DeepSecurity12で不正プログラム対策の動作確認をしてみた

スポンサーリンク

はじめに

先日、新たにWindowsサーバを構築しました。DeepSecurity12のAgentを導入したので機能の動作確認を実施していきます。

今回は不正プログラム対策の動作確認を実施します。

前提条件

DeepSecurity12の環境が構築できているとします。もし未構築であれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install/

いずれかのサーバにDeepSecurity12のAgentがインストールできているとします。もし未インストールであれば以下を参照して下さい。
https://it-study.info/deepsecurity12-install-script-agent/

動作確認

サーバの設定確認

トレンドマイクロ社のサイトに情報があります。公式サイトの情報を元に実際に試していきます。
https://success.trendmicro.com/jp/solution/1114066

管理コンソールから「不正プログラム対策」の状態を確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[詳細]ボタンをクリックします。
左サイドバーから[不正プログラム対策]をクリックします。
デフォルト設定であれば、ステータスが「オン」「リアルタイム」になっており、「リアルタイム検索」「手動検索」「 予約検索 」の3つにチェックが入っています。

上記の状態であれば設定に問題はありません。

テスト用ウィルスファイルのダウンロード

Agentをインストールしたサーバからトレンドマイクロ社のサイトにアクセスします。 「eicar.com」をダウンロードします。

ウィルスファイルの検知確認

タスクバーに常駐しているDeepSecurityがテスト用ウィルスファイルを検知して駆除します。リアルタイム検索がしっかり動作していることが確認できました。

管理コンソールからイベントログを確認します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[イベント]ボタンから[不正プログラム対策イベント]をクリックします。
テスト用ウィルスファイルが削除されたことが確認できます。

「手動検索」の場合も検知して削除できるか確認します。
管理コンソールの[不正プログラム対策]の画面からリアルタイム検索の設定を無効化します。
・継承のチェックを外す
・不正プログラム検索設定は「設定なし」にする
「保存」ボタンをクリックします。

Agentをインストールしたサーバから「eicar.com」をデスクトップ上にダウンロードします。 「リアルタイム検索」を無効化したので今度はダウンロードできます。

「手動検索」します。
メニューバーから[コンピュータ]をクリックし、対象のコンピュータを選択します。
[処理]ボタンから[不正プログラムのフル検索]をクリックします。
デスクトップ上の テスト用ウィルスファイル(eicar.com)が削除されます。

ちなみに「不正プログラムのクイック検索」では削除できませんでした。公式サイトを確認すると、「クイック検索は、コンピュータの重大なシステム領域で現在アクティブな脅威の検索のみが実行されます。」とのことでした。

アラートメールの確認

アラートメールは以下の形で届きます。

【件名】
新しいアラートの発令: 1台のコンピュータで、不正プログラム検索設定
 (Default Real-Time Scan Configuration) アラートが発生しました

【本文】
ご使用のDeep Securityアカウントについて次のアラートが発生しました:

アラート: 1台のコンピュータで、不正プログラム検索設定
 (Default Real-Time Scan Configuration) アラートが発生しました [プライマリ (0)]
重要度: 警告
アラートのインスタンスID: 9
時刻: 2021-05-17 03:34
前回のアップデート: 2021-05-17 03:34
説明: 1台以上のコンピュータで、アラートを発するように設定された
不正プログラム検索設定によってイベントが発生しました。
アラートの詳細についてはDeep Securityヘルプセンターを参照してください。

コンピュータ:対象のコンピュータ名

コメント