このページのトピック
よくある質問
アーキテクチャ
File Storage Securityでサポートされているクラウドプロバイダは何ですか?
現在、Amazon Web Services(AWS)、Azure、およびGoogle Cloud Platform(GCP)をサポートしています。
どのリージョンがサポートされていますか?
サポートされているリージョンの完全なリストは次のとおりです。
- AWSについては、「サポートされているAmazonのリージョン」を参照してください。
- Azureについては、「サポートされるAzureリージョン」を参照してください。
- GCPについては、「サポートされるGCPリージョン」を参照してください。
File Storage Security の管理役割にはどのような権限がありますか?
これらは、 File Storage Security の管理役割であるStorageStackManagementRoleARNおよびScannerStackManagementRoleARNが File Storage Security の配信および設定後に持つ権限です。
- Scanner Stack 権限については、 Scanner Stack テンプレートで「ManagementRole」を検索してください。
- Storage Stack 権限については、 Storage Stack テンプレートで「ManagementRole」を検索してください。
製品パフォーマンス
どのようなパフォーマンスが期待できますか?
パフォーマンスについて詳しくは、「パフォーマンスとスケーリング」を参照してください。
同時にスキャンできるファイルの数はいくつですか?
詳細については、「パフォーマンスとスケーリング」を参照してください。
インストール/アンインストール
複数のAWSアカウントに複数のAll-in-one Stackを配信できますか?
はい。私たちは、File Storage Securityコンソールに接続できる複数のスタックをサポートしています。スタックを配置するには、「 スタックの追加」を参照してください。
Azureスタックを配置するときに「ライセンスをScanner Stackにアップデートできません」と表示されるのはなぜですか?
スタックの配信時に、 File Storage Security バックエンドサービスによって、 Scanner Stackにライセンスが設定されます。Azureのドキュメントによると、Azureの権限が有効になるまでに最大30分かかる場合があります。このエラーメッセージが表示された場合は、数分後に File Storage Security コンソールでスタックを配信してください。
s3:objectCreated:*イベントがすでに使用されている場合の配信方法
配信情報については、「使用中の s3:ObjectCreated:* イベント」を参照してください。
バケット内のフォルダ/プレフィックスのみを検索する場合の配信方法
詳細については、「AWS へのAll-in-one Stackのデプロイ」を参照してください。
Scanner をバケットの各フォルダ/プレフィックスに配信できますか?
はい、できます。
配信テンプレートを変更して登録できますか?
テンプレートから配信する場合は、対応する外部IDを取得する必要があります。変更すると、次回のアップデートで古いバージョンが書き換えられます。
Storage Stack設定ページに「KMSKeyARNForQueueSSE」オプションが表示されるのはなぜですか?
Storage Stack のbucketListener は、キューのプロデューサーです。コンシューマ用の暗号化されたメッセージを生成するには、プロデューサにキーの権限が必要です(Scanner Stack)。そのため、 Scanner Stack と Storage Stack の両方で、暗号化されたプロセスを期待どおりに動作させるために `KMSKeyARNForQueueSSE` が必要です。
プロデューサとコンシューマのKMS権限について説明するリファレンスを次に示します。
- プロデューサのKMS権限を設定する
- コンシューマのKMS権限を設定する
キューメッセージを暗号化する場合は、ScannerとStorage Stackの両方で KMSKeyARNForQueueSSE フィールドに同じ値を入力する必要があります。
Scanner Stack または Storage Stackのいずれか1つに対してKMSKeyARNForQueueSSEフィールドが設定されている場合は機能しません。
FSSの配信と運用に必要なポリシーのリストを提供できますか?
FSSの配置に必要な最小限のポリシーについては、次のリンクを参照してください。
サービスの役割を使用してCloudFormationを配信および操作することはできますか?
はい。テンプレートをダウンロードして、サービスの役割で配信できます。ただし、正しい`external-ID`を使用していることを確認する必要があります。
ファイルに無効なライセンスステータスを示すエラータグが表示された場合の対処方法
スタックの配信パラメータの外部IDが Cloud One アカウントと同じかどうかを確認してください。外部 ID の検索については、「外部 ID を取得する」を参照してください。一致しない場合はスタックをアップデートします。
APIを使用してスタックを配信する傾向がある場合は、ドキュメントサイトを参照して、APIを使用してスタックを配信するための詳細な手順を確認することをお勧めします。
CLIでスタックを配信しない場合は、FSSコンソールにスタックを配信して、プロセスとパラメータが正しいことを確認してください。詳細については、[Deploy the All-in-one Stack](../gs-deploy-all-in-one-stack-all)を参照してください。CloudFormationが適切な役割を作成しない場合があります。これは、AWS のサービスの問題が原因である可能性があります: https://github.com/aws/serverless-application-model/issues/2132
推奨される処理は次のとおりです。
別のスタック名を使用してスタックを配信してください。問題が解決しない場合は、失敗した「Scanner Stack」のスタックイベントをエクスポートします。( Scanner Stackのイベントを取得するには、「Scanner Stack」リソースをクリックする必要があります)。
「無効なライセンスステータス」エラーが表示されるのはなぜですか?
「ライセンスステータスが無効です」というエラーの一般的な原因の1つは、スタックがAWSにデプロイされているのにFSSバックエンドに送信されず、スタックの有効なライセンスステータスが取得されないことです。
Storage Stackが複数ある場合は、各スタックのStorageStackManagementRoleARNをFSSバックエンドに追加する必要があります。詳細については、「スタックの追加」を参照してください。
キューは一般公開されていますか
いいえ、公開されていません。 Scanner Stackのテンプレートで定義されたScannerQueuePolicyを確認できます。
AWS が推奨する内容を確認するには、「Amazon SQS セキュリティのベストプラクティス」を参照してください。
キューに対して SSE を有効にする必要がありますか?
キューでSSEを有効にするには、 Scanner Stackのテンプレートを配信するときに、KMSKeyARNForQueueSSEパラメータを使用して設定できます。
AWSの推奨事項については、「保存時の暗号化」を参照してください。
次の手順でタイムアウト値を変更すると問題が発生しますか?(たとえば、スタックが更新されるとタイムアウト値がデフォルト値に戻ります)
スタック更新で ScannerLambda プロパティを変更する必要がある場合は、カスタマイズされたメモリサイズが上書きされます。スタックのアップデートを実行するときは、カスタマイズしたメモリサイズをCFNテンプレートで指定する必要があります。
テンプレートの Lambdaの設定に特定の変更がない場合、設定は変更されません。変更しない場合、設定は上書きされます。
スタックのアップデートを実行する前に、テンプレートでメモリやタイムアウトなどのカスタム設定を行うことをお勧めします。
All-in-one Stackを正常に配信した後、監視対象のBLOBストレージコンテナにオブジェクトをドロップすると、「配信失敗」イベントが発生するのはなぜですか?
Azureリソースのアップデートには時間がかかることがあります。たとえば、役割の割り当てが有効になるまでに最大で30分かかることがあります。その間、BLOBリスナーは検索メッセージを送信できず、エラーが返されます。この状況が発生した場合は、しばらく待ってから、ファイルのアップロードを再度実行してください。
特定のAWSアカウントの保護対象バケットのリストを取得する方法
ファイルストア API を使用します。詳細については、「ファイルストレージ」を参照してください。
特定のAWSアカウントの保護されていないバケットのリストを取得する方法
ファイルストア API を使用します。詳細については、「ファイルストレージ」を参照してください。GCP Cloud Console を操作して古い Safari ブラウザ(バージョン 13 など)でファイルをアップロードできない
GCPサポートによると、バージョン15より前のSafariではGCP Cloud Consoleを操作できません。
Safariはバージョン15以降で使用できます。これが不可能な場合は、GCPの運用にGCP Cloud Shellを使用できます。
GCP Cloud Shell上でのTerraformのデプロイ/削除コマンドの実行時に、「tcp [IP_V6_ADDRESS]:443: connect: cannot assign requested address」エラーが頻繁に発生します。
これは、GCP Terraformプロバイダの既知の問題です。回避策として、terraform-google-secure-cicdで説明されているコマンドを使用できます。
Scanner
検索除外または検索対象を設定できますか?
いいえ、現在の設計では、検索対象から除外する(または含まれる)ファイルを設定することはできません。
パフォーマンスと結果の監視方法
AWSには、パフォーマンスを監視するのに十分な初期設定のメトリックが用意されています。FSSで使用されるSQSおよび Lambda を監視するには、AWSドキュメントに従ってください。
DLQをBucketListenerLambdaに設定できますか?
Lambda DLQは、検索タイムアウトの問題とは関係ありません。機能コードエラーまたはサービスエラー(Lambda スロットリングなど)により処理に失敗したメッセージの保存に使用されます。ただし、この種類のエラーはすでに CloudWatch メトリックで監視できます。
タイムアウトの原因の特定とその対応方法
最初に、SQSページでScannerQueueのメトリックを確認します。
[最も古いメッセージのおおよその経過日数]および[表示できないおおよそのメッセージ数]は、メッセージがスムーズに処理されているかどうかを示します。数値が高いままの場合は、ScannerLambdaのスロットリングに関連している可能性があります。
メッセージ量が多い場合は、引き続き ScannerLambda のメトリクスを確認します。
スロットルが観察された場合は、AWS Lambda 関数を使用するためのベストプラクティスに従って、ScannerLambda にメッセージを処理するのに十分な同時実行数があることを確認してください。
ScannerLambdaとScannerDeadLetterLambdaのロググループをチェックして、エラーログがあるかどうかを確認することもできます。
ファイルの検索にはどのような不正プログラム対策パターンファイルが使用されますか?パターンは更新されていますか?
File Storage Security は、 スマートスキャン Agentパターン、 IntelliTrap除外パターンファイルファイル、およびIntelliTrapパターンファイルファイルを使用します。
スマートスキャン エージェントパターンファイル(icrc$oth.XXX)は、ヒューリスティック/汎用検出にも使用されます。RANSOM_HPLOCKY.SM4などの既知のランサムウェアも検出できます。
何がScanner Stackに渡されますか? ファイル全体ですか?
ファイルの部分的なダウンロードのみが検索時に実行されます。
ファイルの検索時にどのような情報がiCRCバックエンドに送信されますか?
スマートスキャン (iCRC)は、検索エンジンから受信した入力ハッシュ値のみを使用して暗号化します。この値は、ファイルの内容全体から計算されるわけではありません。
Azure にアップロードされた BLOB にタグが設定されていないのはなぜですか?
配信されたスタックの機能には、検索イベントを取得して検索結果を公開するための特定の権限が必要です。Azureのドキュメントによると、これらの権限が有効になるまでに最大30分かかることがあります。この問題を軽減するには、数分後にファイルをアップロードして検索結果を監視します。
ファイルの内容はTrend Micro Global Smart Protection Serverに送信されますか?
いいえ、識別情報のみがトレンドマイクロの Smart Protection Serverに送信されます。
File Storage Securityは暗号化されたファイルをスキャンできますか?
File Storage Security はSSE-KMSを検索できますが、クライアント側の暗号化ファイルは検索できません。
File Storage Securityはランサムウェアを検出できますか?
はい。
ネットワークモジュール関連のエラーはいつ発生しますか?
署名済みURL経由でのファイルの取得に関するネットワークエラーが発生すると、ネットワークモジュール関連のエラーが発生します。
Scannerが403エラーを受け取る原因は何ですか?
Scannerのログで、 サービスのScannerキューで1時間以上 されたメッセージを検出できます。
Scanner がファイルを取得するためのSASトークンは、1時間のみ使用できます。Scanner は、SASトークンの有効期限が切れているため、ファイルを取得しようとしたときに403エラーを受け取りました。
Scanner アプリの初期設定のインスタンス数は1です。Scanner に大量のメッセージが短時間にアップロードされると、メッセージの処理が遅延することがあります。この問題を軽減するには、関数アプリの[スケールアウト(App Serviceプラン)]ページに移動し、 Azure Functions プレミアムプランに従って[計画のスケールアウトの最大バースト]設定を増やします。最大値は20です。これにより、メッセージがキューに留まる時間が短縮されます。
設定に関する基本的なパフォーマンステストを調べるのに役立つ場合があります: Azureのパフォーマンスとスケーリング。
まれに、クラウド環境でネットワークの問題が発生し、検索が失敗することがあります。このような失敗した検索を再試行するには、検索後処理機能を使用して検索結果トピックに登録することをお勧めします。この機能では、成功したすべての検索をフィルタし、検索に失敗したすべてのファイルの検索メッセージを Scanner に送信して、検索を実行できます。
検索結果を解析するには、「 検索結果の形式」を参照してください。Storage Stack のBlobListener関数を使用して、Scanner に検索メッセージを送信できます。
AWS S3バケットへのファイルのアップロードには、署名済みのput URLを使用します。ファイルのアップロード要求の結果、アップロードされたファイルが不正であるかどうかを確認できますか?
いいえ。AWSS3の設計では、アップロードリクエストの結果から、アップロードされたファイルが不正であるかどうかを判断できません。
検索の実行前にファイルのアップロード結果が返されますか?
検索結果は、検索の終了後に確認できます。
不正なファイルのファイルデータをアプリケーションに保存しないようにするにはどうすればよいですか?
この場合は、[検索後処理]を実装して、隔離ファイルバケットに不正ファイルを移動することをお勧めします。詳細については、 https://github.com/trendmicro/cloudone-filestorage-plugins/tree/master/post-scan-actions/を参照してください。FSSコンソールに「検索エラー」と表示された場合、S3の「fss-scan-result」タグに「失敗」と表示されますか?つまり、S3の「fss-scan-result」タグ「failure」はFSSコンソールの「Scan Error」と同じですか?
はい、そのとおりです。S3「fss-scan-result」タグ:「failure」= FSSコンソール:「Scan Error」はい。S3の「fss-scan-result」タグ:「failure」はFSSコンソール:「Scan Error」と同等です。FSS Webコンソールの「検索エラー」は、リスト検索統計APIの結果( APIレスポンスの「失敗」キー)から発生します。検索されたタグ「fss-scan-result」:「failure」を持つファイルは、失敗した検索の数に含まれます。
失敗した検索については、FSSオンラインドキュメントの「scanner_statusおよびscanner_status_message」セクションを参照してください。
検索後の処理
不正なファイルに対する処理を変更できますか?
はい。すぐに使用できる、 File Storage Security は、 `malicious` タグを持つ不正なファイルにタグを付け、それ以上の処理は実行されません。その後、ファイルに割り当てられたタグに基づいて処理を作成できます。
検索後に実行できる処理については、 のポストスクリプトアクションのサンプルコードGitHubページ を参照してください。
ファイルが不正であると検出された場合はどうなりますか?
ファイルが検索され、不正なファイルであると判明した場合、 File Storage Security はそれを `malicious` としてタグ付けし、それをS3バケットに返してを検索します。タグ付けの詳細については、 「タグの表示」を参照してください。
FSSで検出されない不正なファイルを検出した場合の対処方法
Threat Investigation Portal (TIP) を使用して、新しいチケットをAMチームに送信してください。
FSS検索エラー数が内部検索エラー数よりも多いのはなぜですか?
ScannerLambdaは失敗した検索を1回再試行するため、カウントが一致しない場合があります。これは、 Lambda が最初の検索に失敗した場合、2回目に検索を再試行することを意味します。
Lambda は、両方の試行が失敗した後に、検索失敗に関するメッセージを公開します。ただし、ScannerLambdaを呼び出すたびに、FSSバックエンドに検索結果が報告されます。
アップデートとアップグレード
更新頻度はどのくらいですか?
トレンドマイクロのバックエンドサービスは、不正プログラムパターンファイル、ライセンス、およびLambdaコードアップデートをプッシュします。
- 不正プログラムパターンは毎日更新されます。
- ライセンスは毎週アップデートされます。
- Lambda コードは、コードにパッチが適用されるたびに更新されます。 Lambda コードの変更は、 新着情報で公開されています。
パターンのアップデート頻度とサイズは?
パターンは1日に複数回更新できます。Lambda 層としてアップデートされるパターンのサイズは約30〜40MBです。パターンファイルのアップデートは、次のパターンファイルがリリースされるまで、失敗したアップデートを再試行しないことに注意してください。
スタックテンプレートが最後に更新されたのはいつか、その更新で何が変更されたかはどうすればわかりますか?
テンプレートのリビジョン履歴を表示するには、GitHub.com のリポジトリに移動し、[Blame]ボタンをクリックしてそのビューを表示します。
スタックのアップデートが必要な変更がある場合、ユーザはいつまでにそれをアップデートする必要がありますか?
スタックには有効期限はありませんが、最新バージョンを使用することを強くお勧めします。
スタックを最新バージョンにアップグレードするにはどうすればいいですか?
アップグレードの手順については、「 スタックのアップデート」を参照してください。
File Storage Securityスタックの Lambda 関数は最近更新されました。更新内容は何ですか?
現在、次の3種類の更新プログラムがあります。
- Lambdaコード。現在、アップデートするScanner StackとStorage Stackには、3つのLambda関数があります。File Storage Securityバックエンドは、Storage Stack内のBucketListenerLambdaおよびPostScanActionTagLambda、およびScanner Stack内のScannerLambdaもアップデートします。Lambdaコードの変更は「新着情報」で公開されています。
- Lambda階層の不正プログラムパターンファイルFile Storage Security バックエンドは、最新の不正プログラムパターンファイルをScannerLambdaに送り込みます。
- 検索エンジンのライセンスFile Storage Security バックエンドは、毎週ScannerLambdaに存在するライセンスをアップデートします。Scanner Stackを File Storage Security コンソールから削除すると、ライセンスの有効期限が切れ、4週間後に検索に失敗します。
スタックをアップデートせずに引き続き使用できますか?
アップデートされていないスタックを使用すると、アップデートの失敗、データの不一致の発生、サポートの有効期限などの問題が発生する可能性があります。
スタックのアップデート中に検索が停止する可能性はありますか?
いいえ、 Lambdaのメモリ設定とログ保持期間はスタックアップデートの範囲内です。
Lambda関数コードを変更できますか?
Lambda がFSSによって配置されている場合(PostScanActionTagLambda、BucketListenerLambdaなど)、FSSバックエンドによって自動的にアップデートされます。アップデートは、バグ修正や一部の新機能に関連している可能性があります。ですから避けられません。
Scanner または Storage Stackの Lambda 関数のコードを変更しないことをお勧めします。詳細については、「AWSスタックのカスタマイズ」を参照してください。
スタックが更新されたら、スタックの更新をロールバックできますか?
いいえ、スタックアップデートをロールバックすることはできません。