Trend Micro Vision One (XDR)ファイルコレクション

File Collectionを使用すると、Trend Micro Vision One (XDR)インタフェースから直接オブジェクトを収集できます。

エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、ファイルコレクションは自動的に同じプロキシ設定を使用します。

要件

Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。

ファイルコレクションを使用したオブジェクトの収集

ファイルコレクションを使用してオブジェクトを収集するには

  1. トリガファイルコレクション
  2. ファイルコレクションタスクを作成する
  3. タスクのステータスを監視する
  4. サンプルファイルをダウンロードする

トリガファイルコレクション

収集するオブジェクトを特定した後、次のいずれかからファイル収集を開始できます。

Trend Micro Vision One検索アプリから

1.[アプリイベントの検索]から次のいずれかを右クリックします。 - processFilePath - objectFilePath - parentFilePath 2. Collect Fileを選択します。

ファイル収集タスク 画面が表示されます。

Trend Micro Vision OneWorkbenchXDR):の下にあります)

収集するオブジェクトのファイルアイコン を右クリックし、[ 収集ファイル]を選択します。

ファイル収集タスク 画面が表示されます。

ファイルコレクションタスクの作成

  1. Collect File Task ウィンドウで、タスクのチェックボックスをオンにします。
  2. (オプション)応答またはイベントの説明を入力します。
  3. Createを選択します。

ビジネスセキュリティエージェントがタスクの作成を開始します。

通常、ビジネスセキュリティエージェントは20分以内にファイル収集タスクを作成します。ビジネスセキュリティエージェントがオフラインの場合、ビジネスセキュリティエージェントがオンラインになるまでタスクはキューに入れられます。

タスクのステータスを監視する

[応答管理] タブからタスクを監視できます。

タスクのステータスには次のものがあります。

  • 進行中:Trend Micro Vision One が管理サーバにコマンドを送信しましたが、応答を待機しています。
  • 待機中:要求の数が多いため、またはビジネスセキュリティエージェントクライアントがオフラインだったため、サーバはコマンドをキューに入れました。
  • 成功:管理サーバはコマンドを正常に受信しました。
  • 失敗:管理サーバにコマンドを送信しようとしたときに、エラーまたはタイムアウトが発生しました。

サンプルファイルをダウンロードする

サンプルをダウンロードすると、エンドポイントに問題が発生する可能性がありますTrend Micro Vision One は自動的にサンプルファイルをパスワードで保護されたZIPアーカイブに保存します。続行する前に、必要な予防措置を講じてください。

  1. [応答管理] タブで、プルダウンメニューから[ファイルの収集]を選択し、[ のダウンロード]を選択します。
  2. ポップアップウィンドウで、[ Download]を選択します。
  3. [ダウンロードファイル]ウィンドウで、アーカイブされたサンプルのパスワードを記録します。
  4. Download を選択してファイルをダウンロードします。

一般的な問題のトラブルシューティング

ファイルコレクションの一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認してください。

Trend Micro Vision One の設定

Trend Micro Vision One (XDR) タブ(Administration> System Settings> Trend Micro Vision One (XDR) ), )で次のことを確認してください。

  • 登録ステータスが「登録済み」です。
  • Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。

コンピュータのセキュリティモジュールの設定

コンピュータの[ アクティビティ監視 ]タブで、[) (Computers](右クリックまたはダブルクリック)、[Details]→[ アクティビティ監視 ]→[ 一般 ), ]の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。

アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。

の要件 および の一般的な問題の セクションのトラブルシューティングを行っても問題が解決しない場合は、サポート担当者にお問い合わせください。