Trend Micro Deep Security Agent Support Tool GUI 版本
- 建議使用最新版本的工具,該版本包含最新的Build。
- 請注意該版本的有效性,解決方案中心會定期更新。如果該版本已過期,使用者介面將顯示:
"This version of the program is Expired. Please request for newer version."
在此標籤中,您可以透過檢視使用者介面來查看目前的 DSA 狀態。
- 軟體:顯示此電腦是否已安裝 DSA
- 版本:顯示目前 DSA 的版本號碼
- 服務狀態:若已安裝 DSA,這裡顯示 DSA 服務的開啟或關閉狀態。
- 除錯模式:顯示是否已啟用日誌除錯級別
- 自我保護:顯示是否已停用自我保護(若啟用了自我保護,某些模組除錯可能無法啟用。)
您也可以按下 其他項目 按鈕來檢查特定模組的功能狀態。
針對「除錯項目」,預設啟用 AMSP 除錯級別。若有需要,您也可以選擇更多選項。
- 然後,可以使用啟用除錯日誌/停用除錯日誌來控制除錯狀態。
- Press button Collect Data to generate a diagnostic package.
收集完成後,會在與此工具相同路徑下產生三個文件/資料夾:
- 一個名為 "DSTool-PRODUCT-20211014-112342-[WIN-K2EK8NG8KJF].zip" 的 ZIP 檔案。這是收集包,包含診斷包和其他必要信息。
- 一個名為 "DSTool-PRODUCT-20211014-112342-[WIN-K2EK8NG8KJF].txt" 的 TXT 檔案。它包含一個 SHA256 值,應與上述 ZIP 檔案匹配。
- 一個名為 "logs" 的資料夾。這個資料夾存儲臨時文件和工具日誌(臨時文件將在收集完成後被刪除)。
最佳操作步驟如下:
- 啟用除錯日誌。
- 重現問題。
- 停用除錯日誌。
- 收集數據。
DSA 效能收集有兩個部分。在此 UI 的左側是Process Monitor日誌收集。在此 UI 的右側是 Windows 效能記錄器日誌收集。
您可以選擇使用計時器進行自動收集(建議)或手動啟動/停止收集。
- Process Monitor
由於微軟不允許第三方軟體直接整合 Process Monitor,您需要手動下載或選擇現有的 Process Monitor。
- 使用 "下載 Process Monitor" 按鈕下載。
如果環境可以連接到網際網路,請按下下載 Process Monitor按鈕下載軟體。預設下載路徑與工具路徑相同。
下載完成後,工具會預設指向此 "Process Monitor" 路徑。您可以開始 "Process Monitor" 日誌收集。
- 選擇現有的 "Process Monitor"。
您也可以透過 "變更路徑" 選項選擇現有的 "Process Monitor"。然後從指定路徑匯入 "Process Monitor"。
無論選擇哪種方法,工具都會檢查指定的 "Process Monitor" 軟體的簽名。一旦通過驗證,工具將根據使用者的選項在後端運行 "Process Monitor"。
- 變更 Process Monitor 的權限
在需要更高權限來收集日誌的情況下,您可以勾選此選項。請參考 Microsoft Tech Community 的文章:Change Altitude of Process Monitor (ProcMon)。
您可能會遇到以下錯誤:
"Unable to load Process Monitor device driver."
這個錯誤可能是由於較舊版本的 Windows 不支援 SHA256 所造成的。
建議更新 Windows,因為新版的 Process Monitor 只支援 SHA256。
欲了解更多資訊,請參閱此 Microsoft 文章,2019 SHA-2 Code Signing Support requirement for Windows and WSUS。
為了減少 Process Monitor 收集的事件,如果該文件存在於與工具相同的路徑下,將載入本地的 process monitor 設定。日誌文件的大小將會較小。使用 Process Monitor 的步驟如下:
- 建立僅需要監控之事件的篩選條件。
- 啟用選項 “Drop Filtered Events”。
- 在檔案選單中,選擇 “Export Configuration..”,並將文件另存為 “ProcmonConfiguration.pmc”。
- 將設定文件複製到與工具相同的資料夾,然後開始監控流程。
此設置對於那些「文件存取違規」不總是可重現且隨機發生的情況特別有用。
- 使用 "下載 Process Monitor" 按鈕下載。
- Windows Performance Recorder
您可以勾選/取消勾選相應的核取方塊來選擇此選項。工具將根據勾選的選項在後端運行以收集 WPR 日誌。
若在環境中未偵測到已安裝的 WPR,工具將會發出警示並提供連結引導使用者安裝 WPR 軟體。
- 自動壓縮效能日誌
在收集效能日誌後,會在與工具相同路徑下生成一個效能資料夾,存放原始效能日誌。此時,當使用者想要退出工具時,會彈出如下所示的提示。您可以選擇是否壓縮原始效能日誌文件。
最後,該工具將幫助生成一個 ZIP 文件,並刪除原始的「performance」資料夾。
此標籤頁列出了被 AMSP 模組掃描次數最多的前十個文件和前十個繁忙的進程(僅支援最新釋出的 Deep Security 20 版本)。您可以快速檢查,以決定是否需要排除特定文件/進程,前提是這些文件/進程是可信的但已經影響了設備效能。
當 AMSP 服務重新啟動時,此標籤頁上的數據會被重置。
在網路分析下有兩個主要功能:網路封包擷取和網路檢查。這些功能幫助使用者收集和檢查與網路相關的問題。
- Background
這個工具需要使用驅動程式來捕捉網路封包。目前有兩個選項:WinPCAP 和 NPCAP。兩者不能共存。
WinPCAP 的優點是工具可以在收集運行期間自動安裝/卸載 WinPCAP。其缺點是兼容性差,因為版本較舊且未更新。
另一方面,NPCAP 具有更好的兼容性,並且會定期更新。其缺點是必須先手動安裝,然後再使用工具來捕捉網路封包。
機制由於 NPCAP 和 WinPCAP 強制不共存。
- 如果工具偵測到環境中已安裝了 NPCAP 或 WinPCAP 驅動程式,工具會直接調用相應的驅動程式。
- 如果工具偵測到環境中既未安裝 NPCAP 也未安裝 WinPCAP 驅動程式,工具會自動安裝並卸載 WinPCAP。
以下是一個範例:
- 如果您已在環境中安裝 Wireshark 軟體(我們知道新版本的 Wireshark 使用 NPCAP,而舊版本使用 WinPCAP),我們的工具會使用現有的 NPCAP/WinPCAP 驅動程式。
- 如果是乾淨的環境,工具會幫助安裝/卸載驅動程式。(由於安裝驅動程式是一個敏感的程序,會給出警告。)
- Network Packet Capture
您可以使用計時器或手動開始/停止,在「Network Packet Capture」部分捕捉所有電腦網卡的網路封包。收集日誌會顯示收集狀態。
- Network Check
您可以指定URL或將其留空(預設為DSM/C1WS URL)。點擊檢查後,工具將嘗試驗證DSA用戶端和目標URL(DSM/C1WS)之間的網路連接狀態。驗證結果可以從UI檢查。
- Automatic compression of network logs
此功能與第1.2.3章相同,當收集網路封包並進行檢查時,工具可以幫助將「Network」資料夾中的原始網路相關日誌壓縮成ZIP檔。
操作完成後,使用者可以看到 UMH 服務已被啟用,且 AMSP 和 UMH 都在運行。
MS Azure Code Signing 檢查
根據這篇KB 文章,在 2023 年 2 月中旬之後,若機器未達到 MS 作業系統需求,將會受到影響。基於此,該工具具有檢測 OS 版本/KB 的功能,並在當前 OS 未達到 MS 要求時發出警示。
防毒軟體測試 - Eicar
這是一個內建的檢查腳本。使用者可以驗證防毒軟體即時掃描功能在用戶端是否正常運作。
啟動此功能時,使用者需要選擇一個特定的本地路徑。這應該由 DSA 即時掃描政策監控(CMD 版本默認使用 "C:\temp\")。
工具會將 eicar.com 檔案解壓縮至該路徑並執行動作。
等待數秒後,工具會判斷 "eicar.com" 檔案是否依然存在。如果不存在,則表示即時掃描已生效並移除了 "eicar.com" 檔案。使用者可以在控制台檢查防毒軟體事件。否則,即時掃描可能無法正常運作。
請確保選擇的路徑不在排除清單中,並啟用防毒軟體即時掃描以執行正確的操作。
Refer to the following text examples:
2022-09-26 13:52:01 Starts Executing [AntiMalware Test - Eicar].
2022-09-26 13:52:01 Detail: Performing Anti Malware test using Eicar test file by writing/reading EICAR.COM at local path.
2022-09-26 13:52:01 Waiting for input value of path to write/read EICAR.com . . .
[Step 1] Writing EICAR.com at path [C:\Users\Administrator\Desktop] through scheduled task.
2022-09-26 13:52:11 Creating scheduled task . . .
2022-09-26 13:52:11 Successfully created a scheduled task named [EicarTestDSA]
2022-09-26 13:52:11 Modifying the scheduled task to run even in battery power mode . . .
2022-09-26 13:52:12 Successfully modify the scheduled task [EicarTestDSA]
2022-09-26 13:52:12 Running the scheduled task . . .
2022-09-26 13:52:12 Successfully run the scheduled task [EicarTestDSA]
2022-09-26 13:52:12 Delete the scheduled task.
[Step 2] Checking if C:\Users\Administrator\Desktop\EICAR.com still exists after the write operation.
2022-09-26 13:52:22 ---> C:\Users\Administrator\Desktop\EICAR.com still exists. The AntiMalware module might not be configured to take action during write operation.
[Step 3] Reading the content of C:\Users\Administrator\Desktop\EICAR.com through scheduled task.
2022-09-26 13:52:27 Creating scheduled task . . .
2022-09-26 13:52:28 Successfully created a scheduled task named [EicarTestDSA]
2022-09-26 13:52:28 Modifying the scheduled task to run even in battery power mode . . .
2022-09-26 13:52:28 Successfully modify the scheduled task [EicarTestDSA]
2022-09-26 13:52:28 Running the scheduled task . . .
2022-09-26 13:52:29 Successfully run the scheduled task [EicarTestDSA]
2022-09-26 13:52:29 Delete the scheduled task.
[Step 4] Checking if C:\Users\Administrator\Desktop\EICAR.com still exists after the read operation.
2022-09-26 13:52:34 ---> C:\Users\Administrator\Desktop\EICAR.com still exists. The AntiMalware module might not be configured to take action during read operation.
[Cleanup] Remove the test file C:\Users\Administrator\Desktop\EICAR.com.
2022-09-26 13:52:37 Done executing [AntiMalware Test - Eicar].
2022-09-26 13:52:37 Finish Executing all the chosen function(s).
2022-09-26 14:02:19 Starts Executing [AntiMalware Test - Eicar].
2022-09-26 14:02:19 Detail: Performing Anti Malware test using Eicar test file by writing/reading EICAR.COM at local path.
2022-09-26 14:02:19 Waiting for input value of path to write/read EICAR.com . . .
[Step 1] Writing EICAR.com at path [C:\Users\Administrator\Desktop] through scheduled task.
2022-09-26 14:02:22 Creating scheduled task . . .
2022-09-26 14:02:22 Successfully created a scheduled task named [EicarTestDSA]
2022-09-26 14:02:22 Modifying the scheduled task to run even in battery power mode . . .
2022-09-26 14:02:22 Successfully modify the scheduled task [EicarTestDSA]
2022-09-26 14:02:22 Running the scheduled task . . .
2022-09-26 14:02:23 Successfully run the scheduled task [EicarTestDSA]
2022-09-26 14:02:23 Delete the scheduled task.
[Step 2] Checking if C:\Users\Administrator\Desktop\EICAR.com still exists after the write operation.
2022-09-26 14:02:33 ---> Cannot find C:\Users\Administrator\Desktop\EICAR.com, the AntiMalware might have removed it. Please check the AntiMalware log.
2022-09-26 14:02:33 Done executing [AntiMalware Test - Eicar].
2022-09-26 14:02:33 Finish Executing all the chosen function(s).
2022-09-26 14:10:47 Starts Executing [AntiMalware Test - Eicar].
2022-09-26 14:10:47 Detail: Performing Anti Malware test using Eicar test file by writing/reading EICAR.COM at local path.
2022-09-26 14:10:47 Waiting for input value of path to write/read EICAR.com . . .
[Step 1] Writing EICAR.com at path [C:\Users\Administrator\Desktop] through scheduled task.
2022-09-26 14:10:49 Creating scheduled task . . .
2022-09-26 14:10:51 Successfully created a scheduled task named [EicarTestDSA]
2022-09-26 14:10:51 Modifying the scheduled task to run even in battery power mode . . .
2022-09-26 14:10:52 Successfully modify the scheduled task [EicarTestDSA]
2022-09-26 14:10:52 Running the scheduled task . . .
2022-09-26 14:10:52 Successfully run the scheduled task [EicarTestDSA]
2022-09-26 14:10:52 Delete the scheduled task.
[Step 2] Checking if C:\Users\Administrator\Desktop\EICAR.com still exists after the write operation.
2022-09-26 14:11:02 ---> C:\Users\Administrator\Desktop\EICAR.com still exists. The AntiMalware module might not be configured to take action during write operation.
[Step 3] Reading the content of C:\Users\Administrator\Desktop\EICAR.com through scheduled task.
2022-09-26 14:11:07 Creating scheduled task . . .
2022-09-26 14:11:08 Successfully created a scheduled task named [EicarTestDSA]
2022-09-26 14:11:08 Modifying the scheduled task to run even in battery power mode . . .
2022-09-26 14:11:08 Successfully modify the scheduled task [EicarTestDSA]
2022-09-26 14:11:08 Running the scheduled task . . .
2022-09-26 14:11:08 Successfully run the scheduled task [EicarTestDSA]
2022-09-26 14:11:08 Delete the scheduled task.
[Step 4] Checking if C:\Users\Administrator\Desktop\EICAR.com still exists after the read operation.
2022-09-26 14:11:14 ----> Cannot find C:\Users\Administrator\Desktop\EICAR.com, the AntiMalware might have removed it. Please check the AntiMalware log.
2022-09-26 14:11:14 Done executing [AntiMalware Test - Eicar].
2022-09-26 14:11:14 Finish Executing all the chosen function(s).
檢查 CA 憑證
這是一個內建的檢查腳本。使用者可能會偏好此方法來驗證 Deep Security 元件使用的憑證是否已安裝在系統中。您可以參考附錄部分 - 工具檢查的憑證清單。很多引擎離線問題是由於作業系統中缺少 CA 憑證,導致 Deep Security 元件無法正常加載。
請注意,即使缺少一些憑證或憑證過期,DSA 仍然可能正常工作。然而,我們仍建議檢查並匯入所有憑證以避免潛在問題。
如何批量匯入憑證
如果您偏好批量匯入憑證,建議使用 CMD 版本工具。要執行此操作,請在配置檔案中啟用此功能(禁用其他功能)。管理員可以將 CMD 版本工具和配置檔案傳送到用戶端,然後直接運行該工具。CMD 版本工具將在背景檢查並匯入缺少的憑證。
請參考以下 "DSTool.json" 範例:
{
"Log Collection": {
"enableAMSP": 0,
"enableUMH": 0,
"enableEYES": 0,
"enableAEGIS": 0,
"timerInSecondDebug": 30,
"disableDebugAfterTimer": 1,
"enableLogCollection": 0
},
............
"Check and Fix": {
"Inspect CA certificates": {"enableCheck": 0, "enableFix": 0},
"AntiMalware Status Analysis": {"enableCheck": 1, "enableFix": 0}
},
............
"Tool": {
"PressKeyToEnd": 0
}
}
請參閱章節,Trend Micro Deep Security Agent 支援工具的 CMD 版本,以獲取更多配置細節。
防毒狀態分析
這是一個內建的檢查腳本。當 DSA 上發生與防毒功能離線相關的錯誤時,這可以幫助快速分析可能的根本原因。
自訂檢查問題腳本
這是一個供後端團隊使用的隱藏功能。當支援或研發工程師想在用戶的環境中進行一些特別檢查和操作時,他們會創建一個簡單的 Python 腳本並讓客戶將該腳本放在指定路徑中,例如樣本腳本。客戶的電腦不需要安裝 Python 環境。
- 檢查和修復
Server & Workload Protection(Trend Vision One Endpoint Security)預檢查
此功能可以幫助用戶執行用戶端的預檢查,以查看用戶端是否能符合Server & Workload Protection環境要求。
導航至環境檢查 > 檢查和修復 > Server & Workload Protection (V1ES) <
如果某些檢查點未通過測試,您將會從UI收到警示。
- Fill in the information.
- 代理伺服器信息
如果您的用戶端不需要服務閘道器或自訂代理伺服器來連接到Internet(Trend Vision One後端伺服器),不要勾選和填寫任何代理伺服器信息。
如果您的用戶端需要服務閘道器來連接到Internet(Trend Vision One後端伺服器),請填寫服務閘道器的FQDN或IP(預設埠是8080)。同時,請填寫服務閘道器的API值。
提示1:您可以在Trend Vision One入口網站的工作流程與自動化 > 服務閘道器管理 > 管理API金鑰中獲取SG API金鑰。提示2:如果您的XBC用戶端已回報給Trend Vision One,您可以從檢查結果(基本信息)中識別為XBC註冊的服務閘道器(啟用了FPS)。
如果您的用戶端需要自訂代理伺服器來連接到Internet(Trend Vision One後端伺服器),請輸入代理伺服器的FQDN/IP和埠。使用者名稱和密碼為選填項目。
- 區域
有些用戶的Trend Vision One用戶端和伺服器與工作負載保護用戶端不屬於同一個區域。針對此情況,用戶需要分別選擇正確的區域信息。
- 代理伺服器信息
- 設置正確的信息後,按下開始。幾分鐘後,您可以檢查返回的結果。
有關更多檢查點詳細資料,請參閱附錄。
伺服器與工作負載防護(Trend Vision One 用戶端安全)事後檢查
此功能可以幫助用戶對其用戶端進行事後檢查,以驗證用戶端的當前模組狀態。
導航至環境檢查 > 檢查並修復 > 伺服器與工作負載防護(V1ES) - 事後檢查,然後按下開始。
此功能可以幫助用戶確定 Trend Vision One 用戶端和 Deep Security Agent (DSA) 模組的當前本地狀態。這在排除用戶端問題時提供必要資訊將會非常有幫助。
有關更多檢查點詳細資料,請參閱附錄。
UMH 疑難排解
在排解 UMH 驅動程式相關問題時,通常需要禁用 UMH。如果出現問題,確保隔離根本原因。然而,對大多數客戶來說,啟用/禁用 UMH 的操作是困難的。這個功能旨在幫助更快地執行啟用/禁用操作。
導航至環境檢查 > 檢查並修復 > UMH 疑難排解,然後按下開始。- 當前 UMH 已啟用時,可以看到綠色部分顯示“正在運行”的狀態。您可以選擇禁用 UMH,如下所示。
操作完成後,您可以看到 UMH 服務已被禁用,而 AMSP 仍在運行。
- Fill in the information.
- 當前 UMH 被禁用時,紅色部分會顯示“已停止”的狀態。您可以選擇啟用 UMH。
- 基於安全考量,如果您退出工具並保持 UMH 為禁用狀態,系統會發出警示。
- 如果您偏好使用 CMD 版本工具,請使用以下參數。
情境 參數 啟用 TMUMH "Check and Fix": {"Troubleshoot UMH": {"enableCheck":1, "enableFix": 1}} 禁用 TMUMH "Check and Fix": {"Troubleshoot UMH": {"enableCheck":1, "enableFix": 0}} 不使用此功能 "Check and Fix": {"Troubleshoot UMH": {"enableCheck":0, "enableFix": 0}} 更多細節,請參考章節:Trend Micro Deep Security Agent 支援工具 CMD 版本。
- 情境 1:OS version passed the test
- 情境 2: OS version failed to pass the test
- 撰寫自訂的 Python 腳本
根據特定情境撰寫 Python 腳本。有關如何詳細撰寫腳本的說明,請參閱附錄:如何撰寫支援案例腳本。Trend Micro 歡迎任何人提供更多針對常見問題的有用腳本。
- 選擇是否啟用腳本完整性檢查並簽署腳本
為安全起見,預設情況下,工具在運行腳本前會進行腳本的完整性檢查。工具僅加載來自簽名 ZIP 檔案的腳本。完整性檢查可以防止腳本被惡意篡改或利用。用戶可以聯繫 allofcncorerd@dl.trendmicro.com 簽署腳本。Trend Micro 會將 SampleCase.py 簽署為 SignedSampleCase.zip。之後,SignedSampleCase.zip 可與我們的工具一起使用。用戶也可以透過註冊表鍵禁用完整性檢查來使用未經完整性檢查的原始 Python 文件腳本。
要禁用,請創建一個名為 "SOFTWARE\TrendMicro\DSASupportTool" 的鍵,其值為 "disableMaliciousScriptCheck",類型為 "DWORD" 數據。
- 值為 "1",表示禁用完整性檢查。
- 值為 "0" 或註冊表鍵不存在,表示在運行工具時啟用完整性檢查。 - 將 Python 文件或簽名 ZIP 文件放置在環境中
如果工具位於 C:\Users\Administrator\Desktop\DSASupportTool_GUI.exe,則 Python 文件應放置在 C:\Users\Administrator\Desktop\SupportCases\DSA\SampleCase.py
簽名 ZIP 文件應放置在 C:\Users\Administrator\Desktop\SupportCases\SignedSampleCase.zip 或 C:\Users\Administrator\Desktop\SupportCases\DSA\SignedSampleCase.zip。這兩者任一個都可以使用。 - 運行腳本
重新啟動工具後,用戶將有一個新的選項可以選擇。
您可以按下 UI 上的按鈕來運行腳本。
- Deep Security Agent 模組 CPU 使用率
Agent 模組 CPU 使用率讓用戶可以監控 DSA 模組的 CPU 使用情況(僅支援版本高於 20.0.0-3445 的 DSA)。當出現性能問題時,可以更快速地定位問題至特定的 DS 模組。這讓後端團隊能夠準確地縮小問題範圍。
此工具使用 "sendCommand.cmd --get Metrics" 來獲取原始數據,並在後端過濾 "ThreadInfo" 欄位,以條形圖顯示即時數據。
未來會增加更多度量指標,以幫助用戶監控 DSA 組件的性能使用情況。
監控時間過長可能會增加並累積記憶體使用量。建議進行監控不超過 5 小時。這是因為該工具必須在背景不斷刷新數據的限制。
DSA 度量指標是一種提供 DSA 運作細節的數據。數據儲存在本地路徑中,格式為 json 文件。
DSA 度量指標可以由 DSA 生成。可以使用更精確的間隔手動生成並收集數據。這將有助於通過詳盡的度量數據進行問題排查。
此功能介紹如下:
Importing metrics
要導入metrics,數據來源應為以下文件:
- C:\ProgramData\Trend Micro\Deep Security Agent\metrics\537bc5e5-4e35-9d89-b209-402a17b0583c.json(由 DSA 生成)
- C:\Users\Administrator\Desktop\DSA_Metrics\20220517-195214\195619_jsonRecords.json(由工具生成)
在 UI 上選擇匹配的時區,然後導入正確的metrics文件。工具將在圖表上顯示數據。
此功能可用於顯示從收集的Metrics指標中獲得的以下數據:
- 每次迭代中即時掃描新掃描的文件數量
- 防毒軟體模組的虛擬記憶體保留量(MB)
- 防毒軟體模組的 CPU 使用率(百分比)
Metrics collection
Metrics數據通常每10分鐘由 DSA 生成,位於 "C:\ProgramData\Trend Micro\Deep Security Agent\metrics\"。然而,在某些情況下,這些數據並不足以進行深入研究。後端團隊有時需要更準確的數據。
用戶可以使用工具以較短的間隔進行數據收集,設定定時器開始收集Metrics指標,並在收集中手動停止。
完成收集後,用戶可以按下 "Import Metrics and Display As a Chart" 來快速查看剛剛收集到的Metrics指標圖表(與 Import Metrics 部分相同類型的圖表)。收集完成後,此工具可以幫助將數據文件壓縮成 ZIP 檔案。如果出現問題,建議將收集到的Metrics指標數據 ZIP 檔案提供給支援團隊以進行進一步調查。
ZIP 檔案的預設密碼是 trend。
Trend Micro Deep Security Agent Support Tool CMD 版本
透過命令行執行該程序。此過程將持續幾分鐘,然後您應該可以獲取診斷套件。
用戶需要根據需求先行配置 "DSTool.json"。如果沒有 "DSTool.json",該工具將只進行默認的日誌收集操作。
Example of "DSTool.json"
{
"Log Collection": {
"enableAMSP": 1,
"enableUMH": 0,
"enableEYES": 0,
"enableAEGIS": 0,
"timerInSecondDebug": 30,
"disableDebugAfterTimer": 1,
"enableLogCollection": 1
},
"Process Monitor": {
"enableProcMon": 0,
"enableChangeAltitude": 0,
"timerInSecondProcMon": 10
},
"WPR": {
"enableWPR": 0,
"timerInSecondWPR":10,
"optionsWPR": "-start CPU -start DiskIO -start FileIO -start Registry -start Network -start Heap -start Pool -start VirtualAllocation -start Handle -start Minifilter"
},
"Network Packet Capture": {
"enableNetPCap": 0,
"timerInSecondNetPCap": 10
},
"Network Check": {
"enableNetCheck": 0,
"URL2NetCheck": ""
},
"Check and Fix": {
"Inspect CA certificates": {"enableCheck": 0, "enableFix": 0},
"AntiMalware Status Analysis": {"enableCheck": 1, "enableFix": 0},
"AntiMalware Test - Eicar": {"enableCheck": 0, "enableFix": 0}
"MS Azure Code Signing Check": {"enableCheck": 0, "enableFix": 0} content
},
"Metrics": {
"collectMetrics": 0,
"MetricsIntervalInSecond": 5,
"MetricsDurationInSecond": 300
},
"Tool": {
"PressKeyToEnd": 1,
"enableFeedback": 1
}
}
解釋 (1: 是 ; 0: 否):
"enableAMSP": 1 是否啟用 AMSP 除錯 "enableUMH": 0 是否啟用 UMH 除錯 "enableEYES": 0 是否啟用 EYES 除錯 "enableAEGIS": 0 是否啟用 AEGIS 除錯 "timerInSecondDebug": 30 啟用除錯的持續時間,以秒為單位 "disableDebugAfterTimer": 1 啟用除錯後是否停用除錯(不建議修改此項目) "enableLogCollection": 1 除錯啟用/停用後是否收集日誌(不建議修改此項目) ## 由於 Microsoft 政策限制,工具無法直接整合 Process Monitor。用戶必須手動將 Process Monitor 軟體置於與此工具相同的路徑。否則,此收集將被跳過。 ## Process Monitor 下載連結: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon "enableProcMon": 0 是否啟用使用 Process Monitor 收集效能日誌 "enableChangeAltitude": 0 是否啟用 Process Monitor 的高優先級 "timerInSecondProcMon": 10 啟用 Process Monitor 的持續時間,以秒為單位 "enableWPR": 0 是否啟用使用 WPR 收集效能日誌 "timerInSecondWPR": 10 啟用 WPR 的持續時間,以秒為單位 "optionsWPR": "-start CPU -start DiskIO -start FileIO -start Registry -start Network -start Heap -start Pool -start VirtualAllocation -start Handle -start Minifilter" 運行 WPR 的後台命令(如果不熟悉 WPR 命令,建議不要修改) "enableNetPCap": 0 是否啟用 Network Packets 捕捉 "timerInSecondNetPCap": 10 啟用 Network Packets 捕捉的持續時間,以秒為單位 "enableNetCheck": 0 是否啟用網路檢查 "URL2NetCheck":"" 需要檢查的目標 URL(空雙引號表示檢測 DSM URL) "Inspect CA certificates": {"enableCheck": 0, "enableFix": 0} 是否運行“Inspect CA certificates”功能來檢查環境以及在發現缺少 CA 憑證時是否採取行動。這兩個配置基於特定的自定義腳本 "AntiMalware Status Analysis": {"enableCheck": 1, "enableFix": 0} 是否運行“AntiMalware Status Analysis”功能來返回檢查結果。目前,“enableFix”是一個無效參數,因為此功能沒有需要執行的動作。 "AntiMalware Test - Eicar": {"enableCheck": 0, "enableFix": 0} 是否運行“AntiMalware Test - Eicar”功能來返回檢查結果。目前,“enableFix”是一個無效參數,因為此功能沒有需要執行的動作。 "MS Azure Code Signing Check": {"enableCheck": 0, "enableFix": 0} 內容 "collectMetrics": 0 是否啟用收集度量數據 "MetricsIntervalInSecond": 5 收集度量數據的間隔時間,以秒為單位 "MetricsDurationInSecond": 300 收集度量數據的持續時間,以秒為單位 "PressKeyToEnd": 1 是否在命令行控制台要求“按鍵結束”程序 "enableFeedback": 1 是否允許工具收集並傳輸使用反饋數據
附錄
- 關於收集使用反饋數據
從 DSSupportTool_GUI/CMD Build-1.0.0.1160 開始,工具已默認啟用收集使用反饋數據。啟用此功能可以幫助 Trend Micro 更了解工具的使用狀況和操作行為,進而改進功能。
對於 GUI 版本,用戶可以在 UI 上取消選中該選項以停用此功能。對於 CMD 版本,您可以在 "DSTool.json" 文件中將參數 ["enableFeedback": 1] 從 1 設定為 0 以停用此功能。之後將不會收集任何數據。
啟用此功能時,以下數據將通過 Google Analytics(www.google-analytics.com) 被收集並傳輸到後台:
收集的數據 描述 範例 AgentGuid 識別號碼 "AgentGuid:": "42001A42-0C16-67BC-7B0E-FA099177EB00" ToolVersion 正在使用的工具版本 "ToolVersion": "GUI-1.0.0.1155" 或 "ToolVersion": "CMD-1.0.0.1155" DSAversion 正在使用的 DSA 版本 "DSAversion": "20.0.1123" 操作系統版本 正在使用的操作系統版本 "OS": "Windows 10.567 AMD64" 控制台位置 收集的數據 範例 DSA 數據收集 > 啟用除錯日誌 當點擊“啟用除錯日誌”按鈕時,自訂的除錯狀態將被收集。 {"DebugItems":{"Anti Malware Features":1,"AMSP":1,"EYES":0,"UMH":0,"AEGIS":0}} DSA 數據收集 > 開始收集數據 當點擊“收集數據”按鈕時,操作數據將被收集。 {"CollectData": {"CollectData": "True"}} DSA 數據收集 > 取消收集數據 當點擊“取消”按鈕時,操作數據將被收集。 {"CollectData": {"CollectData": "False"}} DSA 數據收集 > 其他項目 當點擊“其他項目”按鈕時,DSA 模組狀態將被收集。 {"OtherItems":{"Relay":0,"AM":1,"WRS":1,"Sensor":0,"AC":0,"IM":1,"LI":0,"FW":0,"IP":0,"CCTRL":0,"SAP":0,"iCAP":0,"DC":0}} DSA 數據收集 > 模組除錯狀態 當點擊“模組除錯狀態”按鈕時,除錯狀態將被收集。 {"ModuleDebugStatus":{"AMSP":"ON", "EYES":"OFF", "UMH":"OFF", "AEGIS":"OFF}} DSA 效能收集 > Process Monitor> Process Monitor 優先級 當勾選/取消勾選“更改 Process Monitor 的優先級”核取方塊時,此操作將被收集。 {"ProcessMonitor": {"ProcessMonitorEnableHighAltitude": "False"}} DSA 效能收集 > Windows Performance Recorder > WPR 選項/開始 當點擊“ Windows Performance Recorder ”區塊中的“開始”按鈕時,所使用的 WPR 參數將被收集。 {"WPR": {"Option": "-start CPU -start DiskIO -start FileIO -start Registry -start Network"}} 網路分析 > 網路封包捕捉 > 開始 當點擊“網路封包捕捉”區塊中的“開始”按鈕時,是否使用 WinPcap 將被收集。 {"NetworkCapture": {"WinPcap": "True"}} 網路分析 > 網路檢查 > 檢查 當點擊“網路檢查”區塊中的“檢查”按鈕時,是否使用 WinPcap 和目標 URL 將被收集。 {"NetworkCheck": {"WinPcap": "True", "URL":"https://192.168.38.116:4120"}} 環境檢查 > 檢查和修復 > 開始 當點擊“檢查和修復”區塊中的“開始”按鈕時,所使用的檢查腳本將被收集。 {"CheckAndFix": {"Inspect CA certificates": "True", "Sample case": "False", "Antimalware Status analysis": "False", "Eicar Test": "False"}} 環境檢查 > CPU 使用率 > 開始監控 當點擊 CPU 使用率區塊中的“開始監控”按鈕時,是否使用 CPU 使用率將被收集。 {"CPUUtilization": {"Start Monitoring": "True"}} 前 N 名清單 > 開始監控 當點擊前 N 名清單標籤中的“開始監控”按鈕時,是否使用前 N 名清單將被收集。 {"TopN": {"Start Monitoring": "True"}} DSA 指標 > 匯入指標 > 匯入指標並顯示為圖表 當點擊 DSA 指標標籤中的“匯入指標並顯示為圖表”按鈕時,時區將被收集。 {"ImportMetrics": {"Timezone": "+0800"}} DSA 指標 >指標收集 > 開始 當點擊 DSA 指標標籤中的“開始”按鈕時,收集的持續時間和間隔將被收集。 {"MetricsCollection": {"Duration": "5", "Interval": "3"}} DSA 指標 >指標收集 > 顯示已收集的指標為圖表 當點擊 DSA 指標標籤中的“顯示已收集的指標為圖表”按鈕時,是否使用顯示已收集的指標為圖表將被收集。 {"DisplayCollectedMetricsToAChart": {"DisplayCollectedMetricsToAChart": "True"}} - 該工具檢查的憑證清單:
主體 CN 指紋 DigiCert Assured ID Root CA 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 DigiCert Global Root CA A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 DigiCert Global Root G2 DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 DigiCert High Assurance EV Root CA 5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25 DigiCert Trusted Root G4 DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 Microsoft Root Certificate Authority 2010 3B1EFD3A66EA28B16697394703A72CA340A05BD5 Microsoft Root Certificate Authority 2011 8F43288AD272F3103B6FB1428485EA3014C0BCFE Microsoft 根憑證授權機構 CDD4EEAE6000AC7F40C3802C171E30148030C072 Thawte Timestamping CA BE36A4562FB2EE05DBB3D32323ADF445084ED656 USERTrust RSA 憑證授權機構 2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E VeriSign Class 3 Public Primary Certification Authority - G5 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 VeriSign Universal Root Certification Authority 3679CA35668772304D30A5FB873B0FA77BB70D54 Microsoft 身分驗證根憑證授權機構 2020 F40042E2E5F7E8EF8189FED15519AECE42C3BFA2 - 如何撰寫支援案例腳本
下面是一個範例 UI。
以下是一個範例程式碼。(斜體行可以替換為您自訂的程式碼)
import sys import os from basecase import BaseCase from Utils.tmlog import TmLog logger = TmLog.getLogger("DSA_SupportTool") class SampleCase(BaseCase): def __init__(self): try: super().__init__() self.name = "Sample Case" self.detail = "Detail: This sample case will pop a question box." except Exception as err: logger.exception(str(err)) def __del__(self): try: pass except Exception as err: logger.exception(str(err)) def run(self): try: #Pop-up a question box. Return value is True or False respond = self.askConfirmation("The is sample message.\n" + "Do you want to continue?") #Display a message on the tool's UI self.displayMessage("You say %s" %(str(respond))) #Display a message on the tool's UI with clickable link self.displayMessage("%s" % ("https://developer.microsoft.com/en-us/windows/downloads/sdk-archive","Click here to download Windows 8.1 SDK.")) #Write a line to DSA_SupportTool.log log file logger.info("Done running") return except Exception as err: logger.error(str(err)) return以下是所包含的libs清單。您可以選擇在您自訂的程式碼中匯入這些libs。
- import cchardet
- import codecs
- import configparser
- import copy
- import ctypes
- import datetime
- import hashlib
- import importlib
- import inspect
- import json
- import logging
- import mmap
- import multiprocessing
- import os
- import pefile
- import platform
- import psutil
- import pythoncom
- import re
- import requests
- import shutil
- import socket
- import subprocess
- import sys
- import telnetlib
- import tempfile
- import threading
- import time
- import urllib
- import webbrowser
- import win32con
- import win32event
- import win32evtlog
- import win32evtlogutil
- import winerror
- import winreg
- import wmi
- import xml.etree.ElementTree
- import zipfile
- Server & Workload Protection (Trend Vision One Endpoint Security) 檢查清單 - PreCheck
名稱 描述 基本資訊 操作系統 顯示機器的操作系統版本。 硬體 顯示機器的CPU、記憶體和可用磁碟空間 Trend Micro Endpoint Protection 偵測是否已有DSA/XBC/Apex One用戶端存在 代理伺服器 檢查機器上是否已啟用系統代理 偵測Vision One Service Gateway(啟用了Forward Proxy功能) 偵測本地註冊表是否具有Trend Vision One Service Gateway的記錄(啟用了Forward Proxy功能) Trend Vision One用戶端 Precheck 操作系統 檢查機器的操作系統版本是否被支持(2 CPU/512MB MEM/ 3GB 磁碟) SHA-2碼簽章支持 檢查當前機器是否已應用所需的Microsoft KBs - Windows 7和Windows 2008 R2必須安裝SHA2 KB(Microsoft KB 4474419和KB 4490628)。
硬體 檢查機器上的CPU和記憶體是否符合啟用Endpoint Sensor的要求 TLS協定 檢查所需的協定是否符合啟用Endpoint Sensor的要求 系統憑證 檢查所需的憑證是否符合啟用Endpoint Sensor的要求
根憑證:- Entrust Root Certification Authority - G2
- DigiCert Assured ID Root CA
- DigiCert Trusted Root G4
- USERTrust RSA Certification Authority
中繼憑證:- Entrust Certification Authority - L1K
裝置時間 檢查機器上的日期/時間是否符合啟用Endpoint Sensor的要求 Endpoint Basecamp服務連線 測試機器到XBC後端伺服器的網絡連線是否可用 日誌接收服務連線 測試機器到XLog接收伺服器的網絡連線是否可用 Endpoint Inventory服務連線 測試機器到XDR Endpoint Inventory後端伺服器的網絡連線是否可用 Endpoint Basecamp支援連接器服務連線 測試機器到支援連接器後端伺服器的網絡連線是否可用 Cloud One用戶端 Precheck 操作系統 檢查機器的操作系統版本是否被支持 硬體 檢查機器上的CPU和記憶體是否符合安裝DSA的要求 - 需要2GB的RAM
- 需要1GB的磁碟空間
- 需要2個CPU
ACS支持 檢查操作系統是否滿足Azure Code Signing要求。 Cloud One伺服器連線 測試機器到Cloud One伺服器的網絡連線是否可用 系統憑證 檢查所需的憑證是否符合要求(請參閱知識庫文章,更新VeriSign、DigiCert、USERTrust RSA憑證在Deep Security和Cloud One - Workload Security) - Server & Workload Protection (Trend Vision One Endpoint Security) 檢查清單 - PostCheck
名稱 描述 Endpoint Basecamp Postcheck XBC:XBC是否被偵測到。 偵測用戶端是否存在任何XBC組件 Registry:xdr_device_id 偵測用戶端的註冊表:xdr_device_id 偵測 Trend Vision One Service Gateway(啟用了Forward Proxy功能) 偵測本地註冊表是否具有Trend Vision One Service Gateway的記錄(啟用了Forward Proxy功能) 服務:Trend Micro Endpoint Basecamp 檢查是否已安裝XBC服務 服務:Trend Micro Cloud Endpoint Telemetry Service 檢查是否已安裝XBC服務 進程:endpointbasecamp.exe(Trend Micro Endpoint Basecamp) 檢查XBC進程是否正在運行 進程:CETASvc.exe(Trend Micro Cloud Endpoint Telemetry Service) 檢查XBC進程是否正在運行 檔案:EndpointBasecamp.exe 檢查XBC執行檔案是否存在,如果存在,顯示其檔案版本,這表示XBC的構建版本 檔案:CETASvc.exe 檢查XBC執行檔案是否存在,如果存在,顯示其檔案版本 檔案:WSCommunicator.exe 檢查XBC執行檔案是否存在,如果存在,顯示其檔案版本 排程任務:Trend Micro Endpoint Basecamp 檢查是否存在XBC排程任務以及該任務的狀態是否正常 Endpoint Sensor Postcheck XES:未偵測到XES。 偵測用戶端是否存在任何XES組件 Cloud Endpoint Service 服務:Cloud Endpoint Service 檢查是否已安裝XES服務 進程:CloudEndpointService.exe 檢查XES雲端用戶端進程是否正在運行 檔案:CloudEndpointService.exe 檢查XES雲端用戶端執行檔案是否存在,如果存在,顯示其檔案版本,這表示XES的構建版本 Cloud Endpoint Service 服務:Trend Micro Response Service 檢查是否已安裝XES回應服務 進程:ResponseService.exe 檢查XES回應服務進程是否正在運行 檔案:ResponseService.exe 檢查XES回應服務執行檔案是否存在,如果存在,顯示其檔案版本 XDR Endpoint Sensor 驅動程式:Trend Micro LWE Driver 檢查LWE驅動程式是否正在運行 漏洞檢測 漏洞檢測 檢查是否安裝DVASSTool Server & Workload Protection用戶端 Postcheck DSA:DSA(未)被偵測到 檢查是否已安裝DSA軟體 DSA版本 偵測出當前安裝的DSA版本 DSA服務狀態:DSA服務(未)在運行 檢查DSA服務是否正在運行 模組狀態 AMSP(Windows防毒軟體)功能狀態:ON/OFF 檢查AMSP是否為ON/OFF狀態(僅支持DSA-20.0.3445+) ACM(活動監控)功能狀態:ON/OFF 檢查ACM是否為ON/OFF狀態(僅支持DSA-20.0.3445+) 自我保護狀態:ON/OFF 檢查是否啟用了自我保護