Loading...

ナレッジセンター


Global Threat Intelligence File Reputation のインストール、およびポイント製品とGTI server の通信を確認する方法
技術的な記事 ID:  KB53733
最終更新:  2014/03/18
評価:


環境

McAfee Global Threat Intelligence File Reputation
McAfee SaaS Endpoint Protection 5.2 and later
McAfee VirusScan Enterprise 8.x

概要

ご使用中のコンピュータを Malware などの脅威から守るために、定義ファイルを最新の状態に保つことは非常に重要です。
GTI File Reputation が正しくインストールされ、ポイント製品と GTI server が通信ができているかを確認するための方法をにこちらでご確認ください。

動画チュートリアル

 

問題

 

システムの変更

 

原因

 

解決策 1

ArtemisTest.exe テストプログラム使用
GTI の動作確認をできるArtemisTest.zip ファイルはパスワードで保護され、 このドキュメントに添付されています。

c注意:

  • Password = password
  • この ArtemisTest.exe は無害で動作確認をするためのテスト用ファイルです。
  • Eメールに添付して送信した際、送信が誤ってブロックされないよう、ZIPファイルにはパスワードが付与されています。

ArtemisTest.zip 解凍後、オンアクセス/オンデマンドスキャンで、このファイル (ArtemisTest.exe) を使用してテストできます。

・オンアクセススキャン (OAS) テスト

  1. VSE または SaaS が起動していることを確認します。
  2. Windows Explorer からこのテストユーティリティを保存しているフォルダを開きます。
  3. ArtemisTest.exe をダブルクリックします。

    VSEまたはSaaSのエンドポイント製品でGTI File Reputationが有効となっている場合、ファイルの実行とアクセスがブロックされます。

  4. テストファイルの実行時にGTIサーバーへ接続されているかをコマンドラインから下記方法で確認してください:
    1. “スタート” → ”ファイル名を指定して実行” をクリックして、フィールド欄へcmdとタイプしてOKを押します。
    2. ArtemisTest.exe をダブルクリックで実行して オンアクセススキャンテストを実施します。
    3. コマンドプロンプトで ipconfig /displaydns を実行して、クライアント上のDNSキャッシュを表示します。
       

・オンデマンドスキャン (ODS )テスト

  1. VSE または SaaS が起動していることを確認します。
  2. Windows Explorer からこのテストユーティリティを保存しているフォルダを開きます。
  3. Click Start, Programs, McAfee.  “スタート” → ”すべてのプログラム” → “McAfee” をクリックします。
  4. (VSE)  “オンデマンドスキャン” からオンデマンドスキャンプロパティの表示後、開始ボタンを押してオンデマンドスキャンを実行します。
    (SaaS)  “Managed Services” → “McAfee Security-as-a-Service” をクリックしてコンソール起動後、”アクションメニュー” → “コンピュータをスキャン” を押してオンデマンドスキャンを実行します。

    GTIが動作している場合にはArtemisTest.exeが検出されてことを示すMalware検出メッセージが表示されます。
    またODSの設定によっては、このテストユーティリティをマルウェアとして削除や隔離などのアクションが実行されます。

    例:  ArtemisTest.exe を検出した際に以下のようなアラートが表示されることがあります:

    On-Access Scan Messages
    Message VirusScan アラート!
    Name: x:\path\Artemistest.exe
    Detected As: Artemis5DB32A316F07
    State: Deleted

解決策 2

GTI 接続性テスト
GTI File Reputation はインターネットもしくは社内に設置されたGTI Proxyサーバを介して、コンピュータとGTIサーバが通信できる環境を必要とします。
GTI対応のポイント製品とGTIサーバが通信することができることを確認してください。

nslookup を使用して、コンピュータがGTIサーバと通信できること確認してください。

  1. “スタート” → ”ファイル名を指定して実行” をクリックして、フィールド欄へcmdとタイプしてOKを押します。
  2. 下記コマンドをコピーしてコマンドプロンプトへ貼り付けて実行します。

    nslookup 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com

以下のようなレスポンンスがあることを確認します:

サーバー: <mylocaldnsserver.org>
Address: xxx.xxx.xxx.xxx

名前: 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com
Address: 127.0.0.8

接続失敗例:

サーバー:  UnKnown
Address:  xxx.xxx.xxx.xxx

*** UnKnown が 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com を見つけられません:
No response from server

VSCore 14.4.0.354.17あるいはそれ後のバージョンを使用して動作確認する場合、GTI File Reputationは avts.mcafee.com へDNSクエリを送信します。

注意: これは2013年01月22日のDAT更新から変更されました。

上記の変更は下記の製品バージョンに含まれています:

  • VirusScan Enterprise: VSE 8.8 Patch 1 および VSE 8.7 Patch 5
  • SaaS Endpoint Protection 5.2.3

GTI proxyを含む他のマカフィーの製品は、avqs.mcafee.com へGTI File Reputation クエリを送信します。

詳細につきましては、KB53782 - Global Threat Intelligence とスプリットDNS をご参照ください。

解決策 3

PDF lookup テスト
GTI の動作確認をできるArtemisPDF_test.pdf ファイルはパスワードで保護され、このドキュメントに添付されています。

注意:

  • Password = password
  • この ArtemisPDF_Test.exe は無害で動作確認をするためのテスト用ファイルです。
  • Eメールに添付して送信した際、送信が誤ってブロックされないよう、ZIPファイルにはパスワードが付与されています。

GTI が PDFファイルをチェックするために、以下の条件を満たさなければなりません:

  • GTI file reputation のレベルを”中(MEDIUM)”以上に設定する必要があります。詳細は KB70130 をご参照ください。
  • PDFファイルを使って動作確認するには、WebブラウザもしくはEメールクライアントからディスクへの読み込み、もしくは書き込みを実施する。

回避策

 

添付ファイル 1

ArtemisTest.zip
126K • < 1 minute @ 56k, < 1 minute @ broadband


添付ファイル 2

ArtemisPDF_Test.zip
6K • < 1 minute @ 56k, < 1 minute @ broadband


以前のドキュメント ID

AR13110602

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.