よくある質問

現在、Amazon Web Services（AWS）、Azure、およびGoogle Cloud Platform（GCP）をサポートしています。

サポートされているリージョンの完全なリストは次のとおりです。

• AWSについては、「サポートされているAmazonのリージョン」を参照してください。
• Azureについては、「サポートされるAzureリージョン」を参照してください。
• GCPについては、「サポートされるGCPリージョン」を参照してください。

これらは、 File Storage Security の管理役割であるStorageStackManagementRoleARNおよびScannerStackManagementRoleARNが File Storage Security の配信および設定後に持つ権限です。

• Scanner Stack 権限については、 Scanner Stack テンプレートで「ManagementRole」を検索してください。
• Storage Stack 権限については、 Storage Stack テンプレートで「ManagementRole」を検索してください。

パフォーマンスについて詳しくは、「パフォーマンスとスケーリング」を参照してください。

詳細については、「パフォーマンスとスケーリング」を参照してください。

はい。私たちは、File Storage Securityコンソールに接続できる複数のスタックをサポートしています。スタックを配置するには、「 スタックの追加」を参照してください。

スタックの配信時に、 File Storage Security バックエンドサービスによって、 Scanner Stackにライセンスが設定されます。Azureのドキュメントによると、Azureの権限が有効になるまでに最大30分かかる場合があります。このエラーメッセージが表示された場合は、数分後に File Storage Security コンソールでスタックを配信してください。

配信情報については、「使用中の s3:ObjectCreated:* イベント」を参照してください。

詳細については、「AWS へのAll-in-one Stackのデプロイ」を参照してください。

はい、できます。

テンプレートから配信する場合は、対応する外部IDを取得する必要があります。変更すると、次回のアップデートで古いバージョンが書き換えられます。

Storage Stack のbucketListener は、キューのプロデューサーです。コンシューマ用の暗号化されたメッセージを生成するには、プロデューサにキーの権限が必要です（Scanner Stack）。そのため、 Scanner Stack と Storage Stack の両方で、暗号化されたプロセスを期待どおりに動作させるために `KMSKeyARNForQueueSSE` が必要です。

プロデューサとコンシューマのKMS権限について説明するリファレンスを次に示します。

• プロデューサのKMS権限を設定する
• コンシューマのKMS権限を設定する

キューメッセージを暗号化する場合は、ScannerとStorage Stackの両方で KMSKeyARNForQueueSSE フィールドに同じ値を入力する必要があります。

Scanner Stack または Storage Stackのいずれか1つに対してKMSKeyARNForQueueSSEフィールドが設定されている場合は機能しません。

FSSの配置に必要な最小限のポリシーについては、次のリンクを参照してください。

https://dsgithub.trendmicro.com/file-storage-security/cloudformation-templates/blob/integration/recommended-deploy-policy.json

はい。テンプレートをダウンロードして、サービスの役割で配信できます。ただし、正しい`external-ID`を使用していることを確認する必要があります。

スタックの配信パラメータの外部IDが Cloud One アカウントと同じかどうかを確認してください。外部 ID の検索については、「外部 ID を取得する」を参照してください。一致しない場合はスタックをアップデートします。

APIを使用してスタックを配信する傾向がある場合は、ドキュメントサイトを参照して、APIを使用してスタックを配信するための詳細な手順を確認することをお勧めします。

CloudFormationが適切な役割を作成しない場合があります。これは、AWS のサービスの問題が原因である可能性があります: https://github.com/aws/serverless-application-model/issues/2132

推奨される処理は次のとおりです。

別のスタック名を使用してスタックを配信してください。問題が解決しない場合は、失敗した「Scanner Stack」のスタックイベントをエクスポートします。（ Scanner Stackのイベントを取得するには、「Scanner Stack」リソースをクリックする必要があります）。

「ライセンスステータスが無効です」というエラーの一般的な原因の1つは、スタックがAWSにデプロイされているのにFSSバックエンドに送信されず、スタックの有効なライセンスステータスが取得されないことです。

Storage Stackが複数ある場合は、各スタックのStorageStackManagementRoleARNをFSSバックエンドに追加する必要があります。詳細については、「スタックの追加」を参照してください。

いいえ、公開されていません。 Scanner Stackのテンプレートで定義されたScannerQueuePolicyを確認できます。

AWS が推奨する内容を確認するには、「Amazon SQS セキュリティのベストプラクティス」を参照してください。

キューでSSEを有効にするには、 Scanner Stackのテンプレートを配信するときに、KMSKeyARNForQueueSSEパラメータを使用して設定できます。

AWSの推奨事項については、「保存時の暗号化」を参照してください。

スタック更新で ScannerLambda プロパティを変更する必要がある場合は、カスタマイズされたメモリサイズが上書きされます。スタックのアップデートを実行するときは、カスタマイズしたメモリサイズをCFNテンプレートで指定する必要があります。

テンプレートの Lambdaの設定に特定の変更がない場合、設定は変更されません。変更しない場合、設定は上書きされます。

スタックのアップデートを実行する前に、テンプレートでメモリやタイムアウトなどのカスタム設定を行うことをお勧めします。

Azureリソースのアップデートには時間がかかることがあります。たとえば、役割の割り当てが有効になるまでに最大で30分かかることがあります。その間、BLOBリスナーは検索メッセージを送信できず、エラーが返されます。この状況が発生した場合は、しばらく待ってから、ファイルのアップロードを再度実行してください。

ファイルストア API を使用します。詳細については、「ファイルストレージ」を参照してください。

GCPサポートによると、バージョン15より前のSafariではGCP Cloud Consoleを操作できません。

Safariはバージョン15以降で使用できます。これが不可能な場合は、GCPの運用にGCP Cloud Shellを使用できます。

これは、GCP Terraformプロバイダの既知の問題です。回避策として、terraform-google-secure-cicdで説明されているコマンドを使用できます。

いいえ、現在の設計では、検索対象から除外する（または含まれる）ファイルを設定することはできません。

AWSには、パフォーマンスを監視するのに十分な初期設定のメトリックが用意されています。FSSで使用されるSQSおよび Lambda を監視するには、AWSドキュメントに従ってください。

• CloudWatchを使用したAmazon SQSキューの監視
• AWS Lambda関数メトリクスの使用
• 静的しきい値に基づいて CloudWatch アラームを作成する

Lambda DLQは、検索タイムアウトの問題とは関係ありません。機能コードエラーまたはサービスエラー（Lambda スロットリングなど）により処理に失敗したメッセージの保存に使用されます。ただし、この種類のエラーはすでに CloudWatch メトリックで監視できます。

最初に、SQSページでScannerQueueのメトリックを確認します。

[最も古いメッセージのおおよその経過日数]および[表示できないおおよそのメッセージ数]は、メッセージがスムーズに処理されているかどうかを示します。数値が高いままの場合は、ScannerLambdaのスロットリングに関連している可能性があります。

メッセージ量が多い場合は、引き続き ScannerLambda のメトリクスを確認します。

スロットルが観察された場合は、AWS Lambda 関数を使用するためのベストプラクティスに従って、ScannerLambda にメッセージを処理するのに十分な同時実行数があることを確認してください。

ScannerLambdaとScannerDeadLetterLambdaのロググループをチェックして、エラーログがあるかどうかを確認することもできます。

File Storage Security は、 スマートスキャン Agentパターン、 IntelliTrap除外パターンファイルファイル、およびIntelliTrapパターンファイルファイルを使用します。

スマートスキャン エージェントパターンファイル（icrc$oth.XXX）は、ヒューリスティック/汎用検出にも使用されます。RANSOM_HPLOCKY.SM4などの既知のランサムウェアも検出できます。

ファイルの部分的なダウンロードのみが検索時に実行されます。

スマートスキャン （iCRC）は、検索エンジンから受信した入力ハッシュ値のみを使用して暗号化します。この値は、ファイルの内容全体から計算されるわけではありません。

配信されたスタックの機能には、検索イベントを取得して検索結果を公開するための特定の権限が必要です。Azureのドキュメントによると、これらの権限が有効になるまでに最大30分かかることがあります。この問題を軽減するには、数分後にファイルをアップロードして検索結果を監視します。

いいえ、識別情報のみがトレンドマイクロの Smart Protection Serverに送信されます。

File Storage Security はSSE-KMSを検索できますが、クライアント側の暗号化ファイルは検索できません。

はい。

署名済みURL経由でのファイルの取得に関するネットワークエラーが発生すると、ネットワークモジュール関連のエラーが発生します。

Scannerのログで、 サービスのScannerキューで1時間以上 されたメッセージを検出できます。

Scanner がファイルを取得するためのSASトークンは、1時間のみ使用できます。Scanner は、SASトークンの有効期限が切れているため、ファイルを取得しようとしたときに403エラーを受け取りました。

Scanner アプリの初期設定のインスタンス数は1です。Scanner に大量のメッセージが短時間にアップロードされると、メッセージの処理が遅延することがあります。この問題を軽減するには、関数アプリの[スケールアウト（App Serviceプラン）]ページに移動し、 Azure Functions プレミアムプランに従って[計画のスケールアウトの最大バースト]設定を増やします。最大値は20です。これにより、メッセージがキューに留まる時間が短縮されます。

設定に関する基本的なパフォーマンステストを調べるのに役立つ場合があります: Azureのパフォーマンスとスケーリング。

まれに、クラウド環境でネットワークの問題が発生し、検索が失敗することがあります。このような失敗した検索を再試行するには、検索後処理機能を使用して検索結果トピックに登録することをお勧めします。この機能では、成功したすべての検索をフィルタし、検索に失敗したすべてのファイルの検索メッセージを Scanner に送信して、検索を実行できます。

検索結果を解析するには、「 検索結果の形式」を参照してください。Storage Stack のBlobListener関数を使用して、Scanner に検索メッセージを送信できます。

いいえ。AWSS3の設計では、アップロードリクエストの結果から、アップロードされたファイルが不正であるかどうかを判断できません。

検索結果は、検索の終了後に確認できます。

はい、そのとおりです。S3「fss-scan-result」タグ：「failure」= FSSコンソール：「Scan Error」はい。S3の「fss-scan-result」タグ：「failure」はFSSコンソール：「Scan Error」と同等です。FSS Webコンソールの「検索エラー」は、リスト検索統計APIの結果（ APIレスポンスの「失敗」キー）から発生します。検索されたタグ「fss-scan-result」：「failure」を持つファイルは、失敗した検索の数に含まれます。

失敗した検索については、FSSオンラインドキュメントの「scanner_statusおよびscanner_status_message」セクションを参照してください。

はい。すぐに使用できる、 File Storage Security は、 `malicious` タグを持つ不正なファイルにタグを付け、それ以上の処理は実行されません。その後、ファイルに割り当てられたタグに基づいて処理を作成できます。

検索後に実行できる処理については、 のポストスクリプトアクションのサンプルコードGitHubページ を参照してください。

ファイルが検索され、不正なファイルであると判明した場合、 File Storage Security はそれを `malicious` としてタグ付けし、それをS3バケットに返してを検索します。タグ付けの詳細については、 「タグの表示」を参照してください。

Threat Investigation Portal (TIP) を使用して、新しいチケットをAMチームに送信してください。

ScannerLambdaは失敗した検索を1回再試行するため、カウントが一致しない場合があります。これは、 Lambda が最初の検索に失敗した場合、2回目に検索を再試行することを意味します。

Lambda は、両方の試行が失敗した後に、検索失敗に関するメッセージを公開します。ただし、ScannerLambdaを呼び出すたびに、FSSバックエンドに検索結果が報告されます。

トレンドマイクロのバックエンドサービスは、不正プログラムパターンファイル、ライセンス、およびLambdaコードアップデートをプッシュします。

• 不正プログラムパターンは毎日更新されます。
• ライセンスは毎週アップデートされます。
• Lambda コードは、コードにパッチが適用されるたびに更新されます。 Lambda コードの変更は、 新着情報で公開されています。

パターンは1日に複数回更新できます。Lambda 層としてアップデートされるパターンのサイズは約30〜40MBです。パターンファイルのアップデートは、次のパターンファイルがリリースされるまで、失敗したアップデートを再試行しないことに注意してください。

テンプレートのリビジョン履歴を表示するには、GitHub.com のリポジトリに移動し、[Blame]ボタンをクリックしてそのビューを表示します。

スタックには有効期限はありませんが、最新バージョンを使用することを強くお勧めします。

アップグレードの手順については、「 スタックのアップデート」を参照してください。

現在、次の3種類の更新プログラムがあります。

• Lambdaコード。現在、アップデートするScanner StackとStorage Stackには、3つのLambda関数があります。File Storage Securityバックエンドは、Storage Stack内のBucketListenerLambdaおよびPostScanActionTagLambda、およびScanner Stack内のScannerLambdaもアップデートします。Lambdaコードの変更は「新着情報」で公開されています。
• Lambda階層の不正プログラムパターンファイルFile Storage Security バックエンドは、最新の不正プログラムパターンファイルをScannerLambdaに送り込みます。
• 検索エンジンのライセンスFile Storage Security バックエンドは、毎週ScannerLambdaに存在するライセンスをアップデートします。Scanner Stackを File Storage Security コンソールから削除すると、ライセンスの有効期限が切れ、4週間後に検索に失敗します。

アップデートされていないスタックを使用すると、アップデートの失敗、データの不一致の発生、サポートの有効期限などの問題が発生する可能性があります。

いいえ、 Lambdaのメモリ設定とログ保持期間はスタックアップデートの範囲内です。

Lambda がFSSによって配置されている場合（PostScanActionTagLambda、BucketListenerLambdaなど）、FSSバックエンドによって自動的にアップデートされます。アップデートは、バグ修正や一部の新機能に関連している可能性があります。ですから避けられません。

Scanner または Storage Stackの Lambda 関数のコードを変更しないことをお勧めします。詳細については、「AWSスタックのカスタマイズ」を参照してください。

いいえ、スタックアップデートをロールバックすることはできません。