リスク追跡について
search cancel

リスク追跡について

book

Article ID: 235410

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

リスク追跡の詳細と利用方法を確認したい。

Resolution

近年、ワームやネットワーク共有を利用して感染を拡げる脅威が増加しています。リスク追跡は、大規模感染の発生源を容易に特定、修復できるよう、脅威の侵入元のネットワークの情報を記録する Symantec Endpoint Protection (SEP) のオプション機能です。

リスク追跡は、ネットワークから隔離しスキャン対象とするべきコンピュータを確認する際に有効です。
ログの出力例にそって説明をするため、以下の操作で Symantec Endpoint Protection Manager (SEPM) からログヒストリーレポートを出力し、リスク追跡に関連のないコラムを非表示にします。

例:

  1. 左側のパネルから [監視] - [ログ] タブを選択します。
  2. [ログの種類] で [リスク] を選択します。
  3. 初期設定のフィルタで [ログの表示] を選択します。
  4. 出力結果をエクスポートして Excel で表示し、リスク追跡に関連するコラムのみを表示します。

リスク追跡の例

イベント コンピュータ名 送信元 送信元のコンピュータ名 送信元コンピュータ IP
ウイルスが見つかりました ####B Auto-Protect スキャン ####A ###.###.###.###
ウイルスが見つかりました ####C Auto-Protect スキャン ####A ###.###.###.###
ウイルスが見つかりました ####D Auto-Protect スキャン ####A ###.###.###.###

このログは ####A (IP アドレス:###.###.###.###) をネットワークから隔離し、スキャンする必要があることを示しています。他のコンピュータへの感染も確認できます。

リスク追跡は基本的なネットワーク認識機能に依存した機能です。ログに表示されるコンピュータ名や IP アドレスは、感染を検出した際に SEP クライアントに接続していたクライアントの情報であり、その他のコンピュータからも同様に接続されていた可能性もあります。複数のクライアントから収集したログを比較し、その他に繰り返し表示されるリモートコンピュータの情報がないことを確認することを推奨します。

リスク追跡の設定方法

SEPM コンソールの [ポリシー] タブ -  [ウイルスとスパイウェアの対策] ポリシー内の [Auto-Protect] ページの [拡張] タブ内で設定します。

警告ダイアログについての注意点

リスク追跡を動作させるためには、ファイアウォールポリシーとアクティブレスポンス機能を有効にする必要があることを知らせる警告ダイアログがポップアップされた場合、侵入防止のアクティブレスポンス機能はファイアウォールポリシーの [保護とステルス] タブに表示されますので、ご注意ください。

ファイアウォールポリシーでこの設定変更を行うには、[保護とステルス] - [保護設定] で [自動的に攻撃者の IP アドレスを遮断する] をチェックして(まだチェックしていない場合)、アクティブレスポンスを有効にしてください。

また、SEP のファイアウォール機能がインストールされ、有効になっている必要があります。

リスク追跡についての詳細情報

リスク追跡はコンピュータにおけるネットワーク共有ベースのウイルス感染の送信元を識別します。Auto-Protect は感染を検出すると Symantec Endpoint Protection の主要なサービスである ccSvcHst に情報を送信します。ccSvcHst は感染がローカルとリモートのどちらから発生したかを判断します。

感染がリモートコンピュータから発生した場合には ccSvcHst は次の処理を実行できます。 

  • そのコンピュータの NetBIOS コンピュータ名と IP アドレスをルックアップして記録する
  • 配信時刻にそのコンピュータにログオンしていたユーザーをルックアップして記録する
  • [リスクの詳細]ダイアログボックスに情報を表示する 

ccSvcHst はデフォルトでネットワークセッションの有無を毎秒ポーリングして、この情報をリモートコンピュータのセカンダリソースリストとしてキャッシュします。この情報はリスク追跡が感染リモートコンピュータを正常に識別できる頻度を最大化します。たとえば、ccSvcHst がネットワークセッションを記録する前にリスクがネットワーク共有を閉じる場合があります。その場合リスク追跡はセカンダリソースリストを使ってリモートコンピュータの識別を試みます。この情報は[Auto-Protect 拡張オプション]ダイアログボックスで設定できます。

リスク追跡情報は[リスクの詳細]ダイアログボックスに表示され、感染ファイルが引き起こすリスクエントリについてのみ使用できます。感染の原因がローカルホストの活動であるとリスク追跡が判断した場合には、送信元をローカルホストとして表示します。

リスク追跡は、次の条件に該当する場合に送信元を不明として表示します。

  • リモートコンピュータを識別できない。
  • ファイル共有の認証済みユーザーが複数のコンピュータを参照する。この条件は 1 つのユーザー ID が複数のネットワークセッションに関連付けされている場合に起きる可能性がある。たとえば、複数のコンピュータがファイル共有サーバーに同じサーバーユーザー ID でログオンすることがある。 

ローカルコンピュータに感染を広めている複数のリモートコンピュータの完全なリストを記録するには、下記のレジストリを変更します。レジストリのバックアップを取得してから変更してください。

  • 32 ビット OS: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\ProductControl
  • 64 ビット OS: HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Symantec\Symantec Endpoint Protection\AV\ProductControl

Debug 文字列値を THREATTRACER X に設定します。
THREATTRACER 値はデバッグ出力をオンにします。X はリスク追跡のデバッグ出力のみが表示されるようにします。

ログ記録を C:\ProgramData\Symantec\Symantec Endpoint Protection\<バージョン>\Data\Logs\vpdebug.log ログファイルに書き込むには L を追加します。

デバッグウィンドウを非表示にするには XW を追加します。

リスク追跡は送信元コンピュータの IP アドレスを遮断するオプションも含みます。このオプションが効力を持つためには、ファイアウォールポリシーで対応するオプションを設定してこの種類の自動遮断を有効にする必要があります。

この機能で実験する場合は、eicar.org で入手できるテストウイルスファイル Eicar.com を使います。

リスク追跡のテスト

リスク追跡をテストするには次の操作をします。

他のクライアント(たとえば、クライアントB) の共有フォルダをマウントしたクライアント (たとえば、クライアントA) でファイルシステム Auto-Protect を無効にします。
Eicar.com が入っているリムーバブルメディアを挿入してそのファイルを他のクライアント(たとえば、クライアントB) 上の共有フォルダにコピーします。
ウイルス通知警告が表示されます。この構成を次の図に示します。

リスク履歴を分析する際は 「EICAR Test String」 という文字を見つけ、そのリスクを右クリックして [プロパティ] を選択すると感染源のコンピュータ名が識別されます。

追加情報

  • リスク追跡は Windows のファイルとプリンターの共有機能に依存しています。この機能が無効になっている場合、リスク追跡は動作しません。(http://support.microsoft.com/kb/199346/ja)
  • リスク追跡はWindows XP, Windows 2003, Windows 7, その他の Windows OS で動作します。Windows XP のみに制限された機能ではありません。
  • リスク追跡が完全に機能するためには、SEP クライアントのネットワークとホストのエクププロイト緩和機能がインストールされている必要があります。
  • 高負荷状況のコンピュータの SEP によるパフォーマンスへの影響を軽減するため、リスク追跡が無効になる場合があります。

Additional Information

[英語文書] What is Risk Tracer?