ビュー:

本ページで使用する略称について

Deep Security:DS
Deep Security Manager:DSM
Deep Security Agent:DSA
Trend Cloud One - Endpoint and Workload Security:C1EWS
Trend Vision One - Server & Workload Protection:V1SWP
Kernel Support Package:KSP

概要

Linux OSでDSAをご利用いただく場合、KSPのインストールが必要です。
KSPがインストールされていない場合やご利用のLinux OSにKSPが対応していない場合、「不正プログラム対策エンジン (基本機能)」や「不正プログラム対策エンジンがオフライン」のステータスが表示されます。

KSPについては、KSP: Kenerl Support Package の概要:Deep Securityをご参照ください。

なお、KSPをDSMにインポートいただくことで、自動的に保護対象のコンピュータにKSPが適用されます。
また、C1EWS環境についてはManager側で自動的に最新のKSPがインポートされます。

「不正プログラム対策エンジン (基本機能)」の状態について

不正プログラム対策機能がコンピュータに基本的な保護のみを提供している状態です。
詳細は下記のオンラインヘルプをご参照ください。

DS:警告:不正プログラム対策エンジンが提供する基本機能
C1EWS:警告:不正プログラム対策エンジンが提供する基本機能
V1SWP:警告: 不正プログラム対策エンジンは基本機能のみです

「不正プログラム対策エンジン (基本機能)」の状態で利用した場合と対処

基本機能での動作は、DSMにKSPがインポートされていないなど何らかの原因でKSPが利用できない場合に基本的な保護を提供し、保護動作を継続するための機能です。
通常の運用においては、不正プログラム対策機能のステータス表示が正常(緑のマークが表示されている状態)となるように、KSPをDSMにインポートした上でご利用ください。

対処方法

DSMへのKSPのインポート (DSをご利用の場合)
KSPがDSMにインポートされているかご確認ください。
詳細はKSPをダウンロードする方法・適用方法をご参照ください。
KSPでサポートされているカーネルの確認
ご利用のLinux OSがKSPのサポート対象となるカーネルかご確認ください。
詳細はKSPでサポートカーネルか確認する方法と留意事項:(KSP: Kernel Support Package)をご参照ください。
Secure Bootを有効にしている場合
Secure Bootが有効な環境ではトレンドマイクロの公開鍵を事前に登録いただく必要があります。
必要な公開鍵については以下のドキュメントをご参照ください。
 
 ※登録する公開鍵の判断がつかない場合、提供されているすべての公開鍵を登録することをご検討ください。

DS:
 Linux Secure Bootのサポート
 AgentのLinux Secure Bootの設定

C1EWS:
 Linux Secure Bootのサポート
 AgentのLinuxセキュアブートの設定
 
V1SWP:
 Linuxセキュアブートのサポート
 エージェントのLinuxセキュアブートの設定
DSAに適用されているKSPのビルドを確認する
Secure Bootが無効、または、公開鍵が登録されている場合、最新のKSPが適用されているかご確認をお願いいたします。
Deep Security Agent に適用されている KSP のバージョンの確認方法の「2. コマンドで確認する方法」の手順で「gsch.ko.version」のビルドをご確認ください。

公開されている最新ビルドはDeep Security 20.0 Supported Linux Kernelsをご確認ください
上記の一覧の確認方法はKSPでサポートカーネルか確認する方法と留意事項をご参照ください。

KSPビルドが最新でない場合は、ポリシー、または、コンピューターの詳細の[設定 > 一般 > カーネルパッケージアップデート]にて、[Agentの再起動時にカーネルパッケージを自動的にアップデート]が[はい]に設定されていることをご確認の上、ポリシー送信を実施し、DSAサービス再起動をお試しください。

1.コンピュータ一覧から該当コンピュータを右クリックします。
2.[処理 > ポリシーの送信]をクリックします。
3.しばらくして、システムイベントに下記が記録されることを確認します。
 レベル: 情報
 イベントID: 720
 イベント: ポリシー送信
 対象: {登録ホスト名}

4.DSAサービス再起動を実行します。
# systemctl restart ds_agent
読み込まれているカーネルモジュールを確認する
「cat gsch.ko.version」で最新ビルドが表示されている場合、カーネルモジュールの読み込み状況を確認します。
# lsmod
bmhook、tmhookの両方が読み込まれていない場合は、DSAサービスを再起動してください。
# systemctl restart ds_agent
上記を実施しても「不正プログラム対策エンジン (基本機能)」が解消しない場合
問題発生時の調査に必要となる基本情報をご参照の上、採取した資料と以下のコマンド結果も合わせて、弊社の製品サポート窓口へお問い合わせください。
# bash -x /opt/ds_agent/ds_am.init startBM
# ls -alR /opt/ds_agent/
# sha256sum /opt/ds_agent/$(uname -r)/*

よくあるご質問

お問い合わせ 回答
基本機能での動作の制限は、予約検索やリアルタイム検索に影響がありますか? リアルタイム検索、手動検索、予約検索は、ご確認いただいたオンラインヘルプに記載の制限事項のもとで動作します。

DS:警告:不正プログラム対策エンジンが提供する基本機能
C1EWS:警告:不正プログラム対策エンジンが提供する基本機能
V1SWP:警告: 不正プログラム対策エンジンは基本機能のみです
AzureでSecure Bootを有効にしたTrusted launch VMに後から公開鍵を登録し、「不正プログラム対策エンジン (基本機能)」を解消することは可能でしょうか? 既存のTrusted launch VMに公開鍵を登録する手順はございません。
「不正プログラム対策エンジン (基本機能)」を解消するためには、公開鍵の登録と併せてTrusted launch VMをデプロイしていただくか、VMの「セキュアブート」オプションをオフにしていただく必要があります。

Trusted launch VMデプロイ時の公開鍵の登録方法は、下記をご参照ください。
DS:AgentのLinux Secure Bootの設定
C1EWS:AgentのLinuxセキュアブートの設定
V1SWP:エージェントのLinuxセキュアブートの設定
「不正プログラム対策エンジン (基本機能)」で利用していた際、OSがクラッシュしました。 過去の事例において、基本機能での利用中にOSのハングアップやクラッシュなどが確認されています。
基本機能での動作は、DSMにインポートされてないかなど何らかの原因でKSPが利用できない場合に基本的な保護を提供し、保護動作を継続するための機能です。
通常の運用においては、不正プログラム対策機能のステータス表示が正常(緑のマークが表示されている状態)となるように、KSPをDSMにインポートした上でご利用ください。
「不正プログラム対策エンジン (基本機能)」で利用していた際、sshでの接続ができなくなりました。 過去の事例において、基本機能での利用中にプロセスのハングアップなどが確認されています。
基本機能での動作は、DSMにインポートされてないかなど何らかの原因でKSPが利用できない場合に基本的な保護を提供し、保護動作を継続するための機能です。
通常の運用においては、不正プログラム対策機能のステータス表示が正常(緑のマークが表示されている状態)となるように、KSPをDSMにインポートした上でご利用ください。
キーワード: 不正プログラム対策エンジン (基本機能), 基本機能, 不正プログラム対策エンジン, DSA, KSP