます。


 ・ お客様のDDI⇔ログ受信サーバ間での通信ができているかどうか
 ・ ログ受信サーバにてお客様のログが受信できているかどうか

万が一本手順を実施しなかった場合、DDIにて脅威を検出した場合に、お客さまに正しく通知されない場合がございます。必ず本手順を実施し、正常に動作しない場合にはお問い合わせください。

動作確認手順

   

  1. Deep Discovery Inspectorの監視ネットワーク対象内の端末にて、以下URLにアクセスします。
    ※監視対象のネットワークにつきましては、管理者ガイドをご参照ください。

    URL:http://www.trendmicro.co.jp/BAD_URI2

    ※アクセス時には「404 Not Found」と表示されますが、正常な動作です。
      次の手順以降にて、動作の確認を行ってください。


  2. DDIの管理コンソールにログインし、以下の検出がされていることを確認します。

    ・ Data-stealing malware - URI used as drop site - HTTP (Request)

    ※上記を確認するためには、「検出」→「すべての検出」→右上の「検出の重大度」のバーを一番右にスライドさせます。


  3. 検出後、およそ1時間以内に、以下の2通のメールが受信されることを確認します。
    その際の受信先は、貴社ご担当者さま(コンタクトパーソン)のメールアドレスとなります。
    以下の内容で受信されます。
    ◆1通目
      送信者:***jp@trendmicro.co.jp(一部マスクしております)
      件名:トレンドマイクロ■脅威検出通知_テストメール [検出範囲日時]
    ◆2通目
      送信者:***jp@trendmicro.com(一部マスクしております)
      件名:トレンドマイクロ■脅威検出通知_テストメール [検出範囲日時]

    ※検出のタイミングにより、上記2通のメールの着信時刻が1時間程度ずれることがあります。


  4. 以上が動作確認手順となります。

Step 3 旧ログ受信サーバの設定を削除する

Step3では、DDIにて旧ログ受信サーバの情報を削除するための手順をご紹介しております。

ログ受信サーバの設定手順は、DDIのバージョン3.8と、バージョン5.0以降で異なります。

ご使用されているDDIのバージョンに合わせて、下記のいずれかの設定手順を実施ください。 

DDIバージョン3.8の設定手順

 

  1. DDIのWeb管理コンソールにログインします。

  2. ログイン後、以下のURLにアクセスします。

    URL:https://{DDIのIPアドレス}/html/luwak_agent.html

  3. サーバアドレスに、弊社よりメールでお知らせした現行ログ受信システムのログ受信サーバホスト名が表示されている行の「Delete」ボタンを押下します。

  4. 確認画面で「OK」ボタンを押下します。

以上が完了しましたら、ログ送信先設定の変更は完了となります。

DDIバージョン5.0以降の設定手順

  

  1. DDIのWeb管理コンソールにログインします。

  2. [管理]→[統合製品/サービス]を押下します。

  3. 画面左のメニューで「Threat Investigation Center」を押下します。

  4. サーバアドレスに、弊社よりメールでお知らせした現行ログ受信システムのログ受信サーバホスト名が表示されている行のチェックボックスにチェックを入れます。

  5. 「削除」ボタンを押下します。

  6. 確認画面で「削除」ボタンを押下します。

以上が完了しましたら、ログ送信先設定の変更は完了となります。

ご不明な点、あるいは正しく動作しないなどの問題がございましたら、お手元の『「弊社指定システム」への接続設定のお願い』文書記載の弊社問合せ窓口までご連絡ください。
キーワード: Deep Discovery/Deep Discovery Inspector