0 返信 最新の回答 日時: Oct 20, 2014 3:07 AM ユーザー:jfurukaw

    【TIPS】ePOのクエリでVSEで実行したODSの開始を確認する方法

    jfurukaw

      こんにちは
      マカフィーテクニカルサポートセンターです。

       

      今回はテクニカルサポートへもご質問がある、ePolicy Orchestrator (ePO)上で

      クライアントのオンデマンドスキャン (ODS) が特定の日時に正しく開始されたか

      どうか確認する方法についてご紹介いたします。

       

      クライアント側から送信される ODS タスク開始のイベント(1202) をePolicy Orchestrator の

      クエリで確認すれば、クライアント側でODS が開始されたかどうかを ePO から確認することが

      可能となります。ODS が正常に開始できているかをチェックすることにより、管理されている

      クライアントがセキュリティレベルを確保できているかの確認が可能ですので、是非この機会に

      ご活用ください。

       

      ※注意

      ODSのイベント(1202:オンデマンドスキャンが開始されました、1203:オンデマンド

      スキャンが完了しました)は、実際に実行されたODSタスクとは紐づいておらず、

      単純にODSが開始された、または完了したタイミングでイベントが生成されます。

      クライアント側で手動でODSを実行した場合や、右クリックから「脅威のスキャン」

      機能を利用してスキャンを行った場合など、ePO から配備されたタスク以外の ODS の

      実行でもイベントが出力されます。そのため、申し訳ありませんが、個別のODS

      タスクについて、そのタスクの開始 / 完了 を ePO から確認することはできません。

       

      また、例えば、ODS が開始されて完了する前にOSをシャットダウンしたり、手動で

      キャンセルした場合は、完了のイベント(1203)が発行されません。そのため、

      開始イベントと完了イベントの数は必ずしも一致するものではない点について

      ご注意ください。

       

      なお、ご案内する手順は一例となります。任意でクエリの内容をカスタマイズし希望する

      情報が出力されるよう調整してご利用ください。

       

      【準備】

      まずクライアント側で ODS が開始/完了した場合、以下のようなスキャンが開始/完了した

      というイベントが発生します。今回紹介する手順では、このうち、開始イベント(1202)を

      ePO に送信するように設定することで、ePO のクエリでそのイベント情報をまとめて

      出力し ODS がクライアント側で開始したことを確認する手順をご紹介します。

       

      イベントID    内容

      1202 オンデマンド スキャンが開始されました

      1203 オンデマンド スキャンが完了しました

       

      ePOコンソールの[メニュー] - [設定] - [サーバの設定] - [イベントフィルター]を

      クリックします。[編集]をクリックし以下の項目についてチェックを入れて保存します。

       

      1202: オンデマンド スキャンが開始されました (情報)

      epo2-1.png

      ※上記設定を行った後、クライアントが ePO と通信をしたタイミングで設定が反映されます。

       

      【クエリ作成手順】

      以下の手順で収集した1202 の情報を収集するクエリを作成します。

       

      1. ePO コンソールの [クエリとレポート] 画面で[アクション] - [新規]をクリックします。

      epo2.png

      2. クエリを実行する対象を[イベント]とし[脅威イベント]を選択し次へ進みます。

      epo3.png

       

      3.[結果]を表示する形式を[テーブル]とします。

      epo2-2.png

      4.選択された列の項目では、以下の項目を追加して[次へ]をクリックします。

      ・イベントID ・・・イベントIDです。

      ・イベント受信時間     ・・・イベントがePOへ受信された日時です。

      ・イベント生成時間      ・・・イベントが発生した日時です。

      ・製品のホスト名の検出中・・・クライアントのホスト名です。

      ・製品のIPアドレスの検出中 ・・・クライアントのIPアドレスです。

      ・イベントの説明 ・・・イベントの内容が出力されます。

       ※この設定はクエリの実行結果で表示する列を設定します。任意で必要な情報を追加してください。

      epo2-4.png

       

      5.[使用可能なプロパティ]で[イベントID]を選択します。

       「 イベントID 同等 1202」と設定します。

       また、[使用可能なプロパティ]で[イベント生成時間]を選択し[の間]で確認したい日付(期間)を設定します。

      epo2-3.png

      6.[実行]をクリックし、イベント情報が出力されていることをご確認ください。

       イベント生成時間の列にあるタイミングでクライアント側でODSが開始されたことが確認できます。

      epo2-5.png

      7.表示された結果で問題ない場合は[保存]をクリックします。

       

      以上でクエリの作成は完了です。例として、手順5 のフィルタで

      「最後にある 1   週」というフィルタにすれば、過去1週間のうちに

      開始されたODS タスクを確認することができます。定期的に実行することで、

      クライアントが正常にODS を実行しているか確認することができます。

       

       

      【その他】

      ・英文となりますが、類似の情報として過去一週間以内に実行された ODS が完了した

      端末をクエリで確認する方法について以下KBで確認いただくことが可能です。

       

      [URL] How to create an ePO report for the event: 1203 (On-Demand Scan Completed)

      https://kc.mcafee.com/corporate/index?page=content&id=KB69428

       

      ・クライアント側で実行されるODSの動作やその仕組みについては、

      以下のURLでもご案内させていただいておりますので、参考情報としてご確認ください。

       

      [URL] 【TIPS】 VSE 8.8 オンデマンドスキャンについて

      https://community.mcafee.com/message/302509

       

      今後ともMcAfee 製品をご愛顧くださいますよう宜しくお願い致します。

       

      以上

       

      マカフィーテクニカルサポートセンター