リスク追跡の詳細と利用方法を確認したい。
近年、ワームやネットワーク共有を利用して感染を拡げる脅威が増加しています。リスク追跡は、大規模感染の発生源を容易に特定、修復できるよう、脅威の侵入元のネットワークの情報を記録する Symantec Endpoint Protection (SEP) のオプション機能です。
リスク追跡は、ネットワークから隔離しスキャン対象とするべきコンピュータを確認する際に有効です。
ログの出力例にそって説明をするため、以下の操作で Symantec Endpoint Protection Manager (SEPM) からログヒストリーレポートを出力し、リスク追跡に関連のないコラムを非表示にします。
例:
イベント | コンピュータ名 | 送信元 | 送信元のコンピュータ名 | 送信元コンピュータ IP |
ウイルスが見つかりました | ####B | Auto-Protect スキャン | ####A | ###.###.###.### |
ウイルスが見つかりました | ####C | Auto-Protect スキャン | ####A | ###.###.###.### |
ウイルスが見つかりました | ####D | Auto-Protect スキャン | ####A | ###.###.###.### |
このログは ####A (IP アドレス:###.###.###.###) をネットワークから隔離し、スキャンする必要があることを示しています。他のコンピュータへの感染も確認できます。
リスク追跡は基本的なネットワーク認識機能に依存した機能です。ログに表示されるコンピュータ名や IP アドレスは、感染を検出した際に SEP クライアントに接続していたクライアントの情報であり、その他のコンピュータからも同様に接続されていた可能性もあります。複数のクライアントから収集したログを比較し、その他に繰り返し表示されるリモートコンピュータの情報がないことを確認することを推奨します。
SEPM コンソールの [ポリシー] タブ - [ウイルスとスパイウェアの対策] ポリシー内の [Auto-Protect] ページの [拡張] タブ内で設定します。
リスク追跡を動作させるためには、ファイアウォールポリシーとアクティブレスポンス機能を有効にする必要があることを知らせる警告ダイアログがポップアップされた場合、侵入防止のアクティブレスポンス機能はファイアウォールポリシーの [保護とステルス] タブに表示されますので、ご注意ください。
ファイアウォールポリシーでこの設定変更を行うには、[保護とステルス] - [保護設定] で [自動的に攻撃者の IP アドレスを遮断する] をチェックして(まだチェックしていない場合)、アクティブレスポンスを有効にしてください。
また、SEP のファイアウォール機能がインストールされ、有効になっている必要があります。
リスク追跡はコンピュータにおけるネットワーク共有ベースのウイルス感染の送信元を識別します。Auto-Protect は感染を検出すると Symantec Endpoint Protection の主要なサービスである ccSvcHst に情報を送信します。ccSvcHst は感染がローカルとリモートのどちらから発生したかを判断します。
感染がリモートコンピュータから発生した場合には ccSvcHst は次の処理を実行できます。
ccSvcHst はデフォルトでネットワークセッションの有無を毎秒ポーリングして、この情報をリモートコンピュータのセカンダリソースリストとしてキャッシュします。この情報はリスク追跡が感染リモートコンピュータを正常に識別できる頻度を最大化します。たとえば、ccSvcHst がネットワークセッションを記録する前にリスクがネットワーク共有を閉じる場合があります。その場合リスク追跡はセカンダリソースリストを使ってリモートコンピュータの識別を試みます。この情報は[Auto-Protect 拡張オプション]ダイアログボックスで設定できます。
リスク追跡情報は[リスクの詳細]ダイアログボックスに表示され、感染ファイルが引き起こすリスクエントリについてのみ使用できます。感染の原因がローカルホストの活動であるとリスク追跡が判断した場合には、送信元をローカルホストとして表示します。
リスク追跡は、次の条件に該当する場合に送信元を不明として表示します。
ローカルコンピュータに感染を広めている複数のリモートコンピュータの完全なリストを記録するには、下記のレジストリを変更します。レジストリのバックアップを取得してから変更してください。
Debug 文字列値を THREATTRACER X に設定します。
THREATTRACER 値はデバッグ出力をオンにします。X はリスク追跡のデバッグ出力のみが表示されるようにします。
ログ記録を C:\ProgramData\Symantec\Symantec Endpoint Protection\<バージョン>\Data\Logs\vpdebug.log ログファイルに書き込むには L を追加します。
デバッグウィンドウを非表示にするには XW を追加します。
リスク追跡は送信元コンピュータの IP アドレスを遮断するオプションも含みます。このオプションが効力を持つためには、ファイアウォールポリシーで対応するオプションを設定してこの種類の自動遮断を有効にする必要があります。
この機能で実験する場合は、eicar.org で入手できるテストウイルスファイル Eicar.com を使います。
リスク追跡をテストするには次の操作をします。
他のクライアント(たとえば、クライアントB) の共有フォルダをマウントしたクライアント (たとえば、クライアントA) でファイルシステム Auto-Protect を無効にします。
Eicar.com が入っているリムーバブルメディアを挿入してそのファイルを他のクライアント(たとえば、クライアントB) 上の共有フォルダにコピーします。
ウイルス通知警告が表示されます。この構成を次の図に示します。
リスク履歴を分析する際は 「EICAR Test String」 という文字を見つけ、そのリスクを右クリックして [プロパティ] を選択すると感染源のコンピュータ名が識別されます。
[英語文書] What is Risk Tracer?