このページのトピック
Trend Vision One (XDR) File Collection
ファイル収集を使用すると、Trend Vision One (XDR) インタフェースからオブジェクトを直接収集できます。
AgentとRelayをプロキシ経由でプライマリセキュリティアップデート元 に接続する場合、ファイルコレクションでは同じプロキシ設定が自動的に使用されます。
要件
- WindowsまたはLinux用のエージェント バージョン20.0.0-2204以降をインストールします。
- Trend Micro Vision One (XDR)への登録
- Trend Micro Vision One (XDR)にセキュリティイベントを転送する
- アクティビティ監視を有効にする
Workload Securityでは、IoTメカニズムを使用してメッセージとイベントをTrend Vision Oneに送信します。環境内で許可するURLを制限する必要がある場合は、Workload Security URL テーブルの「イベントチャネル - XDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。
ファイルコレクションを使用したオブジェクトの収集
ファイルコレクションを使用してオブジェクトを収集するには
トリガファイルコレクション
収集するオブジェクトを特定した後、次のいずれかからファイル収集を開始できます。
Trend Micro Vision One検索アプリから:
- [アプリイベントの検索] で次のいずれかを右クリックします。
- processFilePath
- objectFilePath
- parentFilePath
- Collect Fileを選択します。
ファイル収集タスク 画面が表示されます。
Trend Micro Vision One Workbench ( XDR): の下にあります
収集するオブジェクトのファイルアイコン を右クリックし、[ ファイルの収集] を選択します。
ファイル収集タスク 画面が表示されます。
ファイルコレクションタスクの作成
- Collect File Task ウィンドウで、タスクのチェックボックスをオンにします。
- 必要に応じて、応答またはイベントの説明を入力します。
- Createを選択します。
セキュリティエージェントがタスクの作成を開始します。
通常、セキュリティエージェントは20分以内にファイル収集タスクを作成します。セキュリティエージェントがオフラインの場合、タスクはセキュリティエージェントがオンラインになるまでキューに入れられます。
タスクのステータスを監視する
[応答管理] タブからタスクを監視できます。
タスクのステータスには次のものがあります。
- 処理中: Trend Vision Oneはコマンドを管理サーバに送信し、応答を待機しています。
- 待機中:要求の数が多いため、またはビジネスセキュリティエージェントクライアントがオフラインだったため、サーバはコマンドをキューに入れました。
- 成功:管理サーバはコマンドを正常に受信しました。
- 失敗:管理サーバにコマンドを送信しようとしたときに、エラーまたはタイムアウトが発生しました。
サンプルファイルをダウンロードする
サンプルをダウンロードすると、エンドポイントに損害を与える可能性があります。サンプルファイルは、パスワードで保護されたZIPVision Oneに自動的に保存されます。続行する前に、必要な予防措置を講じてください。
- [ Response Management ] タブで、メニューから [ Collect File ] を選択し、ダウンロード を選択します。
- ダイアログで、[ Download] を選択します。
- [ Download File ] ウィンドウで、アーカイブされたサンプルのパスワードを記録します。
- Download を選択してファイルをダウンロードします。
一般的な問題のトラブルシューティング
ファイルコレクションの一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認してください。
Trend Micro Vision One の設定
Trend Micro Vision One (XDR) タブ (Administration > System Settings > Trend Micro Vision One (XDR))、で次のことを確認してください。
- 登録ステータスは登録済みです
- Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。
コンピュータのセキュリティモジュールの設定
使用しているコンピュータの [ アクティビティ監視 ] タブ ( [Computers] > (右またはダブルクリック) [Details] > [ アクティビティ監視 ] > [ 一般 ]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。
アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。
要件 および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポートにお問い合わせください。