Apex Centralおよび、Control Managerのネットワークウイルスアラートを設定するには、まず管理コンソールへログインし、[レポート]>[通知]>[イベント通知] に移動、[既知の脅威アクティビティ] にて[ネットワークウイルスアラート]をクリックします。
※Control Manager 6.0 では、「運用管理」-> 「イベントセンター」->[イベント通知(バージョン6.0のみ)]を開きます。次に「アラート」-「ネットワークウイルスアラート」の行の「設定」のリンクをクリックしてください。
設定画面は次のように構成されています。(デフォルト値が設定されています)
- 検出数:[100]
- 影響を受けたユーザ/エンドポイント:[5]
- 期間:[5]
ネットワークウイルスアラートは「期間」で設定した時間以内に、「検出数」のインスタンス数と、「影響を受けたユーザ/エンドポイント」で設定したコンピュータまたはユーザ数の条件設定が両方満たされた場合に送信されます。
一部の条件のみが満たされただけでは、送信されません。
また、ネットワークウイルスアラートに対応している製品は、Trend Micro Network VirusWall Enforcer のみです。それ以外の製品でネットワークウイルスを検出してもこのアラートは発動しません。
次に各設定値について説明いたします。
• 「検出数」のインスタンス数設定
インスタンス数は、その設定値を超えるウイルス検出によって条件を満たします。例えば既定値の[100]であれば、101件のウイルス検出によって条件を満たしたことになります。
また、このインスタンス数はウイルスの種類毎にカウントされ、アラートが送信されます。上の例であれば、一つのウイルスで101件の検出があった場合には条件を満たしますが、複数の種類のウイルス検出数を合計して101件以上であっても、条件を満たしたことにはなりません。
設定可能な値は1~9999までとなります。
• 「影響を受けたユーザ/エンドポイント」のコンピュータまたはユーザ数設定
ウイルスが検出されたコンピュータまたはユーザの数が、その設定値以上になったときに条件を満たします。
規定値の[5]の場合、5つのユーザまたはコンピュータでウイルスが検出されたことで、条件が満たされたことになります。
設定可能な範囲は1~9999です。
• 「期間」の時間設定
検出件数をカウントする時間の範囲が設定されます。「期間」はこの設定時間以内に、設定された検出件数を超えることで条件を満たします。
設定可能な範囲は5~120です。
また、一度ネットワークウイルスアラートが送信されたウイルスについては、アラート送信後この設定時間の間は、再びアラートを送信することはありません。
既定値の[5]が設定されている場合、あるウイルスに対してアウトブレークアラートが送信されたあと5分間は、同じウイルスがいくつ検出されても再送信することはありません。
ただし、ウイルスの検出数はウイルスの種類毎にカウントされるため、別の名前のウイルスが条件を満たした場合は、前のアラートとは無関係に送信されます。
<注>
短時間に多数のウイルス検出があった場合、設定条件を満たしても直後にはアラートが通知されないことがあります。
また、そのような場合ネットワークウイルスアラートの通知に記録されるウイルス検出数などの値は設定条件よりも大きくなることがあります。
