ビジネスサポートポータルアカウントでログイン
DPI (侵入防御) イベントに関する調査に必要となる情報一覧  

DPI (侵入防御) イベントに関する調査に必要となる情報一覧

    • 更新日:
    • 15 Mar 2020
    • 製品/バージョン:
    • Trend Micro Deep Security 10.All
    • Trend Micro Deep Security 11.All
    • Trend Micro Deep Security 12.All
    • Trend Micro Deep Security 8.All
    • Trend Micro Deep Security 9.All
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
Deep Security Agent(以下DSA)で保護されたコンピュータや、Deep Security Virtual Appliance(以下DSVA)で保護された仮想マシンで、不審なDPI(侵入防御)イベントが発生しました。イベントの発生要因や再発予防策に関する調査を行う際に必要となる情報について教えてください。
詳細
Public

基本情報

詳細すべて確認

Windowsの取得手順

情報の種類Windowsの取得手順
OSの基本情報Windowsキーと[R]を同時に押し、「ファイル名を指定して実行」から"msinfo32"と入力し、[ファイル]-[エスクポート]からテキストファイルとして出力します。
Agent の基本情報コントロールパネルの「プログラムの追加と削除」から"Trend Micro Deep Security Agent"を選択し、「サポート情報を参照するには、ここをクリックしてください。」をクリックした画面のスクリーンショット
Notifierのスクリーンショット

[タスクトレイ]-[Trend Micro Deep Security]をダブルクリックし、表示されたウィンドウのスクリーンショットを取得(コンポーネント欄がスクロールできる場合は、すべての項目が写るように数回に分けてスクリーンショットを取得)

DSAの診断パッケージ
ルールアップデートのバージョン(DSRUバージョン)
[管理]→[アップデート]→[セキュリティ]→[ルール]と進み、現象発生時に適用されていたルールアップデートのバージョンを確認します。

Linuxの取得手順

情報の種類Linuxの取得手順
OSの基本情報# uname -a
# cat /etc/*-release
Agent の基本情報# cat /proc/driver/dsa/info
# rpm -qa ds_agent
システムイベント/var/log/messages
DSAの診断パッケージ
ルールアップデートのバージョン(DSRUバージョン)
[管理]→[アップデート]→[セキュリティ]→[ルール]と進み、現象発生時に適用されていたルールアップデートのバージョンを確認します。

Solarisの取得手順

情報の種類Solarisの取得手順
OSの基本情報# uname -a
# cat /etc/release
Agent の基本情報# pkginfo -l ds-agent
システムイベント/var/adm/messages
DSAの診断パッケージ
ルールアップデートのバージョン(DSRUバージョン)
[管理]→[アップデート]→[セキュリティ]→[ルール]と進み、現象発生時に適用されていたルールアップデートのバージョンを確認します。

  

DSVAで保護された仮想マシンで発生した場合、以下を取得してください。
 

その他の確認事項

  • 発生している問題とその再現手順、問題発生条件等、できる限り詳細にお伝えください。
  • Agent / Managerと同居しているセキュリティ製品(ウイルス対策製品、ファイアウォール等)の製品名/バージョンとファイアウォール関連の設定内容
  • ネットワーク構成図 (Manager / Agent のIPアドレスおよびその中間に配置されているネットワーク機器等、可能な限り詳細にお伝え下さい)

タイムテーブル

 

取得したログファイルを比較しながら調査を進めるため、システム時計をもとに、ログの取得時刻や作業の実行時刻をメモしたものをご提供ください。

--------------------------------------------------------------------------------
記載例)
07/08 10:00 システム時計の時刻を確認
07/08 10:10 各ログ取得準備
07/08 10:15 現象再現
07/08 10:25 各データの取得
--------------------------------------------------------------------------------

csv出力したDPI(侵入防御)イベント

イベントの出力は一時的に表示言語を英語に変更した上で出力してください。

詳細すべて確認

バージョン8.0までの手順

  1. Webコンソールの[システム]-[ユーザ]を選択します。
  2. 現在ログイン中のユーザをダブルクリックしてプロパティを開き、[言語]メニューから「English (US)」を選択して[OK]をクリックします。
  3. [Deep Packet Inspection]-[DPI Events]から、問題となっているDPIイベントを表示させ、[Export..]-[Export Displayed..]を選択してcsvファイルとして出力します。

バージョン9.0以降の手順

  1. Webコンソールの[管理]タブから[ユーザ管理]-[ユーザ]を選択します。
  2. 現在ログイン中のユーザをダブルクリックしてプロパティを開き、[言語]メニューから「English (US)」を選択して[OK]をクリックします。
  3. [Events & Reports]タブから[Intrusion Prevention Events]をクリックし、問題となっている侵入防御イベントを表示させ、[Export]-[Export to CSV...]を選択してcsvファイルとして出力します。

イベント発生時のパケット

tcpdumpコマンドやwireshark等のパケットキャプチャーツールを利用して、問題視されているイベントが発生したタイミングでのパケットを取得してください。

その際、パケットが侵入防御やファイアウォール機能にてリセットされ、記載が残らない結果となる可能性を避けるために、ネットワークエンジンをタップモードに変更してください。
(DSMの[コンピュータ]で対象のDSAの詳細を開き、[設定]>[ネットワークエンジン]タブの[ネットワークエンジンモード]セクションで[ネットワークドライバモード]を[タップ]に設定します。)

また、解析を迅速に行うためにも、ネットワーク構成図(IPアドレス情報つき)を併せてご提供ください。

意図的に現象を再現できない等の理由で、イベント発生時のパケットを採取できない場合、管理者ガイド等に記載されているようなイベントの概要以上の見解を提供する事ができません。

お問い合わせの多いイベントの概要や発生条件および回避策等については、以下の製品Q&Aをご確認ください。

Premium
Internal
Partner
評価:
カテゴリ:
Troubleshoot
Solution Id:
1099406
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド