手順
インフラ管理者はメール通知または本製品のマネージャーが動作するサーバのシステムログにより、セキュリティリスクが検出されたことを認識します。
注意
本製品と連携するウイルス対策製品が以下の場合は、本製品のマネージャーが動作するサーバのシステムログにセキュリティリスクの検出に関する情報は出力されません。
Symantec Endpoint protection
本製品のマネージャーは以下のどれかのサーバからの通知に従い、セキュリティリスクが発生したL-Serverを設定内容に従い自動的にネットワーク切替えを実施し、L-Serverを検疫ネットワークに隔離します。
ウイルスバスターCorp. 11.0サーバ
ウイルスバスターCorp. XGサーバ
Symantec Endpoint protection Manager
McAfee ePO サーバ
インフラ管理者は、以下のすべての条件を満たしていることを確認します。
GUI(RORコンソール)からL-Serverのネットワークが検疫ネットワークに切り替わったことおよびL-ServerのIPアドレスを確認します。
GUI(RORコンソール)で、エラーメッセージが発生していないこと
本製品のマネージャーが停止していないこと
条件を満たしていない場合には、以下の手順を実施してください。
接続ネットワークの切替え
仮想PCの場合
仮想化管理製品を操作し、仮想PCの仮想NICの接続ネットワークを検疫ネットワークに切り替えてください。
SBCサーバの場合
物理サーバに隣接するスイッチを操作し(VLANを変更)、物理サーバの接続ネットワークを検疫ネットワークに切り替えてください。
検疫ネットワークへの切替え
該当L-Serverに対してrcxadm avmgr quarantineコマンドにより検疫ネットワークへの切替え操作を実施してください。
注意
手順を実施する前に「3.2.1 セキュリティリスク解消時の運用手順【Trend Micro VB Corp.】【Symantec】【McAfee】」を実施した場合、以下のネットワーク情報に不整合が発生する場合があります。
仮想PCと本製品の管理情報
SBCサーバと本製品の管理情報
SBCサーバの場合、検疫ネットワークに切り替わると、GUI(RORコンソール)上では、サーバのステータスがunknownになります。
参考
本機能のネットワーク切替えでエラーが発生した場合、仮想PC・SBCサーバの状態によって振る舞いが異なります。
仮想PCの場合
仮想PCの仮想NICが検疫ネットワークへ切り替えられている場合
感染拡大防止のため、仮想PCの仮想NICの接続ネットワークは検疫ネットワークのままとなります。仮想L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。
仮想PCの仮想NICが検疫ネットワークへの切り替えられていない場合
仮想L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。
SBCサーバの場合
SBCサーバのNICが検疫ネットワークへ切り替えられている場合
感染拡大防止のため、SBCサーバのNICの接続ネットワークは検疫ネットワークのままとなります。物理L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。
SBCサーバのNICが検疫ネットワークへの切り替えられていない場合
物理L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。
セキュリティリスクが発生した環境は、利用できなくなります。
仮想PCの場合、インフラ管理者に依頼することで、他の仮想PCを利用できます。
インフラ管理者は、セキュリティリスクが発生した仮想PC・SBCサーバのコンソールを開いて以下の検疫処理を実施します。
手順3.で確認したL-ServerのIPアドレスおよびネットワーク情報に合わせて、OSのネットワーク設定を変更してください。
ウイルス対策製品のマニュアルに従って対処を実施し、その後、ウイルススキャンを実施します。ウイルスが検出されないことを確認します。
