ビュー:
ファイル収集を使用すると、Trend Vision OneのExtended Detection and Response (XDR) インタフェースからオブジェクトを直接収集できます。
エージェントとリレーをプロキシ経由でプライマリセキュリティ更新ソースに接続する場合、ファイル収集は自動的に同じプロキシの設定を使用します。

要件 親トピック

Workload Securityは、IoTメカニズムを使用してメッセージやイベントをTrend Vision Oneに送信します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。

ファイル収集を使用してオブジェクトを収集する 親トピック

ファイル収集を使用してオブジェクトを収集するには
  1. トリガーファイル収集
  2. ファイルコレクションタスクを作成
  3. タスクステータスをモニタする
  4. サンプルファイルをダウンロード

ファイル収集の開始 親トピック

収集するオブジェクトを特定したら、次のいずれかからファイル収集を開始できます。

手順

  1. Trend Vision One検索アプリicon-vision-one-searchapp=d75f2424-91f4-428d-80c1-df6dd7ab20f9.pngから:
    1. [アプリイベントの検索] で次のいずれかを右クリックします。
      • processFilePath
      • objectFilePath
      • parentFilePath
    2. [ファイルを収集]を選択します。
      file-collection-trigger-searchapp=31f1b936-59b4-4758-aec4-520488a7e377.png
    [ファイルの収集タスク]ウィンドウが表示されます。
  2. Trend Vision One Workbench ([XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下):
    1. 収集したいオブジェクトのファイルアイコンicon-vision-one-file=e266c21b-b388-4fff-9ad7-b7b143c133d5.pngを右クリックし、[ファイルを収集]を選択します。
      file-collection-trigger-workbench=9540a7c2-11ef-43a4-946d-7823faebc788.png
    [ファイルの収集タスク]ウィンドウが表示されます。

ファイルコレクションタスクの作成 親トピック

手順

  1. [ファイルの収集タスク]ウィンドウから、タスクのチェックボックスを選択します。
  2. 必要に応じて、応答またはイベントの説明を入力します。
  3. [作成]を選択します。
    file-collection-createtask=366115d3-0ca8-42b6-ba6e-b2455ff0eb26.png
セキュリティエージェントがタスクの作成を開始します。
通常、セキュリティエージェントは20分以内にファイル収集タスクを作成します。セキュリティエージェントがオフラインの場合、タスクはセキュリティエージェントがオンラインになるまでキューに入れられます。

タスクステータスの監視 親トピック

[Response Management]タブからタスクをモニタできます。
タスクのステータスは次のとおりです。
  • icon-file-collection-taskstatus-inprogress=69c509c6-f8a4-4476-b3b8-9713f2996b22.png 処理中: Trend Vision Oneは管理サーバにコマンドを送信し、対応を待っています。
  • icon-file-collection-taskstatus-queued=e693483e-1037-4854-b2e0-e72f47bd77eb.png キューに追加: サーバはリクエストの高負荷またはセキュリティエージェントがオフラインのため、コマンドをキューに追加しました。
  • icon-file-collection-taskstatus-successful=2203e0bf-74f5-4100-a120-a2b70cfd8dd3.png 成功: 管理サーバがコマンドを正常に受信しました。
  • icon-file-collection-taskstatus-unsuccessful=71b8f3a4-491b-4e5f-a715-c317bf9e6a7d.png 失敗: コマンドを管理サーバに送信しようとした際にエラーまたはタイムアウトが発生しました。

サンプルファイルをダウンロードする 親トピック

警告
警告
サンプルをダウンロードすると、エンドポイントに損害を与える可能性があります。サンプルファイルは、パスワードで保護されたZIPVision Oneに自動的に保存されます。続行する前に、必要な予防措置を講じてください。

手順

  1. [Response Management]タブで、メニューから[ファイルを収集]を選択し、icon-file-collection-download=2ceff47f-75a9-4a44-809b-0bb2deca27d6.pngをダウンロードします。
    file-collection-download=3c4a313e-dbfb-40f6-82d5-c28d0b5b382a.png
  2. ダイアログで[ダウンロード]を選択してください。
  3. [ファイルをダウンロード]ウィンドウで、アーカイブされたサンプルのパスワードを記録してください。
  4. ファイルをダウンロードするには[ダウンロード]を選択してください。
    file-collection-recordsamplepassword=f05f432d-607e-4ad4-94bc-f711fdd87629.png

一般的な問題のトラブルシューティング 親トピック

ファイル収集に関する一般的な問題のトラブルシューティングを行うには、 Workload Securityコンソールで次の設定を確認します。

Trend Vision Oneの設定 親トピック

[Trend Vision One (XDR)]タブ ([管理][システム設定][Trend Vision One (XDR)]) で、次のことを確認してください:
  • 登録ステータスは [登録済み] です。
  • セキュリティイベントをTrend Vision Oneに転送するが選択されています。
file-collection-XDR-and-log-forwarding=d7c2b04c-2236-44d4-b035-ad509cb64bb7.png

コンピュータのセキュリティモジュールの設定 親トピック

コンピュータの[アクティビティ監視]タブで、([コンピュータ][(Right- or- double-click) Details][アクティビティ監視][一般])、設定がオンまたは継承 (オン) に設定されていることを確認してください。
file-collection-activitymonitoring=89219034-d878-4bfd-a5ce-dcd28a1cde4b.png
コンピューターに対しても、割り当てられたポリシーで有効にすることで[アクティビティ監視]を有効にできます。[ポリシー]タブから、アクティビティモニタリングを有効にしたいポリシーをダブルクリックします。[アクティビティ監視][一般]に移動し、アクティビティモニタリングの状態がオンに設定されていることを確認してください。
要件および一般的な問題のトラブルシューティングのセクションを確認しても問題が解決しない場合は、サポートに連絡してください。