目次

Trend Micro Vision One (XDR)ファイルコレクション

File Collectionを使用すると、Trend Micro Vision One (XDR)インタフェースから直接オブジェクトを収集できます。

エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、ファイルコレクションは自動的に同じプロキシ設定を使用します。

要件

Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。

ファイルコレクションを使用したオブジェクトの収集

ファイルコレクションを使用してオブジェクトを収集するには

  1. トリガファイルコレクション
  2. ファイルコレクションタスクを作成する
  3. タスクのステータスを監視する
  4. サンプルファイルをダウンロードする

トリガファイルコレクション

収集するオブジェクトを特定した後、次のいずれかからファイル収集を開始できます。

Trend Micro Vision One検索アプリからアプリ検索アイコン

1.[アプリイベントの検索]から次のいずれかを右クリックします。 - processFilePath - objectFilePath - parentFilePath 2. Collect Fileを選択します。

ファイルの収集が強調表示されたTrend Micro Vision One ウィンドウ

ファイル収集タスク 画面が表示されます。

Trend Micro Vision One Workbench ( XDRXDRアイコン): の下にあります

収集するオブジェクトのファイルアイコン ファイルアイコンを右クリックし、[ 収集ファイル]を選択します。

ファイルの収集が強調表示されたTrend Micro Vision One ワークベンチ

ファイル収集タスク 画面が表示されます。

ファイルコレクションタスクの作成

  1. Collect File Task ウィンドウで、タスクのチェックボックスをオンにします。
  2. (オプション)応答またはイベントの説明を入力します。
  3. Createを選択します。

Trend Micro Vision One Collect File Taskウィンドウ

ビジネスセキュリティエージェントがタスクの作成を開始します。

通常、ビジネスセキュリティエージェントは20分以内にファイル収集タスクを作成します。ビジネスセキュリティエージェントがオフラインの場合、ビジネスセキュリティエージェントがオンラインになるまでタスクはキューに入れられます。

タスクのステータスを監視する

[応答管理] タブからタスクを監視できます。

タスクのステータスには次のものがあります。

  • 進行中アイコン 進行中:Trend Micro Vision One が管理サーバにコマンドを送信しましたが、応答を待機しています。
  • 待機中アイコン 待機中:要求の数が多いため、またはビジネスセキュリティエージェントクライアントがオフラインだったため、サーバはコマンドをキューに入れました。
  • 成功アイコン 成功:管理サーバはコマンドを正常に受信しました。
  • 失敗アイコン 失敗:管理サーバにコマンドを送信しようとしたときに、エラーまたはタイムアウトが発生しました。

サンプルファイルをダウンロードする

サンプルをダウンロードすると、エンドポイントに問題が発生する可能性がありますTrend Micro Vision One は自動的にサンプルファイルをパスワードで保護されたZIPアーカイブに保存します。続行する前に、必要な予防措置を講じてください。

  1. [応答管理] タブで、プルダウンメニューから [ファイルの収集] を選択し、 ダウンロードアイコンを選択します。 Trend Micro Vision One Response Managementページ
  2. ポップアップウィンドウで、[ Download]を選択します。
  3. [ダウンロードファイル]ウィンドウで、アーカイブされたサンプルのパスワードを記録します。
  4. Download を選択してファイルをダウンロードします。

ファイルのダウンロードダイアログボックス

一般的な問題のトラブルシューティング

ファイルコレクションの一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認してください。

Trend Micro Vision One の設定

Trend Micro Vision One (XDR) タブ (Administration > System Settings > Trend Micro Vision One (XDR))、で次のことを確認してください。

  • 登録ステータスが「登録済み」です。
  • Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。

Workload Security System Settingsページ( Trend Micro Vision One タブが表示されています)

コンピュータのセキュリティモジュールの設定

コンピュータの[ アクティビティ監視 ]タブで、([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。

アクティビティ監視設定

アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。

要件 および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポート担当者にお問い合わせください