ページの先頭行へ戻る
ServerView Resource Orchestrator Cloud Edition V3.3.0 検疫ネットワークへの自動隔離機能使用手引書
FUJITSU Software
第3章 検疫ネットワークへの自動隔離機能を利用した運用手順 > 3.2 セキュリティリスク解消時の運用手順 > 3.2.2 セキュリティリスク解消時の運用手順【Trend Micro PM】
前次

3.2.2 セキュリティリスク解消時の運用手順【Trend Micro PM】

手順

  1. インフラ管理者は、運用ネットワークに接続します。

    Trend Micro Policy ManagerのWebコンソールを使用します。

    [Logs] > [Matched Event Logs] から"Matched Event Logs"画面を表示し、[Enforcement] 列で[Revert]をクリックします。

    注意

    センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionのRevertに失敗した場合、「3.2.2.2 センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionのRevertに失敗した場合の対処」を参照してください。

  2. インフラ管理者はGUI(RORコンソール)からL-Serverのネットワークが運用ネットワークに切り替わったことおよびL-ServerのIPアドレスを確認します。

  3. インフラ管理者は、仮想PC・SBCサーバのコンソールを開き、手順2.で確認したL-ServerのIPアドレスおよびネットワーク情報に合わせて、OSのネットワーク設定を変更してください。

  4. インフラ管理者は仮想PC・SBCサーバの利用者に利用再開できる旨を連絡します。

3.2.2.1 センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionの適用に失敗した場合の対処

センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionの適用に失敗した場合は、以下の対処を実施してください。

Trend Micro Policy Managerのwebコンソールに出力される情報から該当L-Serverが判別できない場合

「メッセージ番号 67198」の「"L-Server not found. ip=IPアドレス"の場合」の形式のエラーが発生する場合、Trend Micro Policy Managerのwebコンソールに出力された情報を参考に手動で対処したうえで、Actionに対して[Check]を選択することによりActionの適用を中断してください。

Trend Micro Policy Managerのwebコンソールに出力される情報から該当L-Serverが判別できる場合

  1. インフラ管理者は、以下のすべての条件を満たしていることを確認します。

    • GUI(RORコンソール)からL-Serverのネットワークが検疫ネットワークに切り替わったことおよびL-ServerのIPアドレスを確認します。

    • GUI(RORコンソール)で、エラーメッセージが発生していないこと

    • 本製品のマネージャーが停止していないこと

    条件を満たしていない場合には、以下の手順を実施してください。

    1. 接続ネットワークの切替え

      • 仮想PCの場合

        仮想化管理製品を操作し、仮想PCの仮想NICの接続ネットワークを検疫ネットワークに切り替えてください。

      • SBCサーバの場合

        物理サーバに隣接するスイッチを操作し(VLANを変更)、物理サーバの接続ネットワークを検疫ネットワークに切り替えてください。

    2. 検疫ネットワークへの切替え

      該当L-Serverに対してrcxadm avmgr quarantineコマンドにより検疫ネットワークへの切替え操作を実施してください。

  2. セキュリティリスクが発生した環境は、利用できなくなります。

    仮想PCの場合、インフラ管理者に依頼することで、他の仮想PCを利用できます。

  3. インフラ管理者は、セキュリティリスクが発生した仮想PC・SBCサーバのコンソールを開いて以下の検疫処理を実施します。

    手順1.で確認したL-ServerのIPアドレスおよびネットワーク情報に合わせて、OSのネットワーク設定を変更してください。

    ウイルス対策製品のマニュアルに従って対処を実施し、その後、ウイルススキャンを実施します。ウイルスが検出されないことを確認します。

  4. 本製品のマネージャーでrcxadm avmgr unquarantineコマンドによりL-Serverを運用ネットワークに接続します。

    コマンドの利用方法は「4.1 rcxadm avmgr」を参照してください。

    Trend Micro Policy ManagerのWebコンソールでActionについて[Revert]を選択することで、運用ネットワークに接続することはできません。

  5. インフラ管理者はGUI(RORコンソール)からL-Serverのネットワークが運用ネットワークに切り替わったことおよびL-ServerのIPアドレスを確認します。

  6. インフラ管理者は、仮想PC・SBCサーバのコンソールを開き、手順1.で確認したL-ServerのIPアドレスおよびネットワーク情報に合わせて、OSのネットワーク設定を変更してください。

  7. インフラ管理者は仮想PC・SBCサーバの利用者に利用再開できる旨を連絡します。


3.2.2.2 センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionのRevertに失敗した場合の対処

センサーからTrend Micro Policy Managerに通知されたセキュリティリスクに対応するActionのRevertに失敗した場合は、以下の対処を実施してください。

  1. Trend Micro Policy Managerのwebコンソールに出力されるAction DetailsのNetwork Controller Responseに本製品のメッセージが出力されています。

    メッセージの対処方法に従ってエラーの原因を取り除いてください。

  2. 本製品のマネージャーでrcxadm avmgr unquarantineコマンドによりL-Serverを運用ネットワークに接続します。

    コマンドの利用方法は「4.1 rcxadm avmgr」を参照してください。

  3. Trend Micro Policy Managerのwebコンソールにおいて、Actionに対して[Check]を選択することによりActionの適用を中断してください。

    [Revert]を選択しActionのRevertを実施すると、L-Serverの運用ネットワークへの接続が失敗する場合があります。

前次
Copyright 2017-2018 FUJITSU LIMITED