Q&A | Trend Micro Business Support

Threat Management Services Portal 障害が疑わしい場合の切り分け方法について

- 更新日:
- 17 Jul 2017
- 製品/バージョン:
- Deep Discovery Inspector All.All
- OS:
- Appliance すべて
- Virtual Appliance すべて

説明

DDIとTMPS間での接続に異常を感じた場合は、以下の確認をお願いします。

手順①：接続確認

DDI の管理コンソールにログインします。
メニューバーより[管理]- [グローバル設定]を選択します。
左メニューの[ネットワークインターフェースの設定] - [Threat Management Services Portal]を選択します。
画面が切り替わったら、[接続テスト]を実行します。その際、「Please wait while Deep Discover tests the connection...」と表示されます。
しばらくすると「Verified Connection」と表示され、接続の確認が完了します。 OKをクリックすると、メッセージボックスが閉じられます。

"Verified connection"以外のメッセージが生じた場合は、DDIとTMSP間での通信状況に問題が生じている恐れがあります。
接続テストで得られた結果をお知らせいただくとともに、該当の日時前後でネットワークメンテナンスなど、モニタリングに影響のある作業などがありましたらお知らせください。

手順②：[検出ログのクエリ]を確認

DDI の管理コンソールにログインします。
メニューバーより [ログ] - [検出ログのクエリ]を選択します。
以下項目をセットして、[エクスポート]を実行しログを保存します。
　　□[期間]開始時刻:YYYY/MM/DD
　　　　　　終了時刻:YYYY/MM/DD
　　□[エンドポイント]すべてのコンピュータ
　　□[検出の種類]脅威
　　　　　　タイプ: 全て選択
　　　　　　重大度: 全て選択
　　　　　　不正プログラム名: 空白

検出が確認できる場合： 引き続き手順⑤を実施してください。
検出が確認できない場合：DDIで検出されない理由として、以下2点が想定されます。

(1)機器や通信に異常なく、DDIで検出される通信イベントがない
(2)機器や通信に異常が生じ、DDIがパケットを受信していない

事象発生前の検出状態をご確認いただき、もともと検出の少ない環境である場合は(1)の可能性があります。数時間～数日ほど経過した後に手順②を再実施ください。
日常的に検出される環境の場合、(2)が生じている可能性があります。引き続き手順③を実施してください。

手順③：パケットデータの受信確認

DDI の管理コンソールにログインします。
メニューバーより[管理]- [グローバル設定]を選択します。
左メニューから[ネットワークインターフェースの設定] - [アプライアンスIPの設定]を選択し、パケット取得対象インタフェースの[開始]をクリックするとパケットキャプチャが始まります。
[停止]をクリックしてパケットの取得を終了します。
[エクスポート]をクリックしてパケットデータをダウンロードします。
ダウンロードされたファイルを解凍し、Wiresharkなどでキャプチャされた内容を確認します。

DDIがパケットを受信している場合： 引き続き手順⑤を実施ください。
DDIがパケットを受信していない場合：DDI周辺機器（ミラーポートの設定、ネットワークケーブルの抜き差しなど）の調査を実施してください。

手順④：デバッグログ収集

デバッグログ収集画面へアクセスしてください。
　　https://{DDI_IP}/html/troubleshooting.htm
"デバックログのエクスポート"にある以下2つのチェックボックスを全てチェックし、「エクスポート」ボタンのクリックでログを保存してください。

　　□ デバックログのエクスポート

　　□ 設定のエクスポート
上述の手順で保存されたログを弊社までお送りください。なお、ファイルサイズが大きい場合は、FTPを用意いたしますのでお知らせください。

手順⑤：再起動

DDIの管理コンソールにログインします。
メニューバーより[管理]- [グローバル設定]を選択します。
左メニューから[システム設定] [システムのメンテナンス]を選択します。
[システムのメンテナンス]の[再起動]、[システム]のラジオボタンが選択された状態で[OK]をクリックします。