【Trend Micro Cloud One Workload Security】変更監視の動作確認

記事タイトルとURLをコピーする

こんにちは。AWS CLIが好きな福島です。

今回は、変更監視の動作確認を以下ドキュメントを参考に実施しましたので、備忘録として、ブログに記載いたします。

参考:https://help.deepsecurity.trendmicro.com/20_0/on-premise/ja-jp/integrity-monitoring-set-up.html#Test

変更監視の動作確認

①ポリシーの設定は、以下ブログの「①ポリシーの作成」をご参考にしていただければ幸いです。

【Trend Micro Cloud One Workload Security】不正プログラム対策の設定および動作確認 - サーバーワークスエンジニアブログ

②変更監視の推奨設定を「はい」に変更します。

コンピューターレベルでポリシーを設定することもできますが、今回は、ポリシーレベルで設定を変更しました。

f:id:swx-fukushima:20210501182813p:plain

③コンピューターレベルでポリシーを確認します。

いくつか、ポリシーが割り当たっているおよび推奨設定が「継承(はい)」になっていることが分かります。 また、[1002773 - Microsoft Windows - 'Hosts' file modified]が割り当たっていることを確認します。

f:id:swx-fukushima:20210501183447p:plain

④対象のサーバにログインし、「Trend Micro Deep Security Notifier」をクリックします。

f:id:swx-fukushima:20210501164557p:plain

⑤タスクトレイに表示された「Trend Micro Deep Security Notifier」をクリックします。

f:id:swx-fukushima:20210501164725p:plain

⑥ステータスをサーバ側からも確認することができます。

f:id:swx-fukushima:20210501170226p:plain

⑦hostsファイルを変更します。

C:\Windows\System32\drivers\etc

f:id:swx-fukushima:20210501183541p:plain

⑧「変更の検索」をクリックします。

f:id:swx-fukushima:20210501184628p:plain

⑨少し待つと変更監視イベントに変更が検出されます。

f:id:swx-fukushima:20210501184839p:plain

補足

変更監視は、CPUの使用率が高いため、CPUの使用率を制限できる設定があります。 デフォルトは、高になっているため、必要に応じて、変更してください。

f:id:swx-fukushima:20210501184941p:plain

終わりに

無事に変更監視の動作確認ができました!

福島 和弥 (記事一覧)

SRE3課

2019/10 入社

AWS CLIが好きです。