ページの先頭行へ戻る
ServerView Resource Orchestrator Cloud Edition V3.3.0 検疫ネットワークへの自動隔離機能使用手引書
FUJITSU Software
第3章 検疫ネットワークへの自動隔離機能を利用した運用手順 > 3.1 セキュリティリスク検出時の運用手順 > 3.1.2 セキュリティリスク検出時の運用手順【Trend Micro PM】
前次

3.1.2 セキュリティリスク検出時の運用手順【Trend Micro PM】

手順

  1. インフラ管理者はメール通知により、セキュリティリスクが検出されたことを認識します。

  2. 本製品のマネージャーは以下のサーバからの通知に従い、セキュリティリスクが発生したL-Serverを設定内容に従い自動的にネットワーク切替えを実施し、L-Serverを検疫ネットワークに隔離します。

    • Trend Micro Policy Manager

    注意

    • センサーからTrend Micro Policy Managerに通知された以下のセキュリティリスクについては、セキュリティリスクに対応するActionのステータスがPendingになり、Actionの適用による本製品のマネージャーへの自動的な通知が行われません。

      • 複数の端末からのC&Cコールバック通信の宛先が同一のIPアドレスである場合

      • 単一の端末から複数の脅威検知をした場合

      それらのセキュリティリスクについては、ウイルス対策製品の設定に誤りがあるため、「2.1 検疫ネットワークへの自動隔離機能を利用するための事前準備」に沿って設定を見直してください。

      Trend Micro Policy Managerのwebコンソールに出力される情報を参考にして、手動で対処したうえで、Actionに対して[Check]を選択することによりActionの適用を回避してください。

      Actionに対して[Enforce]を選択し、Actionの適用を実施すると、L-Serverの検疫ネットワークへの隔離が失敗する場合があります。

    • センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionの適用に失敗した場合、「3.2.2.1 センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionの適用に失敗した場合の対処」を参照してください。

  3. インフラ管理者は、以下のすべての条件を満たしていることを確認します。

    • GUI(RORコンソール)からL-Serverのネットワークが検疫ネットワークに切り替わったことおよびL-ServerのIPアドレスを確認します。

    • GUI(RORコンソール)で、エラーメッセージが発生していないこと

    • 本製品のマネージャーが停止していないこと

    条件を満たしていない場合には、以下の手順を実施してください。

    1. 接続ネットワークの切替え

      • 仮想PCの場合

        仮想化管理製品を操作し、仮想PCの仮想NICの接続ネットワークを検疫ネットワークに切り替えてください。

      • SBCサーバの場合

        物理サーバに隣接するスイッチを操作し(VLANを変更)、物理サーバの接続ネットワークを検疫ネットワークに切り替えてください。

    2. 検疫ネットワークへの切替え

      該当L-Serverに対してrcxadm avmgr quarantineコマンドにより検疫ネットワークへの切替え操作を実施してください。

    注意

    • 手順を実施する前に「3.2.2 セキュリティリスク解消時の運用手順【Trend Micro PM】」を実施した場合、以下のネットワーク情報に不整合が発生する場合があります。

      • 仮想PCと本製品の管理情報

      • SBCサーバと本製品の管理情報

    • SBCサーバの場合、検疫ネットワークに切り替わると、GUI(RORコンソール)上では、サーバのステータスがunknownになります。

    参考

    本機能のネットワーク切替えでエラーが発生した場合、仮想PC・SBCサーバの状態によって振る舞いが異なります。

    • 仮想PCの場合

      • 仮想PCの仮想NICが検疫ネットワークへ切り替えられている場合

        感染拡大防止のため、仮想PCの仮想NICの接続ネットワークは検疫ネットワークのままとなります。仮想L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。

      • 仮想PCの仮想NICが検疫ネットワークへの切り替えられていない場合

        仮想L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。

    • SBCサーバの場合

      • SBCサーバのNICが検疫ネットワークへ切り替えられている場合

        感染拡大防止のため、SBCサーバのNICの接続ネットワークは検疫ネットワークのままとなります。物理L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。

      • SBCサーバのNICが検疫ネットワークへの切り替えられていない場合

        物理L-ServerのNICの接続ネットワークは運用ネットワークに戻ります。

  4. セキュリティリスクが発生した環境は、利用できなくなります。

    仮想PCの場合、インフラ管理者に依頼することで、他の仮想PCを利用できます。

  5. インフラ管理者は、セキュリティリスクが発生した仮想PC・SBCサーバのコンソールを開いて以下の検疫処理を実施します。

    1. 手順3.で確認したL-ServerのIPアドレスおよびネットワーク情報に合わせて、OSのネットワーク設定を変更してください。

    2. ウイルス対策製品のマニュアルに従って対処を実施し、その後、ウイルススキャンを実施します。ウイルスが検出されないことを確認します。



前次
Copyright 2017-2018 FUJITSU LIMITED