新しいプラットフォームにおけるTrend Vision One エージェント(XDR Endpoint Basecamp & XDR Endpoint Sensor)の正常性確認について
新しいプラットフォームにおけるVision One エージェントの正常性確認は以下の流れで実施できます。
※ここでは全ての機能(Endpoint Sensorの検出と対応、Advanced Risk Telemetry)が有効になっている場合を例にして説明します。
※プラットフォームの確認方法はこちら
- Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
- 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
- ここで”センサの接続”、”前回接続したセンサ”、”Endpoint Sensorの検出と対応”、”Advanced Risk Telemetry”の枠を確認します。
センサの接続:接続済みになっていることを確認します。
前回接続したセンサ:最後に接続を確認した時刻が表示されます。
Endpoint Sensorの検出と対応:有効になっている事を確認します。
Advanced Risk Telemetry:有効になっていることを確認します。
Activity Logの確認
XDR Endpoint Sensor が正常に動作している事を確認するため、Vision One側でActivity Logを受信できているか確認できます。
Activity Logが見つかった場合は正常にログが送信されてきていると判断できます。
Agentic SIEM and XDR > XDR Data Explorer にて「データソースの種類を拡張して有効にする」が有効もしくは無効な場合、画面の表示が異なりますのでご利用状況に応じて下記をご確認ください。
XDR Data Explorerにて「データソースの種類を拡張して有効にする」が有効なお客様の場合
1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
3. 動作を確認したい端末を選択し、表示された”詳細なプロファイル”にあるエンドポイントGUIDの値をコピーします。
4. Agentic SIEM and XDR > XDR Data Explorer を選択します。
5. 画面右上の「データソースの種類を拡張して有効にする」が有効であることを確認します。
6. 画面左側の「データソース/プロセッサ」を選択し、「すべてクリア」をクリックし、Endpoint を選択し、その配下にあるすべての項目を選択します。
7. 画面中央の検索ボックスにて、検索キーワードに”endpointGuid:コピーしたエンドポイントのGUID"を指定します。
・一致するデータが見つかる場合、対象の端末はActivity LogをVision Oneに送信しています。
・一致するデータが見つからない場合、対象の端末はActivity LogをVision Oneに送信していません。
XDR Data Explorerにて「データソースの種類を拡張して有効にする」が無効なお客様の場合
1. Vision One の管理コンソールにログインし、Endpoint Security>Endpoint Inventoryに移動します。
2. 画面左のメニューから”すべての管理対象エンドポイント”を選択し、右側に各端末のステータスが表示された事を確認します。
3. 動作を確認したい端末を選択し、表示された”詳細なプロファイル”にあるエンドポイントGUIDの値をコピーします。
4. Agentic SIEM and XDR > XDR Data Explorer を選択します。
5. 「検索方法」の項目にて”エンドポイントアクティビティデータ”を選択し、画面中央の検索キーワードに”endpointGuid:コピーしたエンドポイントのGUID"を指定します。
・一致するデータが見つかる場合、対象の端末はActivity LogをVision Oneに送信しています。
・一致するデータが見つからない場合、対象の端末はActivity LogをVision Oneに送信していません。