ビジネスサポートポータルアカウントでログイン
Deep Security Virtual Appliance における検索除外の動作について  

Deep Security Virtual Appliance における検索除外の動作について

    • 更新日:
    • 13 Apr 2020
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
Deep Security Virtual Appliance (以下、DSVA) の保護対象の仮想マシンに対して検索除外設定を行っているのですが、設定するリストによって動作などに違いはあるのでしょうか。
詳細
Public

DSVA における検索除外の動作は、ドライバレベル/ソフトウェアレベルの2種類の動作があります。

  • ドライバレベル

    Guest Introspectionドライバ(VSEPFLT)側での除外、下図の1での除外処理が該当

  • ソフトウェアレベル

    DSVA側での除外、下図の2での除外処理のが該当

NSX-V環境の処理フロー


 


 

NSX-T環境の処理フロー


 


ファイルI/Oが発生後、DSVA保護下のコンピュータのOS上で動作するVMware Toolsのコンポーネント上のVSEPFLT側が該当ファイルをフックします(図の1)。
ファイルフック後、ESXi上のMUXプロセスを経由しDSVA(169.254.1.39:48651ポート)に送られ、DSVA上で不正プログラム対策の処理がされます(図の2)。
その後、ファイルを削除する場合は削除命令がDSVAからVSEPFLTにリクエストが送信され、VSEPFLTにて削除動作が実施されます。

ドライバレベルの除外はソフトウェアレベルの除外と比較しファイルフック自体が除外されること、処理工程が少ないため除外の効果が大きいものとなります。

以下、除外リストごとの除外の動作となります。(除外の設定方法に関しましては不正プログラム検索の設定の[検索除外]の項を参照ください。

DSVAのディレクトリリストにワイルドカード(*)を使用した場合、検索除外の設定はディレクトリパスとの文字列の比較によって適用されます。
そのため、ワイルドカード(*)を使用したパスをディレクトリリストに追加して検索除外設定を行った場合に除外されるディレクトリは以下の例のとおりになります。

ディレクトリリスト:
 C\Users\*\Directory\

検索から除外されるディレクトリ:  
 C\Users\UserName\Directory\  
 C\Users\UserName\Directory\Directory\  
 ※赤字部がワイルドカードにて置換された際、[C\Users\*\Directory\]と一致するため除外対象。

検索から除外されないディレクトリ:  
 C\Users\UserName\Directory\Directory\Subdirectory\  
 ※赤字部がワイルドカードにて置換された際、[C\Users\*\Directory\]と一致しないため除外対象外。

DSVA側でネットワークドライブの検索を行わない設定をされている場合でもドライバレベルの検索除外を設定されていない場合は検索リクエストがGuest Introspectionドライバ(VSEPFLT)からDSVAに送信されます。 DSVAによる不正プログラム対策機能が有効時にネットワークドライブに対するアクセスパフォーマンスの低下が見られる場合はネットワークドライブに対してドライバレベルの検索除外を設定ください(詳細はこちら)。

 
Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様
Solution Id:
1107795
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド