このページのトピック
Trend Micro Vision One (XDR)ファイルコレクション
File Collectionを使用すると、Trend Micro Vision One (XDR)インタフェースから直接オブジェクトを収集できます。
エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、ファイルコレクションは自動的に同じプロキシ設定を使用します。
要件
- エージェントをインストールするバージョン20.0.0-2204 +(WindowsまたはLinux)
- Trend Micro Vision One (XDR)への登録
- Trend Micro Vision One (XDR)にセキュリティイベントを転送する
- アクティビティ監視を有効にする
Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。
ファイルコレクションを使用したオブジェクトの収集
ファイルコレクションを使用してオブジェクトを収集するには
トリガファイルコレクション
収集するオブジェクトを特定した後、次のいずれかからファイル収集を開始できます。
Trend Micro Vision One検索アプリから
:
1.[アプリイベントの検索]から次のいずれかを右クリックします。 - processFilePath - objectFilePath - parentFilePath 2. Collect Fileを選択します。
ファイル収集タスク 画面が表示されます。
Trend Micro Vision One Workbench ( XDR
): の下にあります
収集するオブジェクトのファイルアイコン を右クリックし、[ 収集ファイル]を選択します。
ファイル収集タスク 画面が表示されます。
ファイルコレクションタスクの作成
- Collect File Task ウィンドウで、タスクのチェックボックスをオンにします。
- (オプション)応答またはイベントの説明を入力します。
- Createを選択します。
ビジネスセキュリティエージェントがタスクの作成を開始します。
通常、ビジネスセキュリティエージェントは20分以内にファイル収集タスクを作成します。ビジネスセキュリティエージェントがオフラインの場合、ビジネスセキュリティエージェントがオンラインになるまでタスクはキューに入れられます。
タスクのステータスを監視する
[応答管理] タブからタスクを監視できます。
タスクのステータスには次のものがあります。
進行中:Trend Micro Vision One が管理サーバにコマンドを送信しましたが、応答を待機しています。
待機中:要求の数が多いため、またはビジネスセキュリティエージェントクライアントがオフラインだったため、サーバはコマンドをキューに入れました。
成功:管理サーバはコマンドを正常に受信しました。
失敗:管理サーバにコマンドを送信しようとしたときに、エラーまたはタイムアウトが発生しました。
サンプルファイルをダウンロードする
サンプルをダウンロードすると、エンドポイントに問題が発生する可能性がありますTrend Micro Vision One は自動的にサンプルファイルをパスワードで保護されたZIPアーカイブに保存します。続行する前に、必要な予防措置を講じてください。
- [応答管理] タブで、プルダウンメニューから [ファイルの収集] を選択し、
を選択します。
- ポップアップウィンドウで、[ Download]を選択します。
- [ダウンロードファイル]ウィンドウで、アーカイブされたサンプルのパスワードを記録します。
- Download を選択してファイルをダウンロードします。
一般的な問題のトラブルシューティング
ファイルコレクションの一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認してください。
Trend Micro Vision One の設定
Trend Micro Vision One (XDR) タブ (Administration > System Settings > Trend Micro Vision One (XDR))、で次のことを確認してください。
- 登録ステータスが「登録済み」です。
- Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。
コンピュータのセキュリティモジュールの設定
コンピュータの[ アクティビティ監視 ]タブで、([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。
アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。
要件 および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポート担当者にお問い合わせください。