ビュー:
ファイル収集を使用すると、Trend Vision OneのExtended Detection and Response (XDR) インタフェースからオブジェクトを直接収集できます。
エージェントとリレーをプロキシ経由でプライマリセキュリティ更新ソースに接続する場合、ファイル収集は自動的に同じプロキシの設定を使用します。

要件 親トピック

Workload Securityは、IoTメカニズムを使用してメッセージやイベントをTrend Vision Oneに送信します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。

ファイル収集を使用してオブジェクトを収集する 親トピック

ファイル収集を使用してオブジェクトを収集するには

手順

  1. トリガーファイル収集
  2. ファイルコレクションタスクを作成
  3. タスクステータスをモニタする
  4. サンプルファイルをダウンロード

ファイル収集の開始 親トピック

収集するオブジェクトを特定したら、次のいずれかからファイル収集を開始できます。

手順

  1. Trend Vision One検索アプリicon-vision-one-searchapp=d75f2424-91f4-428d-80c1-df6dd7ab20f9.pngから:
    1. [アプリイベントの検索] で次のいずれかを右クリックします。
      • processFilePath
      • objectFilePath
      • parentFilePath
    2. [ファイルの収集を選択します。
      file-collection-trigger-searchapp=31f1b936-59b4-4758-aec4-520488a7e377.png
      [ファイル収集タスク] 画面が表示されます。
  2. Trend Vision Oneのワークベンチから ([XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下):
    1. 収集したいオブジェクトのファイルアイコンicon-vision-one-file=e266c21b-b388-4fff-9ad7-b7b143c133d5.pngを右クリックし、[ファイルを収集]を選択します。
      file-collection-trigger-workbench=9540a7c2-11ef-43a4-946d-7823faebc788.png
      [ファイル収集タスク] 画面が表示されます。

ファイルコレクションタスクの作成 親トピック

手順

  1. [ファイル収集タスク] ウィンドウで、タスクのチェックボックスをオンにします。
  2. 必要に応じて、応答またはイベントの説明を入力します。
  3. [Create]を選択します。
    file-collection-createtask=366115d3-0ca8-42b6-ba6e-b2455ff0eb26.png
    セキュリティエージェントがタスクの作成を開始します。
    通常、セキュリティエージェントは20分以内にファイル収集タスクを作成します。セキュリティエージェントがオフラインの場合、タスクはセキュリティエージェントがオンラインになるまでキューに入れられます。

タスクステータスの監視 親トピック

[Response Management]タブからタスクを監視できます。
タスクのステータスは次のとおりです。
  • icon-file-collection-taskstatus-inprogress=69c509c6-f8a4-4476-b3b8-9713f2996b22.png 処理中: Trend Vision Oneは管理サーバにコマンドを送信し、応答を待っています。
  • icon-file-collection-taskstatus-queued=e693483e-1037-4854-b2e0-e72f47bd77eb.png キューに追加: サーバはリクエストの量が多いか、セキュリティエージェントがオフラインのため、コマンドをキューに追加しました。
  • icon-file-collection-taskstatus-successful=2203e0bf-74f5-4100-a120-a2b70cfd8dd3.png 成功: 管理サーバはコマンドを正常に受信しました。
  • icon-file-collection-taskstatus-unsuccessful=71b8f3a4-491b-4e5f-a715-c317bf9e6a7d.png 失敗: 管理サーバーにコマンドを送信しようとした際にエラーまたはタイムアウトが発生しました。

サンプルファイルをダウンロードする 親トピック

警告
警告
サンプルをダウンロードすると、エンドポイントに損害を与える可能性があります。サンプルファイルは、パスワードで保護されたZIPVision Oneに自動的に保存されます。続行する前に、必要な予防措置を講じてください。

手順

  1. [Response Management]タブで、メニューから[ファイルの収集]を選択し、icon-file-collection-download=2ceff47f-75a9-4a44-809b-0bb2deca27d6.pngを選択します。
    file-collection-download=3c4a313e-dbfb-40f6-82d5-c28d0b5b382a.png
  2. ダイアログで、[Download] を選択します。
  3. [Download File] ウィンドウで、アーカイブされたサンプルのパスワードを記録します。
  4. [Download] を選択してファイルをダウンロードします。
    file-collection-recordsamplepassword=f05f432d-607e-4ad4-94bc-f711fdd87629.png

一般的な問題のトラブルシューティング 親トピック

ファイル収集に関する一般的な問題のトラブルシューティングを行うには、 Workload Securityコンソールで次の設定を確認します。

Trend Vision Oneの設定 親トピック

[Trend Vision One (XDR)]タブ ([管理][システム設定][Trend Vision One (XDR)]) で、以下を確認してください:
  • 登録ステータスは [登録済み] です。
  • セキュリティイベントをTrend Vision Oneに転送するが選択されています。
file-collection-XDR-and-log-forwarding=d7c2b04c-2236-44d4-b035-ad509cb64bb7.png

コンピュータのセキュリティモジュールの設定 親トピック

使用しているコンピュータの [アクティビティ監視] タブ ([Computers][ (右またはダブルクリック) Details][ アクティビティ監視][ 一般]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。
file-collection-activitymonitoring=89219034-d878-4bfd-a5ce-dcd28a1cde4b.png
ヒント
ヒント
また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの [アクティビティ監視] を有効にすることもできます。 [ポリシー] タブで、アクティビティ監視を有効にするポリシーをダブルクリックします。 [アクティビティ監視][ 一般]の順に選択し、アクティビティ監視 State が On に設定されていることを確認します。
要件および一般的な問題のトラブルシューティングのセクションを確認しても問題が解決しない場合は、サポートに連絡してください。