原因

DSA 10.0 から、挙動監視機能の追加によって、不正プログラム/ランサムウェア検索が強化されました。

挙動監視機能では、DSAが直接Global Census ServerおよびGood File Reputation Serviceに接続し、ファイルの正当性をチェックします。DSAがこれらのサーバに接続できない場合、該当のシステムイベントが記録され、アラートが発令されます。

対処法

DSAがプロキシ経由でインターネットに接続可能な場合、[コンピュータ]画面から対象のDSAをダブルクリックして詳細画面を表示し、[設定]→[一般]タブの[CensusおよびGood File Reputationサービス]欄からプロキシを指定します。

DSAによるインターネット接続が不可能な環境では、挙動監視およびプロセスメモリ検索機能を利用できません。リアルタイム検索設定の[一般]タブから両機能のチェックを外し、[アラート]画面のアラートの設定から[CensusおよびGood File Reputationサービスへの接続解除]アラートの設定をオフにして、該当アラートが発令されないようにします。

また、各機能のクエリを無効にしたい場合は、各機能を無効化したうえで以下の設定を行ってください。

CensusクエリとGRIDクエリを完全に無効化する方法

1. コマンドプロンプト(CLIコンソール)を起動し、DSMのインストールフォルダに移動します。

   (Windows版DSMの初期設定のインストールフォルダ)
   cd %ProgramFiles%\Trend Micro\Deep Security Manager

   (Linux版DSMの初期設定のインストールフォルダ)
   cd /opt/dsm

2. 以下コマンドを実行し、現在の設定値を確認します。

   ・Censusクエリの設定
   dsm_c -action viewsetting -name settings.configuration.enableCensusQuery

   ・GRIDクエリの設定
   dsm_c -action viewsetting -name settings.configuration.enableGridQuery

3. 以下コマンドを実行し、各クエリ機能を無効化します。

   ・コンピュータ単位で無効化する場合
   　dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false -computername xxxxx
   　dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false -computername xxxxx
   
   ・ポリシー単位で無効化する場合
   　dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false -policyname xxxxx
   　dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false -policyname xxxxx
   
   ・すべてのコンピュータで無効化する場合
   　dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false
   　dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false
    

4. 以下コマンドを実行し、設定が正しく更新された事を確認します。

   ・Censusクエリの設定
   dsm_c -action viewsetting -name settings.configuration.enableCensusQuery

   ・GRIDクエリの設定
   dsm_c -action viewsetting -name settings.configuration.enableGridQuery