Traps と他社製品の競合によって発生する問題を切り分けるためのアプローチ (ガイドライン)

Printer Friendly Page

概要:

本稿では Traps と他ベンダー製品との互換性によって発生する問題を切り分けるための基本的なガイドラインを記載しています。切り分けのプロセスは、多数のステップを含み非常に時間を要する可能性があります。

以下に記載するチェックリストはこれらのプロセスをガイドラインとして示したものです。

これらの手順に沿った切り分けを実施頂き、併せて弊社サポートにお問合せください。

 

対象とする Traps のバージョン:

Version 3.4.x

 

手順:

NO1. セキュリティ関連ソフトウェアのインストール有無の確認

存在する場合は一時的にそれらのソフトウェアの機能を停止/無効化します。

 

解決した場合:

問題の根本的な要因はそれらのソフトウェアとの互換性によるものと想定されます。

回避策等の有無については必要に応じて弊社サポートにお問合せください。

ソフトウェアを再度有効にしてステップ2に進みます。

 

解決しない場合:

ステップNO.2に進みます。

 

NO2. Cytool による Service Protection (SPROT) の設定確認

下記の例1.)のように、全ての項目が “Disabled” となっていることを確認します。

 

無効化されている場合:

ステップ NO.3に進みます。有効化されている場合は一旦ESM コンソール側で当該コンピューターの Service Protection のポリシーを無効化したルールを作成した上で設定を反映させます。

 

Service Protection の無効化により解決した場合:

Cytoolコマンドを使用して、Service Protection の各コンポーネント(Process /Registry/File/Service)を一つずつ 有効化して問題の発生有無を確認します。コマンド例2.) 本コマンドは Traps のポリシールールを上書きします。

※ 設定を既存のポリシーに基づいた設定に戻すためには例3.)のコマンドを実行します。

 

例1.)

cytool protect policy

Enter supervisor password:

Protection     Mode           State

Process         Policy         Disabled

Registry       Policy         Disabled

File           Policy         Disabled

Service         Policy         Disabled

 

例2.)

コマンド形式:

cytool protect [enable|disable] <feature>

File 保護を有効化する場合

cytool protect enable file

 

例3.)

コマンド形式:

cytool protect policy <feature>

File 保護をPolicyベースに設定する場合

cytool protect policy file

 

※ Cytoolの利用方法については以下のドキュメントをご参照ください。

https://www.paloaltonetworks.com/documentation/34/endpoint/endpoint-admin-guide/troubleshooting/cyto...

 

特定のコンポーネントでの発生有無が確認された場合には、それらの詳細情報および ETL ログを含む Tech Support File を取得した上で弊社にお問合せください。

※ 可能な場合には現象発生時および正常動作時の Process Monitor によるログを取得してください。

> Process Monitor は以下よりダウンロード可能です。

https://technet.microsoft.com/ja-jp/sysinternals/processmonitor.aspx

 

Service Protection の無効化によって解決しない場合:

ステップNO.3に進みます。

 

NO3. Traps による保護の完全無効化

Cytool.exeコマンドおよびコンピューターの再起動を実施してすべての保護を無効にします。コマンド例4.)

 

完全無効化によって解決した場合:

ステップNO.4に進みます。

 

完全無効化によって解決しない場合:

問題はTrapsに関連していない可能性が高いです。現象の発生状況、経緯をご確認ください。また必要に応じて弊社にお問合せください。

 

例4.) 実行中の Traps コンポーネントの全停止:

cytool runtime stop

Enter supervisor password:

Service         State

cyverak         Stopped

cyvrmtgn       Stopped

cyvrfsfd       Stopped

cyserver       Stopped

CyveraService   Stopped

tlaservice     Stopped

 

コンピュータースタートアップ時のTrapsコンポーネントの全無効化:

cytool startup disable

Service         Startup

cyverak         Disabled

cyvrmtgn       Disabled

cyvrfsfd       Disabled

cyserver       Disabled

CyveraService   Disabled

tlaservice     Disabled

 

NO4. Injection の完全無効化 (Disable All EPM Injection)

ESM管理コンソールすべてのプロセスに対するEPM の Injectionを無効化するポリシーを作成してエージェントに適用します。

 

Disable All EPM Injection によって問題が解決された場合:

特定のアプリケーションに関して問題が発生している場合は、それらのアプリケーションに関連するプロセスに対してDisable All EPM Injection の設定を行い、EPMの保護対象のプロセスを除外します(最終的な回避策となる場合があります)。プロセスの分離によって、最終的に問題が解決された場合はステップ5に進みます。

 

Disable All EPM Injection によって問題が解決しない場合:

ステップNO.6に進みます。

 

例5.)Disable All EPM Injection の設定

DisableAllInjection.PNG

 

NO5. Injection の有効化および EPM の切り分け

EPMの Injection自体は有効化した上で、問題発生時に有効化されていたEPMを一つづつ無効化/有効化して問題の発生有無を確認します。

コンピューターにどのEPMが有効化されて設定されているかは Traps Explorer ツールを利用して確認することも可能です。(例6.)

 

(補足)

過去の事例では DLL Sec および UASLR に起因して発生していたケースが多いです。

よって、はじめの段階ではこれらのEPMに対して無効化の切り分けをご実施頂くことを推奨いたします。

 

特定のEPMによって問題が発生することが確認できた場合:

ステップNO.7に進みます。

 

特定のEPMの無効化で解決しなかった場合あるいは特定できなかった場合:

Injection そのものあるいは他の機能、コンポーネントが問題となっている可能性があります。ステップNO.6進みます。

 

例6.) Traps Explorer によるEPMの設定確認

TrapsExplorer.PNG

> Traps Explorer は以下のURLよりダウンロード可能です。

https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-View-and-Manage-the-Traps-Client-Polic...

 

 

NO.6 Traps の全コンポーネントに対して有効化、無効化の切り分けを行います。

問題を発生させている可能性のある機能およびコンポーネントを特定するために、 Traps の各機能(a.~d.)およびコンポーネント(e.)の無効化を行います。この作業には以下が含まれます。

 

a.Malware protection Module の無効化

b.Restriction policyの無効化

c.WildFireの無効化

d.Local Analysis の無効化

e.Traps の各サービスの無効化 および 各ドライバーの無効化 (Cytool によって実施します。)

 

これらの切り分けによって特定のコンポーネントが特定できた場合:

ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。

 

・サポートファイル(エージェントおよびESMサーバー)

・現象発生時のETLログ

・現象が確認できる画面ショット等

 

解決しない場合(Trapsのコンポーネントが特定できない場合)

ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。

また、可能であればステップNO.7 以後を追加でご実施ください。

※上記と同様です。

・サポートファイル(エージェントおよびESMサーバー)

・現象発生時のETLログ

・現象が確認できる画面ショット等

 

NO7. Process Explorer による Injection 有無の確認

Process Explorer ツールにより、何らかの他社製品に関連する .dll ファイルが追加で読み込まれていないかを確認します。(例7.) 存在していることが確認できた場合は設定を無効化して読み込まれないようにするか、ソフトウェア自体をアンインストールして追加の Injection (DLLのプロセスへの注入)がされないようにします。

 

他社製品の Injection の除外によって解決した場合: ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。

 

・詳細な切り分けのステップ情報

・サポートファイル(エージェントおよびESMサーバー)

・正常に動作している際のプロセスのメモリダンプ

・問題が発生している際のプロセスのメモリダンプ

・現象が確認できる画面ショット等

 

存在が確認できない場合あるいは取り除いても解決しない場合:

ステップ NO.8に進みます。

 

例7.) Process Explorer による確認

Injection.PNG

> Process Explorer は以下よりダウンロード可能です。

https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx

 

NO8. Long Hooksの設定 :

Long Hooks の設定についてはこちらをご参照ください。

Long Hooks の設定によって解決した場合:

ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。

 

・詳細な切り分けのステップ情報

・サポートファイル(エージェントおよびESMサーバー)

・正常に動作している際のプロセスのメモリダンプ

・問題が発生している際のプロセスのメモリダンプ

・現象が確認できる画面ショット等

 

解決しない場合:

ご実施頂いた切り分けの内容を含めて上記、解決した場合と同様の情報をお寄せください。

 

以上となります。

 

 

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
10/10
最終更新:
‎06-01-2017 12:10 AM
更新者:
 
寄稿者: