新しいプラットフォームにおけるTrend Vision One エージェント(XDR Endpoint Basecamp & XDR Endpoint Sensor)の正常性確認について
新しいプラットフォームにおけるVision One エージェントの正常性確認は以下の流れで実施できます。
※ここでは全ての機能(Endpoint Sensorの検出と対応、Advanced Risk Telemetry)が有効になっている場合を例にして説明します。
※プラットフォームの確認方法はこちら
- Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
- 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
- ここで”センサの接続”、”前回接続したセンサ”、”Endpoint Sensorの検出と対応”、”Advanced Risk Telemetry”の枠を確認します。
センサの接続:接続済みになっていることを確認します。
前回接続したセンサ:最後に接続を確認した時刻が表示されます。
Endpoint Sensorの検出と対応:有効になっている事を確認します。
Advanced Risk Telemetry:有効になっていることを確認します。
Activity Logの確認
XDR Endpoint Sensor が正常に動作している事を確認するため、Vision One側でActivity Logを受信できているか確認できます。
Activity Logが見つかった場合は正常にログが送信されてきていると判断できます。
Searchにて「新しい検索を試す」が有効もしくは無効な場合、画面の表示が異なりますのでご利用状況に応じて下記をご確認ください。
Searchにて「新しい検索を試す」が有効なお客様の場合
1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
3. 動作を確認したい端末を選択し、表示された”詳細なプロファイル”にあるエンドポイントGUIDの値をコピーします。
4. XDR Threat Investigation>Searchを選択します。
5. 画面右上の「新しい検索を試す」が有効であることを確認します。
6. 画面左側の「データソース/プロセッサ」を選択し、「すべてクリア」をクリックし、Endpoint の項目にある「Endpoint Sensor」を選択します。
7. Search画面で検索方法で”エンドポイントアクティビティデータ”を選択し、検索キーワードに”endpointGuid:コピーしたエンドポイントのGUID"を指定します。
・一致するデータが見つかる場合、対象の端末はActivity LogをVision Oneに送信しています。
・一致するデータが見つからない場合、対象の端末はActivity LogをVision Oneに送信していません。
Searchにて「新しい検索を試す」が無効なお客様の場合
1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
3. 動作を確認したい端末を選択し、表示された”詳細なプロファイル”にあるエンドポイントGUIDの値をコピーします。
4. XDR Threat Investigation>Searchを選択します。
5. Search画面で検索方法で”エンドポイントアクティビティデータ”を選択し、検索キーワードに”endpointGuid:コピーしたエンドポイントのGUID"を指定します。
・一致するデータが見つかる場合、対象の端末はActivity LogをVision Oneに送信しています。
・一致するデータが見つからない場合、対象の端末はActivity LogをVision Oneに送信していません。