エンドポイントの隔離と接続の復元

ビュー:

高リスクのエンドポイントを隔離して調査を実行し、セキュリティの問題を解決します。すべての問題を解決したら、すぐに接続を復元します。

エンドポイントの隔離と接続の復元を行うには、ウイルスバスター Corp.クライアントが必要です。必要な最小バージョンは11 Service Pack 1です。また、ウイルスバスター Corp.クライアントのファイアウォールを有効にする必要があります。

エンドポイントの隔離の開始

[隔離] オプションは、次の画面から利用できます。

1.1. [エンドポイント] 画面

注:

[エンドポイント] 画面には、すべてのタブに [隔離] オプションがあります。

この画面にアクセスする方法はいくつかありますが、[ディレクトリ] > [ユーザ/エンドポイント] に移動し、その画面の検索機能で隔離するエンドポイントを検索して、表示された検索結果でエンドポイント名をクリックする方法をお勧めします。

隔離を実行できない場合、次のいずれかの問題を示すメッセージが [隔離] オプションの下に表示されます。

エンドポイントのクライアントでサポート対象外のバージョンが実行されています。
Control Managerへのログオンに使用されているユーザアカウントに必要な権限がありません。

1.2. [高リスクのエンドポイント] 画面

注:

この画面にアクセスするには、[運用管理] > [侵入の痕跡] に移動し、[危険] 列で高リスクのエンドポイントの数を表す数字をクリックします。

隔離ステータスの監視

エンドポイントの隔離中は、[エンドポイント] 画面と [高リスクのエンドポイント] 画面の上部に、エンドポイントの隔離を実行中であることを示すメッセージが表示されます。

このメッセージは隔離が完了すると表示されなくなります。エンドポイントには、隔離についてユーザに知らせる通知が表示されます。

問題がある場合は別のメッセージが表示されます。これには、次のような問題が含まれます。

ウイルスバスター Corp.サーバ管理者またはファイアウォールを設定する権限があるユーザによってウイルスバスター Corp.クライアントのファイアウォールが無効にされているか、ファイアウォールが機能しなくなった可能性があります。
エンドポイントのウイルスバスター Corp.クライアントとその上位サーバの間に接続が確立されていません。
エンドポイントにウイルスバスター Corp.サーバとクライアントの両方がインストールされています。エンドポイントを隔離すると、ウイルスバスター Corp.サーバの機能が中断されます。
予期しないエラーが発生しました。

最新のステータスを確認するには、画面を更新してください。

隔離されたエンドポイントの監視

初期設定のフィルタである [隔離済み] を選択すると、隔離されたエンドポイントのリストがエンドポイントツリーに表示されます。

許可するトラフィックの設定

エンドポイントを隔離すると、初期設定では、ウイルスバスター Corp.クライアントとその上位サーバの間のトラフィックを除く、すべての送受信トラフィックがブロックされます。

隔離されたエンドポイントで許可する送受信トラフィックを設定することができます。これらの設定は、隔離されたすべてのエンドポイントに適用され、エンドポイントごとに設定することはできません。

トレンドマイクロの他のクライアント製品がエンドポイントにインストールされている場合は、それらのクライアントが対応する上位サーバと通信を継続できるように、許可するトラフィックを適切に設定してください。

クライアント	受信トラフィック	送信トラフィック	その他の要件
Vulnerability Protection	プロトコル: TCP 送信元IPアドレス: 上位サーバのIPアドレス送信先ポート: 4118	プロトコル: TCP 送信先IPアドレス: 上位サーバのIPアドレス送信先ポート: 4120	Vulnerability ProtectionサーバのインストールにDNS設定を使用している場合は、DNSサーバのプロトコル、IPアドレス、および送信先ポートを追加します。
Deep Discovery Endpoint Sensor	プロトコル: TCP 送信元IPアドレス: 上位サーバのIPアドレス送信先ポート: 8081	プロトコル: TCP 送信先IPアドレス: 上位サーバのIPアドレス送信先ポート: 8002, 8003	DNS設定 (受信): プロトコル: UDP 送信元IPアドレス: DNSサーバのIPアドレス送信先ポート: 53 DNS設定 (送信): プロトコル: UDP 送信先IPアドレス: DNSサーバのIPアドレス送信先ポート: 53

クライアント

受信トラフィック

送信トラフィック

その他の要件

Vulnerability Protection

プロトコル: TCP

送信元IPアドレス: 上位サーバのIPアドレス

送信先ポート: 4118

プロトコル: TCP

送信先IPアドレス: 上位サーバのIPアドレス

送信先ポート: 4120

Vulnerability ProtectionサーバのインストールにDNS設定を使用している場合は、DNSサーバのプロトコル、IPアドレス、および送信先ポートを追加します。

Deep Discovery Endpoint Sensor

プロトコル: TCP

送信元IPアドレス: 上位サーバのIPアドレス

送信先ポート: 8081

プロトコル: TCP

送信先IPアドレス: 上位サーバのIPアドレス

送信先ポート: 8002, 8003

DNS設定 (受信):

プロトコル: UDP

送信元IPアドレス: DNSサーバのIPアドレス

送信先ポート: 53

DNS設定 (送信):

プロトコル: UDP

送信先IPアドレス: DNSサーバのIPアドレス

送信先ポート: 53

[すべてに適用] をクリックして、隔離済みまたは隔離中のクライアントがあるウイルスバスター Corp.サーバに設定を配信します。

エンドポイントの接続の復元

エンドポイントの調査が完了し、脅威を含まないことを確認できたら、エンドポイントのネットワーク接続を復元します。[復元] オプションは、[エンドポイント] 画面と [高リスクのエンドポイント] 画面にあります。

[復元] をクリックすると、接続を復元中であることを示すメッセージが画面の上部に表示されます。このメッセージは復元が完了すると表示されなくなります。

問題がある場合は別のメッセージが表示されます。これには、次のような問題が含まれます。

ウイルスバスター Corp.サーバ管理者またはファイアウォールを設定する権限があるユーザによってウイルスバスター Corp.クライアントのファイアウォールが無効にされているか、ファイアウォールが機能しなくなった可能性があります。そのため、ネットワーク接続が自動的に復元された後も、エンドポイントがControl Managerのエンドポイントツリーに [隔離済み] として表示されたままになっています。

クライアントでファイアウォールを有効にするか適切に機能していることを確認してから、Control Managerからエンドポイントを隔離 (エンドポイントを隔離したままにする場合) または接続を復元 (エンドポイントツリーの [隔離済み] からエンドポイントを削除する場合) してください。
エンドポイントのウイルスバスター Corp.クライアントとその上位サーバの間に接続が確立されていません。
予期しないエラーが発生しました。

最新のステータスを確認するには、画面を更新してください。

エンドポイントの隔離と接続の復元の履歴

Control Managerでは、エンドポイントで実行された隔離と接続復元のタスクがすべて記録されます。それらのレコードを確認するには、[エンドポイント] 画面で [メモ] タブをクリックします。