ナレッジドキュメント

概要: Traps 環境にウイルス対策ソフトウェアを導入して利用する場合に、ウイルススキャンの除外設定を行うべきパスについて記載いたします。 再検知あるいは競合等の予期しない問題を避けるためにこれらの項目の除外設定をご実施ください。   対象とする Traps のバージョン: Traps Version 3.4.x ,4.0.x, および 4.1.x.   設定: A. cyinjct.# (Trapsエージェント) C:\windows\temp\フォルダに存在します。 (#)は数字になります。 WildCard指定が出来ることを前提とした場合、C:\windows\temp\cyinjct.* のような形式で除外の指定を行ってください。   B. DLL ファイル(Trapsエージェント) "system32" および "sysWOW64" (64 Bit OSの場合) フォルダに存在します。 a. Cyvrtrap.dll (system32 および SysWOW64) b. Cyverau.dll (system32 および SysWOW64) c. Cyvera.dll (system32 および SysWOW64) d. Cyinjct.dll (system32 および SysWOW64) e. ntnativeapi.dll (system32 および SysWOW64)   C. パスによる除外 (TrapsエージェントおよびESMサーバー) a. C:\Program Files\Palo Alto Networks* b. C:\ProgramData\Cyvera* ※ ESMサーバーの場合、ESM Consoleインストール時に指定したフォレンジックフォルダを除外してください。 既定のパスは以下です。 C:\Program Files\Palo Alto Networks\Quarantine\*   D. SQL サーバーの除外設定 SQL Server のバージョンやインストール時に指定したインスタンス名により、フォルダ名が異なります。   a. SQL Server データベース C:\Program Files\Microsoft SQL Server\MSSQL<バージョン ナンバー>.<インスタンス名>\MSSQL\DATA b. SQL Server ログファイル C:\Program Files\Microsoft SQL Server\MSSQL<バージョン ナンバー>.<インスタンス名>\MSSQL\Log ※ 必要に応じて以下の拡張子についても追加で除外してください。データベースファイル及びログファイルを含みます。 MDF LDF   以上となります。
記事全体を表示
hsasaki ‎02-12-2019 04:32 PM
10,521件の閲覧回数
0 Replies
1 Like
SQL Server を サーバー/CAL モデルで購入した場合に必要となる CAL についてご説明いたします。   * サーバー/CAL モデル 稼働するサーバー数分のサーバー ライセンスと、そのサーバーにアクセスするユーザーまたはデバイスの数の CAL を購入するライセンス モデルです。 上記のモデルの場合、Traps では 接続先データベース毎に ESM Core と ESM Console のそれぞれ1つの CAL が必要です。 また、マルチプレキシング (多重化) のコンセプトにより、Traps エージェントについても CAL が必要となります。 例えば、1つの Traps 用のデータベースに対して ESM Core を2つ、ESM Console を1つインストールして利用する場合、合計で3つの CAL が必要となります。上記に加えて展開する Traps エージェント毎に CAL が必要となります。 ご注意いただけますようよろしくお願いいたします。 (参考) SQL Server のライセンスモデルについては以下のページをご参照ください。 > SQL Server 2014 https://www.microsoft.com/ja-jp/Licensing/product-licensing/sql-server-2014.aspx > SQL Server 2012 https://www.microsoft.com/ja-jp/server-cloud/local/sqlserver/2012/howtobuy/default.aspx マルチプレキシング (多重化) については以下のページをご参照ください。 > マルチプレキシング (多重化) - クライアント アクセス ライセンス (CAL) の要件 https://www.microsoft.com/ja-jp/Licensing/learn-more/brief-multiplexing-CALs.aspx   SQL Server の CAL についての詳細は、マイクロソフト、またはマイクロソフトライセンスの販売代理店にお問合せください。
記事全体を表示
hsasaki ‎06-07-2017 08:00 PM
6,879件の閲覧回数
0 Replies
概要: Traps が記録するログのレベルを最も詳細なレベルである "Trace" に変更する手順を記載いたします。 "Trace" に変更を行うことで既定のレベルでは記録されない、調査に有効なデータを記録できるケースがあります。 この方法は ESM Core および Traps エージェントで共通です。   ※注意事項※ "Trace" レベルに変更を行うと既定の "Debug" レベルに比べて数倍以上のログが記録されます。 採取後は本手順に記載の通り、必ず既定のレベルである "Debug" に戻してください。   対象とする Traps のバージョン: Traps Version 3.4.x   手順:   1. ログレベルを変更する対象の ESM Core あるいは Traps エージェントにログインします。   2. インストールパス配下に存在する "CyveraServer.exe.nlog" の編集を行うために以下のフォルダを開きます。   > 既定のパス ESM Core の場合: C:\Program Files\Palo Alto Networks\Endpoint Security Manager\Server Traps エージェントの場合: C:\Program Files\Palo Alto Networks\Traps 3. 編集を行う前に、念のため "CyveraServer.exe.nlog" ファイルをコピーしてバックアップしておきます。   4. "CyveraServer.exe.nlog" ファイルをテキストエディタで開きます。   5. 以下の項目を見つけます。    <logger name="*" minlevel="Debug" writeTo="file" />   ※"CyveraServer.exe.nlog" の例   6. minlevel="Debug" を minlevel="Trace" に変更します。   変更前:  <logger name="*" minlevel="Debug" writeTo="file" /> 変更後:  <logger name="*" minlevel="Trace" writeTo="file" />   7. ファイルを上書き保存します。サービスの再起動等は必要ありません。   8.  Traps が新しいログレベルでデータを記録するまでにしばらく(数十秒程度)待ちます。 必要に応じて "C:\ProgramData\Cyvera\Logs" フォルダに存在するログを開き、"Trace" レベルでのログ記録が開始されたことを確認してください。   ※ 記録される Trace ログの例   9. 事象の再現を行い、ログの記録を行います。   10. 事象の再現が完了した後に、再度ログレベルを "Debug" に戻してファイルを上書き保存します。   変更前:  <logger name="*" minlevel="Trace" writeTo="file" /> 変更後:  <logger name="*" minlevel="Debug" writeTo="file" />   11. Support ファイルの取得によりログを採取してご提供ください。    手順は以上となります。
記事全体を表示
hsasaki ‎06-07-2017 07:56 PM
6,663件の閲覧回数
0 Replies
概要: Traps エージェントのコンソールの Check-in now[ 今すぐチェックイン] をクリックすると、ポリシーを即座に更新するようリクエストすることができます。この操作により、Traps エージェントはハートビート期間が終了するまで待つことなく、ESM サーバーから最新のセキュリティポリシーを要求します。 Traps エージェントのチェックインの操作についてはコマンドラインでも行うことができます。   対象とするTrapsのバージョン: Traps 3.4.x   内容: チェックインの操作をコマンドラインで行う方法は以下の通りです。   1. コマンドプロンプトより、Traps エージェントがインストールされているパスに移動します。 ※既定のパスは以下です。 C:\Program Files\Palo Alto Networks\Traps   2. 以下のコマンドを実行します。 CyveraConsole.exe updatepolicy   以上で完了です。 ※コマンド実行後に結果等は表示されません。  
記事全体を表示
hsasaki ‎06-06-2017 06:48 PM
6,715件の閲覧回数
0 Replies
概要: Traps エージェントの動作に起因して Windows Update の適用に失敗するケースが確認されています。 本稿では事象発生時に確認するべき点を記載しています。   ※ Windows Update による更新プログラムの適用時に発生する問題の要因は様々であるため、一概に Traps の保護に関連して発生しているとは申し上げられせん。最終的に Traps エージェントのアンインストールあるいは Disable All Protection 実施後にも問題が発生する場合は Windows Update そのものの別の要因による問題と考えられます。   対象とするTraps のバージョン: Traps Version 3.4.x   内容: Traps エージェントのインストール後に Windows Update に失敗した場合、以下の点をご確認ください。   A.) 発生状況および発生台数の確認 ============================= 発生頻度(毎回失敗するか)、特定のKBに対して失敗するか等の状況及び特定のコンピューターで発生しているかなどの状況をご確認ください。   B.) 以下の2つの条件の有無(重要) ============================= 以下a. および b.2つの内、いずれかに該当している場合、問題が発生する可能性があります。   a. “poqexec.exe” の保護状態 “poqexec.exe“(Windows OS ネイティブのシステムプロセスの一部) がEPM によって保護(Protect) された状態の場合 EPMによる Injectionそのものによって Windows Update に問題が発生することが確認されております。 当該プロセスに対して Protect となっている場合は Unprotected とした上で再度ご実施ください。 * “poqecec.exe” は既定では保護されておりません。   b.“wuauclt.exe” に対するUASLRの設定状態 “wuauclt.exe” (Windows Update module)に対して UASLR が有効となっている場合に、Windows Update による更新プログラムの適用が失敗するケースが確認されています。当該プロセスに対して UASLR が有効となっている場合は無効化した上で再度ご実施ください。   a.“poqexec.exe” の保護状態の確認 b. “wuauclt.exe” に対するUASLRの設定状況の確認 (Traps Explorerを利用)     C.) 最新の Content Update 適用による発生有無 ============================= Content Update の適用状況をご確認いただき、可能であれば最新の Content Update を適用して 発生有無をご確認ください。   D.) Default Policy での発生有無 ============================= 可能であればDefault Policy での発生有無をご確認ください。 難しい場合はE.をご実施ください。   E.) Traps エージェントに対する Disable All EPM Injection および Disable All Protection での発生有無 ============================= Disable All Protection での発生有無 Disable All EPM Injection を全プロセスに対して実施した場合の発生の有無   以上となります。
記事全体を表示
hsasaki ‎06-01-2017 06:46 PM
6,402件の閲覧回数
0 Replies
概要: 本稿では Traps と他ベンダー製品との互換性によって発生する問題を切り分けるための基本的なガイドラインを記載しています。切り分けのプロセスは、多数のステップを含み非常に時間を要する可能性があります。 以下に記載するチェックリストはこれらのプロセスをガイドラインとして示したものです。 これらの手順に沿った切り分けを実施頂き、併せて弊社サポートにお問合せください。   対象とする Traps のバージョン: Version 3.4.x   手順: NO1. セキュリティ関連ソフトウェアのインストール有無の確認 存在する場合は一時的にそれらのソフトウェアの機能を停止/無効化します。   解決した場合: 問題の根本的な要因はそれらのソフトウェアとの互換性によるものと想定されます。 回避策等の有無については必要に応じて弊社サポートにお問合せください。 ソフトウェアを再度有効にしてステップ2に進みます。   解決しない場合: ステップNO.2に進みます。   NO2. Cytool による Service Protection (SPROT) の設定確認 下記の例1.)のように、全ての項目が “Disabled” となっていることを確認します。   無効化されている場合: ステップ NO.3に進みます。有効化されている場合は一旦ESM コンソール側で当該コンピューターの Service Protection のポリシーを無効化したルールを作成した上で設定を反映させます。   Service Protection の無効化により解決した場合: Cytoolコマンドを使用して、Service Protection の各コンポーネント(Process /Registry/File/Service)を一つずつ 有効化して問題の発生有無を確認します。コマンド例2.) 本コマンドは Traps のポリシールールを上書きします。 ※ 設定を既存のポリシーに基づいた設定に戻すためには例3.)のコマンドを実行します。   例1.) cytool protect policy Enter supervisor password: Protection     Mode           State Process         Policy         Disabled Registry       Policy         Disabled File           Policy         Disabled Service         Policy         Disabled   例2.) コマンド形式: cytool protect [enable|disable] <feature> File 保護を有効化する場合 cytool protect enable file   例3.) コマンド形式: cytool protect policy <feature> File 保護をPolicyベースに設定する場合 cytool protect policy file   ※ Cytoolの利用方法については以下のドキュメントをご参照ください。 https://www.paloaltonetworks.com/documentation/34/endpoint/endpoint-admin-guide/troubleshooting/cytool   特定のコンポーネントでの発生有無が確認された場合には、それらの詳細情報および ETL ログを含む Tech Support File を取得した上で弊社にお問合せください。 ※ 可能な場合には現象発生時および正常動作時の Process Monitor によるログを取得してください。 > Process Monitor は以下よりダウンロード可能です。 https://technet.microsoft.com/ja-jp/sysinternals/processmonitor.aspx   Service Protection の無効化によって解決しない場合: ステップNO.3に進みます。   NO3. Traps による保護の完全無効化 Cytool.exeコマンドおよびコンピューターの再起動を実施してすべての保護を無効にします。コマンド例4.)   完全無効化によって解決した場合: ステップNO.4に進みます。   完全無効化によって解決しない場合: 問題はTrapsに関連していない可能性が高いです。現象の発生状況、経緯をご確認ください。また必要に応じて弊社にお問合せください。   例4.) 実行中の Traps コンポーネントの全停止: cytool runtime stop Enter supervisor password: Service         State cyverak         Stopped cyvrmtgn       Stopped cyvrfsfd       Stopped cyserver       Stopped CyveraService   Stopped tlaservice     Stopped   コンピュータースタートアップ時のTrapsコンポーネントの全無効化: cytool startup disable Service         Startup cyverak         Disabled cyvrmtgn       Disabled cyvrfsfd       Disabled cyserver       Disabled CyveraService   Disabled tlaservice     Disabled   NO4. Injection の完全無効化 (Disable All EPM Injection) ESM管理コンソールすべてのプロセスに対するEPM の Injectionを無効化するポリシーを作成してエージェントに適用します。   Disable All EPM Injection によって問題が解決された場合: 特定のアプリケーションに関して問題が発生している場合は、それらのアプリケーションに関連するプロセスに対してDisable All EPM Injection の設定を行い、EPMの保護対象のプロセスを除外します(最終的な回避策となる場合があります)。プロセスの分離によって、最終的に問題が解決された場合はステップ5に進みます。   Disable All EPM Injection によって問題が解決しない場合: ステップNO.6に進みます。   例5.)Disable All EPM Injection の設定   NO5. Injection の有効化および EPM の切り分け EPMの Injection自体は有効化した上で、問題発生時に有効化されていたEPMを一つづつ無効化/有効化して問題の発生有無を確認します。 コンピューターにどのEPMが有効化されて設定されているかは Traps Explorer ツールを利用して確認することも可能です。(例6.)   (補足) 過去の事例では DLL Sec および UASLR に起因して発生していたケースが多いです。 よって、はじめの段階ではこれらのEPMに対して無効化の切り分けをご実施頂くことを推奨いたします。   特定のEPMによって問題が発生することが確認できた場合: ステップNO.7に進みます。   特定のEPMの無効化で解決しなかった場合あるいは特定できなかった場合: Injection そのものあるいは他の機能、コンポーネントが問題となっている可能性があります。ステップNO.6進みます。   例6.) Traps Explorer によるEPMの設定確認 > Traps Explorer は以下のURLよりダウンロード可能です。 https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-View-and-Manage-the-Traps-Client-Policy-on-the-Endpoint/ta-p/75549     NO.6 Traps の全コンポーネントに対して有効化、無効化の切り分けを行います。 問題を発生させている可能性のある機能およびコンポーネントを特定するために、 Traps の各機能(a.~d.)およびコンポーネント(e.)の無効化を行います。この作業には以下が含まれます。   a. Malware protection Module の無効化 b. Restriction policyの無効化 c. WildFireの無効化 d. Local Analysis の無効化 e. Traps の各サービスの無効化 および 各ドライバーの無効化 (Cytool によって実施します。)   これらの切り分けによって特定のコンポーネントが特定できた場合: ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。   ・サポートファイル(エージェントおよびESMサーバー) ・現象発生時のETLログ ・現象が確認できる画面ショット等   解決しない場合(Trapsのコンポーネントが特定できない場合): ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。 また、可能であればステップNO.7 以後を追加でご実施ください。 ※上記と同様です。 ・サポートファイル(エージェントおよびESMサーバー) ・現象発生時のETLログ ・現象が確認できる画面ショット等   NO7. Process Explorer による Injection 有無の確認 Process Explorer ツールにより、何らかの他社製品に関連する .dll ファイルが追加で読み込まれていないかを確認します。(例7.) 存在していることが確認できた場合は設定を無効化して読み込まれないようにするか、ソフトウェア自体をアンインストールして追加の Injection (DLLのプロセスへの注入)がされないようにします。   他社製品の Injection の除外によって解決した場合: ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。   ・詳細な切り分けのステップ情報 ・サポートファイル(エージェントおよびESMサーバー) ・正常に動作している際のプロセスのメモリダンプ ・問題が発生している際のプロセスのメモリダンプ ・現象が確認できる画面ショット等   存在が確認できない場合あるいは取り除いても解決しない場合: ステップ NO.8に進みます。   例7.) Process Explorer による確認 > Process Explorer は以下よりダウンロード可能です。 https://technet.microsoft.com/en-us/sysinternals/processexplorer.aspx   NO8. Long Hooksの設定 : Long Hooks の設定についてはこちらをご参照ください。 Long Hooks の設定によって解決した場合: ご実施頂いた切り分けの内容を含めて以下のデータを採取した上で弊社までお問合せください。   ・詳細な切り分けのステップ情報 ・サポートファイル(エージェントおよびESMサーバー) ・正常に動作している際のプロセスのメモリダンプ ・問題が発生している際のプロセスのメモリダンプ ・現象が確認できる画面ショット等   解決しない場合: ご実施頂いた切り分けの内容を含めて上記、解決した場合と同様の情報をお寄せください。   以上となります。    
記事全体を表示
hsasaki ‎06-01-2017 12:10 AM
8,139件の閲覧回数
0 Replies
概要: Traps の Injection に起因して互換性の問題が発生する場合、Long Hooks の設定を有効化することで問題が解決される見込みがあります。Long Hooks はTrapsの Injection 対象のメモリ位置を変更し、他の製品と共存して動作することを可能にします。 ※本手順は問題の切り分けの一種としてご紹介するものです。   対象とするTrapsのバージョン: Traps Version 3.4.x   手順:   A.) レジストリの直接編集による設定(推奨) ====================================  1.) 切り分けを行う対象のコンピューターで次の値を変更してレジストリを編集します。 HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\GENERIC\LongHooks を1に設定します。 2.) その後、エンドポイントを再起動します。 設定を行うコンピューターがESMサーバーへ通信できる状態の場合、ポリシー取得により、設定が無効化されます。従って、Windows ファイアーウォールあるいは経路上のネットワーク機器等で通信を無効化した状態で設定を行う必要があります。   B.) ポリシールールによる設定 ==================================== 以下のSQLクエリをTraps のデータベースに対して実行します。 ---- update EpmSettings set value='true' where epmkey like '%longhook%' and RuleAction_id in (select ra.Id from EpmSettings es, RuleAction ra, Rules r where es.RuleAction_id = ra.Id and r.PolicyAction_id = ra.Id and epmkey like '%longhook%' and State != 'Historic' and name like 'default%') ---- 2. 続いて以下のクエリを Traps のデータベースに対して実行します。エージェントに設定を反映するためにキャッシュカウンターの値を更新します。  ---- update CacheCounter set value = Value + 1 where Category = 0  ----   3. エージェントに設定が反映されているかを確認するために、C:\ProgramData\Cyvera\LocalSystem 配下に存在する ClientPolicy.xml を開きます。   4. “Generic.LongHooks” を検索し、値が存在していることおよび value が “True”となっていることを確認します。 ※LocalSystem フォルダに対するアクセスが拒否された場合は Service Protection が有効化されていることを示します。この場合は一旦 Service Protection を無効化する必要があります。   <ご注意いただきたい点> ※ B.)の方法の場合、全エージェントを対象に設定が反映されます。   以上となります。  
記事全体を表示
hsasaki ‎05-31-2017 11:59 PM
8,118件の閲覧回数
0 Replies
概要: ETL (イベントトレースログ) は Traps の動作を詳細に記録するためのものです。 標準のサービスログには問題が記録されない場合には本データを採取することで有用な情報が取得される見込みがあります。例えば、他社製品との互換性の問題(EPM 保護対象のプロセスの動作に問題が発生する)や Traps の導入後に特定の操作でプロセスがクラッシュするようになった等の問題を調査するために有効な情報です。 本稿では ETL の取得手順を説明いたします。   ※ ETL はバイナリ形式で記録されます。採取した ETL についてはユーザー様側でデコード、閲覧することはできません。調査をご要望の際には弊社のサポートまでお問合せください。   対象とする Traps のバージョン: Traps Version 3.4.x   手順:   A.) ETL の採取開始 --------------------------------------------- 1. ETL 取得対象のコンピューターにログインします。   2. コマンドプロンプトを開きます。   3. Traps インストールフォルダーへ移動します。 (デフォルトパス: C:\Program Files\Palo Alto Networks\Traps)   4. 下記のコマンドを実行します。 cytool log start * Verbose <Log_size> (log_size*1024KB)   >例 cytool log start * Verbose 500   * 上記例は 500MB の場合です。記録されるデータの容量は環境および利用状況によって大幅に変化します。 例えば、問題を再現させた後にログの記録を停止した結果、設定したデータ容量と同様のログファイルが記録されている場合は既に現象発生前後のデータが上書きされている可能性があります。この場合にはログサイズを増やした上で再度データを取得してください。 * 実施前に、ディスクに十分な空き領域があることをご確認ください。 * Log_size で指定した容量を超えた場合にはデータはローテーションされ上書きされます。   5. Traps アンインストールパスワード を入力します。データ採取が開始されます。   B.) 現象の確認と ETL の採取停止 --------------------------------------------- 1. 現象を再現させます。 現象再現にコンピューターの再起動が必要な場合には、再起動後に問題が発生したことを確認した上で ETL 採取を停止します。   2. 下記のコマンドを実行し、ETL のログ出力を停止します。 cytool log stop   3. ログは "%PROGRAMDATA%\Cyvera\Logs\" パス内に以下のような名称で記録されます。   >名称 native.<Version>.<Build>.etl   ※ 再現手順にOSの再起動が含まれている場合、以下のような追加のログが記録されます。 native_autolog.3.4.3.19949.etl.001 C.) サポートファイルの取得 --------------------------------------------- GetLogsUtil、Send Support File(サポートファイルの送信) または One Time Action(OTA)を使用してログを収集します。以下は Traps エージェント上で GetLogsUtil を利用してデータを採取する手順です。   1. コマンドプロンプトを起動します。   2. Traps インストールフォルダーへ移動します。 (デフォルトパス: C:\Program Files\Palo Alto Networks\Traps)   3. 下記のコマンドを実行します。 GetLogsUtilAgent C:\temp   4. C:\temp フォルダに、ログファイルの圧縮データが作成されます。 ETL のログは他のデータと併せてサポートファイル内に含まれます。     以上となります。   
記事全体を表示
hsasaki ‎03-06-2017 11:38 PM
4,034件の閲覧回数
0 Replies
概要: ESM コンソールの Hash Control のページでは、あらかじめ用意された Hash 情報をファイルベースで取り込む("Import Hashes") ことが可能です。本記事ではその手順を説明いたします。   対象とする Traps のバージョン: Traps Version 3.4.x   事前準備: 事前に登録対象の実行ファイル名および SHA 256 形式のハッシュの対応情報をサードパーティー製のツール等により取得してください。本例ではそれらの情報を元に Excel を利用してESM に登録可能なフォーマットでファイルを作成します。   手順:   1. ) 初めに Excel でブランクのシートを1つ用意します。       2.)  1行目に次の 2つの列を追加します。 列:A に "Path" を追加  ( "二重引用符" なし ) 列:B に "SHA256" を追加 ( "二重引用符" なし)     3.) この2つのカラムに登録対象の実行ファイル名およびハッシュ情報を入力します。 ------------------------------------ Path = 実行ファイル(プロセス)名 SHA256 = ハッシュ情報 ------------------------------------   データをコピーペーストするか、あらかじめ用意されたデータを "外部データの取り込み" によって取り込みます。    4.) 入力済みのセルを選択した上で 右クリック -> "セルの書式設定" を行います。   5.)  セルの書式設定のダイアログで、[ユーザー定義] の [種類] に  !"@!"  を入力します。     6.) セルの書式設定を行うと以下のように""で囲まれた状態になります。ファイルを保存します。 保存形式は CSV 形式とします。       7.) ESM コンソールを開き、 Hash Control のページから "Import Hashes" を選択します。   8.)  Import hashes only (Recommended) を選択した上で "Browse" をクリックして、登録対象のファイルを選択して、 "Upload" ボタンをクリックします。     9.) ハッシュが正常にインポートされた旨のダイアログが表示されます。[OK]をクリックします。 ※ファイルフォーマットや記述内容に問題がある場合はエラーが表示されます。     以上となります。
記事全体を表示
hsasaki ‎02-27-2017 08:57 PM
3,536件の閲覧回数
0 Replies
  概要: 本記事では ESM サーバーの Tech Support ファイルを分析することで Traps エージェントのハートビートの間隔およびポリシールールを特定する方法を記載します。 ハートビートの間隔が短い (10分 あるいは 3分等) ことで、ESM サーバーのリソース消費(CPU 及び メモリ)に著しい影響を与えるケースがあります。テスト目的等で作成した設定が残存していることで予期しない影響を招く場合があります。短いハートビート間隔は、Traps エージェントの台数が比較的少ない場合はパフォーマンスに大きな影響は発生しません。しかしながら、Traps エージェントの展開台数の規模によっては ESM サーバーに予期しない負荷に至るケースがあります。   ※ Traps エージェントのハートビートは Traps エージェント自身が稼働中であることをESM サーバーに報告することのみならず、ESM サーバー側に存在する最新のポリシーの要求、ライセンスの有効性確認等、様々な処理が行われます。そのため、この間隔が短いことで ESM サーバー側の処理負荷を招く可能性があります。 通常の利用環境下ではハートビートの間隔はデフォルトのポリシーである 60分 を使用することを推奨いたします。   対象とする Traps のバージョン: Version 3.4.x   手順:   A.) ESM サーバーのログ分析 ================================ 初めに ESM サーバーで採取した Tech Support ファイルのサービスログよりハートビートの動作を確認します。 ESM サーバーで取得した Tech Support ファイルを展開すると、さらに "Core_<コンピューター名>.zip" および "Console_<コンピューター名>.zip" の2つのファイルが展開されます。 それぞれの zip ファイルを展開してください。 ESM サーバーのサービスログ (ファイル名: Server_<コンピューター名>.log) は Core 側の Logs フォルダに存在します。 これらの ログより、ある Traps エージェントのマシン名を選択し、そのハートビートの間隔を調べます。 これは ハートビートセッションが 2回発生している間の時間差を測ることで判明します。   ログ内の次の文字列を探します。これはESMサーバーがTrapsエージェントのコンピューターからハートビートを受け取り、処理を終了したことを示します。これが1回のハートビートセッションとなります。   -------------- Started handling HeartbeatEx call from machine Finished handling HeartbeatEx call from machine --------------    次の例では、2つのエージェント("CLIENT1" および "CLIENT2") のハートビートの間隔が3分であることが判ります。 通常利用環境において 3分は短すぎる値です。   >ログの例 ※ Started および Finished の間には実際に行われた処理を示すログが記録されます。(本例では割愛) -------------- 2017-01-26 14:06:56.8055 DEBUG CyveraServer 104 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT1 2017-01-26 14:06:56.9303 DEBUG CyveraServer 104 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT1 2017-01-26 14:09:56.7795 DEBUG CyveraServer 146 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT1 2017-01-26 14:09:56.8107 DEBUG CyveraServer 146 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT1 2017-01-26 14:09:59.4473 DEBUG CyveraServer 209 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT2 2017-01-26 14:09:59.4785 DEBUG CyveraServer 209 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT2 2017-01-26 14:12:59.4575 DEBUG CyveraServer 122 Cyvera.Server.Facades.ClientServices Heartbeat Started handling HeartbeatEx call from machine CLIENT2 2017-01-26 14:12:59.6603 DEBUG CyveraServer 122 Cyvera.Server.Facades.ClientServices Heartbeat Finished handling HeartbeatEx call from machine CLIENT2 --------------   B.) ユーザー定義のポリシールールの確認 ================================ ESM サーバーの Tech Support ファイルにはデータベース上に存在する各種情報を出力した結果も含まれます。 これらのファイルは Console 側フォルダの "DBQueries" フォルダの内に存在します。     "DBQueries" フォルダを開きます。       "Active_user_rules.csv" には、Traps 環境において Active となっているユーザ定義の全ルールが含まれています。 テキストエディタ等でファイルを開き、"HeartBeat" の文字列を検索します。   例えば以下のルール(ID 3645)には、ユーザーが定義したハートビート設定のルールが存在していることが判ります。 ------------------- 3645 Agent Setting - 2017/02/22 14:38 Agent settings: Heartbeat interval have been set on all computers where CLIENT1 and CLIENT2 included True Active EndPointSettings 0 -------------------   本ルールが意図して作成されたものか、あるいは値は意図したものかを確認した上で必要に応じてルールを編集、削除あるいは無効化してハートビートの値を修正します。   以上となります。  
記事全体を表示
hsasaki ‎02-22-2017 10:50 PM
2,720件の閲覧回数
0 Replies
概要: 本記事では Traps エージェントのコンソール (Traps Console) の表示言語の設定が保持される場所について説明します。   対象とするTrapsのバージョン: Version 3.4.x   説明: Traps Console の表示言語は [設定] メニュー内の "インターフェイスの表示言語を選択:" で変更することが可能です。    Traps Console が使用している表示言語の設定はレジストリ上に保持されます。 ---------------------------------------------------- レジストリパス: [HKEY_CURRENT_USER\Software\Palo Alto Networks\Traps] 値:Localization ----------------------------------------------------    設定される値は以下のいずれかとなります。 ---------------------------------------------------- 1.en-US (英語) 2.de-DE (ドイツ語) 3.es-ES (スペイン語) 4.fr-FR (フランス語) 5.ja-JP (日本語) 6.zh-CN (簡体字中国語) 7.zh-TW (繁体字中国語) ----------------------------------------------------   なお、本設定をESMサーバー側から変更することはできません。   以上となります。  
記事全体を表示
hsasaki ‎02-14-2017 05:56 PM
3,000件の閲覧回数
0 Replies
概要: 本記事では、PowerShell コマンドを使用して、Traps エージェント側のコンピューターから ESM サーバーの Forensic フォルダに任意のファイルをアップロードすることによって、基本的なBITS 接続をテストする方法を記載します。 これにより、Traps エージェントを介在させることなく ESM サーバーへの BITS 接続を簡単にテストできます。   ※ BITS は、アイドル状態のネットワーク帯域幅のみを使用して、インターネット経由でファイルを転送するように設計された Windows OS 上のファイル転送サービスです。Traps ではフォレンジックデータおよびサポートファイルのESMサーバーの送信のために本サービスを利用します。   対象とするTrapsのバージョン: Version 3.4.x   事前準備: 1. Forensic フォルダの URL は ESM コンソールの次の箇所で設定します。 [Settings] タブ -> [ESM] -> [Settings] -> [Forensic Folder URL]   2. BITS (Background Intelligent Transfer Service) がテストを行うエージェント側のコンピューターで開始していることを確認します。     3. Forensicフォルダの物理パスは、ESMサーバーの IIS マネージャーで構成されています。 ESM サーバーのコマンドラインから管理者として "inetmgr"を開き、[サイト] -> [Default Web Site] -> [BitsUploads] をクリックします。続いて [操作] ペイン 内の [基本設定] をクリックします。 表示された "アプリケーションの編集" ダイアログ内の "物理パス" が実際の物理パスとなります。   4. 続いて、[アプリケーションプール] をクリックし、"ESMAppPool" が開始していることを確認します。 手順: 1.テストを行うエージェント側のコンピューターにログインし、PowerShell を管理者として実行します。   2.テキストファイルを作成します(例えば C:\ 配下に"test.txt" を作成します。)   3.コマンドの一般的なパターンは次のとおりです。 PS C:\Windows\system32> Import-Module BitsTransfer PS C:\Windows\system32> PS C:\Windows\system32> Start-BITStransfer -source '[test file full path]' -destination '[BITS URL/test file name]' -transfertype upload   4.コマンドを実行すると進行状況が表示され即座にアップロードが開始されます。   5.エラーが表示されない場合は、ファイルは ESM に正常に転送されています。 >実行例   7.ファイルがESMに正常にアップロードされている場合は、テストファイルが Forensic フォルダに存在していることが確認できます。     以上となります。
記事全体を表示
hsasaki ‎02-13-2017 10:00 PM
2,421件の閲覧回数
0 Replies
概要: 本記事では "Disable All Protection" (すべての保護を無効化) の設定を行った後に確認するべきポイント等を説明いたします。Trapsでは、"Disable All Protection" を設定することで、EPM によるTraps インジェクション 及びWildFire での検証等を含め、Traps の保護機能を全て無効化することが可能です。 Trapsの導入後に保護対象のコンピューターに何らかの問題が発生した場合や、Traps のポリシーの変更によって新たに問題が発生した場合には、本設定により問題の切り分けを行うことが可能です。   対象とするTraps のバージョン: Version 3.4.x   手順:  A.) Traps による保護を無効化する方法 ============================================== 1. ESM 管理コンソールより、"Disable All Protection" をクリックします。 [Policices] -> [Exploit Protection Module] あるいは [Malware] -> [WildFire]/[Restrictions]/[Restriction Modules] 内で表示されます。       2. 表示されたダイアログで "Yes" をクリックします。    ※ 設定は次回の Traps エージェントの ハートビート通信の際、更新されたセキュリティポリシーが反映されます。 設定は即座には反映されません。即座に反映する必要がある場合は Traps エージェント側で "今すぐチェックイン"をクリックして設定を反映してください。   3. 設定完了後は ESM コンソール内に Traps の保護が無効となっていることを示すメッセージが表示されます。     4. Traps エージェント側のコンソールは全ての保護が無効化された状態を示す表示に変化します。   TIPS: Traps エージェント側のサービスログには Disable All Protection の設定を受信したことを示す以下のログが記録がされます。 ----------------------------------------------------------------------------------------- 2017-02-12 16:21:34.5120 INFO CyveraService 15 Cyvera.Client.Service.Policy.PolicyManagerBase Policy Disabling protection on server request. -----------------------------------------------------------------------------------------   (補足) Disable All Protection の設定を行った場合でも、Traps エージェント側の Traps Service (CyveraService.exe) は起動した状態となります。 そのため、ハートビート及びポリシーの受信は引き続き実施されます。   B.) Traps による保護を有効化する方法 ============================================== Enable All Protection (すべての保護を有効化) をクリックします。 設定を有効化すると全てのポリシーが再度有効化されます。    ※ A.) 同様、設定は次回の Traps エージェントの ハートビート通信の際、更新されたセキュリティポリシーが反映されます。設定は即座には反映されません。即座に反映する必要がある場合は Traps エージェント側で "今すぐチェックイン"をクリックして設定を反映してください。        以上となります。  
記事全体を表示
hsasaki ‎02-12-2017 09:11 PM
2,598件の閲覧回数
0 Replies
セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。
記事全体を表示
ykato ‎09-16-2016 01:15 AM
14,004件の閲覧回数
0 Replies
日々変化するサイバー脅威のトレンドと、それに対抗する弊社セキュリティプラットフォームを使った多層化防御アプローチに関する資料となります。
記事全体を表示
ykato ‎06-19-2016 11:33 PM
8,831件の閲覧回数
0 Replies
ykato ‎05-31-2016 07:53 PM
8,667件の閲覧回数
0 Replies