Cloud One 不正プログラム対策の検証

[更新: 2024年07月22日]

1. 概要

Cloud One 不正プログラム対策機能について、動作チェック手順をまとめた内容です。

注釈

弊社による検証データの一部を公開した記事掲載となります。参考にご利用ください。

1.1 前提条件

  • 参考例は、GUI(日本語)により解説します。

  • VM作成、初期設定、インストールの解説は、別のTIPSを参照ください。

2. 不正プログラム対策機能の設定

2.1 機能の有効化

不正プログラム対策機能の初期状態は オフ,インストールされていません となります。

保護対象となるサーバーに対して、不正プログラム対策機能を有効化します。

下記のメニュー順に操作、不正プログラム対策機能を有効化します。

コンピュータ >>> 詳細画面 >>> 不正プログラム対策 >>> 一般

不正プログラム対策機能

不正プログラム対策設定画面

ポリシー設定により継承・制御を意図する際は、選択したポリシーを確認します。

ポリシー、継承、およびオーバーライド | Deep Security

https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/policies-inheritance-overrides.html

2.2 不正プログラム対策のインストール

不正プログラム対策機能をオンに変更後、初期状態は インストール中 に変更されます。

インストールが完了後は オン,リアルタイム の表示となります。

下記のメニュー順に操作、インストール状態を確認します。

コンピュータ >>> 詳細画面 >>> 概要 >>> 一般

コンピュータ詳細画面(一般)

コンピュータ詳細画面

注釈

Essentialのライセンスは、提供対象となる機能以外は有効化しないでください。

2.2.1 ポリシーを変更した場合

ポリシーの変更を実施した際は、Agentへポリシーの送信、適用が必要です。

手動でポリシーの送信を行う際は、下記のメニュー順に操作、ポリシーの送信を実行します。

コンピュータ >>> 詳細画面 >>> 概要 >>> 処理

コンピュータ詳細画面(処理)

コンピュータ詳細画面

3. 不正プログラム対策の動作検証

3.1 EICARファイルの入手

不正プログラム検知の動作テストは、EICARなどの検証用ファイルを利用します。

European Institute for Computer Anti-Virus Researchなどから公開される検証ファイルを保護対象のサーバーにダウンロードします。

3.2 不正プログラム対策による検知

保護対象サーバーのブラウザを経由、対象ファイルをダウンロードします。

開始後にファイルダウンロードのブロックが発生した際は、手動でダウンロードを実施します。

ダウンロード完了後、不正プログラム対策機能の動作により設定された検知後の処理が実行されます。

ブラウザ ダウンロード表示

ブラウザDL表示画面

注釈

検知と処理実行後、Notifierにより処理結果がポップアップします。

重要

利用するブラウザ、OSのセキュリティ設定に応じて発生有無、挙動がことなります。

3.3 イベント通知

Agentにより検閲と処理実行後、Cloud One管理コンソールにイベントが通知されます(通知は事前に設定された間隔で実行されます)。

下記のメニュー順に操作、イベントを確認します。

イベントとレポート >>> イベント >>> 不正プログラム対策イベント >>> 検出ファイル

検出ファイル画面

検出ファイル画面表示

3.4 メールアラート

アラート設定がオン、オプションのメール送信設定が実施されている際は、イベントの着信後に対象のメールアドレス宛にアラートが送信されます。

下記のメニュー順に操作、アラートを設定します。

アラート >>> アラートの設定

アラートの設定画面

アラートの設定画面表示

アラート >>> アラートの設定 >>> アラート情報

アラート情報画面

アラート情報画面表示

注釈

アラート情報(各イベント設定)をオン、オプションのチェックボックスの設定が必要です。

3.5 アラート送信先の設定

アラート設定は、送信先メールアドレスの設定が必要です。

設定は2箇所となり用途によりご利用ください。

3.5.1 連絡先情報へアラートを送信

アカウントのメールアドレス(連絡先情報)宛にアラートを送信する際は、下記のメニュー順に操作、設定を行います。

workload Securityユーザプロパティ >>> 連絡先情報

連絡先情報

アラートメールを受信にチェックを入れます。

連絡先情報表示

3.5.2 指定のメールアドレスへアラートを送信

任意のメールアドレスを指定、アラートを送信する際は、下記のメニュー順に操作、設定を行います。

管理 >>> システム設定 >>> アラート >>> アラートイベント転送(Managerから)

システム設定画面

アラートメールを受信にチェックを入れます。

システム設定画面表示

注釈

メールアドレスは、slack インテグレーションにより提供されるメールアドレスなどでも機能します。

3.6 アラートメール発生時のメールサンプル

Cloud One管理コンソールにイベント通知後、下記のアラートメールが送信されます。

アラートメール(サンプル)

システム設定画面表示