ビュー:

Deep Discovery Inspector (以下、DDI) では弊社 Web レピュテーションサービス (以下、WRS) へ URL のレピュテーションスコア (評価情報) を問い合わせ、当該スコアに基づき不正な URL へのアクセスを検出する機能がございます。
ここでは、WRS による検出テスト用の URL を用いる手順をご案内します。

 

検出テスト手順

 1.DDI による監視対象ネットワーク内の端末でブラウザを開きます。
 
 2.ブラウザのアドレスバーに以下の URL を入力し、アクセスします。
  
   hxxp://wrs21.winshipway.com/
   ※上記「hxxp」を「http」に置き換えて入力してください。
 
 3.DDI の管理コンソールにログインし、上部タブ [検出]→[すべての検出] 画面に
  検出テスト用 URL へのアクセスによる検出結果が表示されていることを確認します。
  ※[脅威の詳細] 情報は「Dangerous URL in Web Reputation Services database - HTTP (Request)」となります。

 

トラブルシューティング

検出テスト用の URL にアクセスしても検出結果に表示されない場合、以下のような原因が考えられます。

 

1.DDI が WRS へアクセスできていない

DDI は URL のレピュテーションスコアを弊社 WRS へ問い合わせ、入手した情報に基づき検出します。
そのため、以下のような理由により DDI から WRS へアクセスできていない場合は正常に検出されません。

 ・ファイアウォールやプロキシにより WRS へのアクセスがブロックされている
  →WRS のアドレスとポートを許可してください。

 ・DDI に DNS サーバが設定されておらず、WRS のアドレスを名前解決できていない
  →管理コンソールの上部タブ [管理]→[システム設定]→「eth0 (管理)」に適切なネットワーク情報を設定します。 

 ・DDI がオフライン環境である
  →本手順では検出できません。

なお、WRS のアドレスとポートは DDI バージョンごとに異なっております。
詳細につきましては各管理者ガイドの [付録]→「サービスのアドレスとポート] 表内の「Webレピュテーションサービス」欄をご確認ください。
(DDI 5.7 での例:ddi5-7-jp.url.trendmicro.com:443)

また、DDI には各サービスへの接続性をテストする機能がございます。
WRS への接続性を確認する手順は以下の通りです。

 1.DDI の管理コンソールにログインします。
 
 2.以下のページにアクセスします。
  https://{DDIのIPアドレス}/html/troubleshooting.htm
 
 3.左カラムから [ネットワークサービス診断] を選択します。
   
 4.右ペイン内の一番上、「サービス」横のチェックを選択し、一度すべてのチェックを外します。
  その後「Webレピュテーションサービス(グローバル)」にのみチェックを付けます。
  
 5.[テスト] ボタンを選択します。
 
 6.ネットワークサービス診断中は [テスト] ボタンがグレーアウトしますので
  グレーアウトから元に戻るまで待機します。
 
 7.「Webレピュテーションサービス(グローバル)」欄が「接続済み」となることを確認します。

 

2.検出テスト用 URL へのアクセス時のパケットが DDI に流入していない

端末のブラウザにキャッシュが残っている場合や、プロキシによってブロックされている場合には検出テスト用 URL へのアクセスが行われず、正常に検出されない場合がございます。
キャッシュの削除やネットワーク環境をご確認いただき、再度検出テストをお試しください。
 


3.WRS による検出機能が無効となっている

DDI では WRS による検出機能の有効化/無効化を設定することができます。
デフォルトでは有効となっておりますが、もし無効化されている場合には以下の手順にて有効化してください。
(何らかの理由により意図して無効化している場合には、一時的な有効化でも問題はございません。)

 1.DDI の管理コンソールにログインします。
 
 2.上部タブ [管理]→[監視/検索]→[Webレピュテーション] を選択します。
 
 3.右ペイン内「Webレピュテーションを有効にする」にチェックを付け、
  「保存」ボタンを選択します。
 

4.許可リストまたは除外設定に登録されている

検出テスト用の URL が DDI の許可リスト、または除外設定に登録されている場合は正しく検出されません。
対象の URL がそれぞれに登録されているかどうかは、以下の手順にてご確認いただけます。

 ・許可リストの確認
  →管理コンソール内 [管理]→[監視/検索]→[拒否リスト/許可リスト]→[許可リスト] タブ
 
 ・除外設定の確認 ※URL を除外設定可能なのは DDI 5.1 以降のみとなります
  →管理コンソール内 [管理]→[監視/検索]→[検出の除外設定]

 

5.WRS による検出のプロセスが正常に動作していない

何らかの理由により DDI の内部プロセスが正常に動作していない可能性がある場合、ログ等の情報を取得しての調査が必要となる場合がございます。

※再起動によりプロセスが立ち上がり、正常に検出できるようになる場合もございますので
 事象の解決を優先される場合には DDI の再起動をお試しください。

弊社サポート窓口での調査が必要な場合には、下記製品 Q&A に記載の手順で以下の情報を取得し、サポート窓口へのお問合せ時にご提供ください。

 ■ 問題発生時の調査に必要な情報一覧
  ・パケットキャプチャ
  ・検出ログ
  ・デバッグログ (Webレピュテーションに関する問題)

キーワード: Deep Discovery Inspector