0 返信 最新の回答 日時: Nov 4, 2014 1:54 AM ユーザー:jfurukaw

    【TIPS】ePOのクエリでVSEで実行したODSの完了を確認する方法

    jfurukaw

      こんにちは
      マカフィーテクニカルサポートセンターです。

       

      今回は先日公開した「【TIPS】ePOのクエリでVSEで実行したODSの開始を確認する方法

      の類似の情報として、ePolicy Orchestrator (ePO)上でクライアントのオンデマンドスキャン (ODS)

      の完了を確認する方法についてご紹介いたします。なおこの手順は、KB69428 でも確認いただけます。

      以下に記載する方法で、クライアント側で実行された ODS の完了を確認することが可能です。

       

      ※注意

      ODSのイベント(1202:オンデマンドスキャンが開始されました、1203:オンデマンドスキャンが完了しました)は、

      実際に実行されたODSタスクとは紐づいておらず、単純にODSが開始された、または完了したタイミングで

      イベントが生成されます。クライアント側で手動でODSを実行した場合や、右クリックから「脅威のスキャン」

      機能を利用してスキャンを行った場合など、ePO から配備されたタスク以外の ODS の実行でもイベントが

      出力されます。そのため、申し訳ありませんが、個別のODS タスクについて、そのタスクの開始 / 完了 を

      ePO から確認することはできません。

       

      STEP 1 イベントID: 1203 ePOへ送信する設定を行います

       

      1. ePO コンソールにログインします。

      2. メニュー - 設定 - サーバの設定を開きます。

      02.png

       

      3. [イベント フィルタ] をクリックし編集をクリックします。

      03.png

      4. [1203: オンデマンド スキャンが完了しました (情報) ]のチェックを入れます。

      01.png

      これで、次回ePO とクライアントが通信されたタイミングでこの設定が反映されます。

      ODS が完了した場合、[1203: オンデマンド スキャンが完了しました (情報) ] のイベントが

      クライアントへ送信されます。

       

      STEP 2 :[Scan Completed] というタグを作成します

       

      1. ePO コンソールのメニュー - システム - タグカタログ をクリックします。

      04.png

      2. タグアクション - 新しいタグ をクリックします。

      05.png

      3. 名前に[Scan Completed] とつけて[次へ] をクリックします

      ※タグ名は任意に設定いただいて問題ありません。

      06.png

      4. [使用可能なプロパティ] の設定画面では設定を変更せずに [次へ] をクリックします。

      5. [タグの条件を評価] の設定画面でも設定を変更せずに [次へ] をクリックします。

      6. [保存] をクリックしてタグを保存します。

       

      以上でタグの作成は完了です。

       

      STEP 3 すべてのシステムを出力するクエリを作成します

       

      1. ePO コンソールのメニューレポートクエリとレポート をクリックします。

      07.png

      2. アクション - 新規 をクリックします。

      08.png

      3. システム管理 - 管理対象システム を選択し、次へをクリックします。

      09.png

      4. グラフページで[テーブル]をクリックして次へをクリックします。

      10.png

      5. 列ページでは、設定を変更せずに[次へ]をクリックします。

      6. フィルターページでも設定を変更せずに[実行]をクリックします。

      7. [保存]をクリックしクエリの名前に[すべてのシステム]という名前を付けます。

       

      以上でタグの作成は完了です。

       

      STEP 4 過去 7 日間以内に発生したすべての 1203 イベントを出力するクエリを作成します

       

      1. ePO コンソールのメニューレポートクエリとレポート をクリックします。

      07.png

      2. アクション - 新規 をクリックします。

      08.png

      3. イベント、脅威イベントを選択し、次へをクリックします。

      11.png

      4. グラフページで [テーブル] をクリックして [次へ] をクリックします。

      10.png

      5. 列ページで[コンピュータのカテゴリ]のページで[システム名]の列を追加し、

      この列を左端へ移動して、[次へ] をクリックします。

      12.png

      6. フィルタ画面で[イベントID]を追加し[同等] [1203] と設定します。

      また[イベント生成時間]を追加し[最後にある] [7] [] と設定し[実行]をクリックします。

      • この例では、7日以内に発行されたイベントを出力します。出力する期間は任意で変更して問題ありません。

      13.png

      7. [保存]をクリックして、クエリに[Event1203] という名前を付けて保存します。

       

      以上で1203 イベントを出力させるクエリの作成は完了です。

       

      STEP 5 [Scan Completed] タグを適用するサーバタスクを作成します

       

      1. ePO コンソールのメニュー自動処理サーバタスク をクリックします。

      14.png

      2. [アクション] - [新しいタスク] をクリックします。

      15.png

      3. タスクに[スキャン完了タグの適用] と名前を付けて[次へ]をクリックします。

      ※タスク名は任意に変更して問題ありません。

      16.png

      4. アクション ページで以下を選択します。

      ・クエリを実行

      ・すべてのシステム (STEP 3 で作成したクエリ)

      ・タグを消去

      [Scan Completed]  (STEP 2 で作成したタグ)

      5. [クエリを実行]の隣の [+] をクリックして、以下の項目を選択し[次へ]をクリックします。

      ・クエリを実行

      Event 1203 (STEP 4 で作成したクエリ)

      ・タグを適用

      [Scan Completed]  (STEP 2 で作成したタグ)

      ※以下が手順45を設定した画面です

      17.png

      6. タスクを実行する日時を任意に設定します。

      ※画像では 毎週月曜 9:00 に実行するようにしています。

      18.png

      7. [保存]をクリックします。

       

      以上でサーバタスクの設定は完了です。

       

      STEP 6 ODSを完了したシステムを出力するクエリを作成します(STEP 5 のタスク実行後)

       

      1. ePO コンソールのメニューレポートクエリとレポート をクリックします。

      07.png

      2. アクション - 新規 をクリックします。

      08.png

      3. システム管理 - 管理対象システム を選択し、次へをクリックします。

      09.png

      4. グラフ ページで[プール円グラフ] を選択し[条件を設定]をクリックします。

      19.png

      5. [タグ] を追加し [タグがある] [Scan Completed] (STEP 2 で作成したタグ)を設定して[OK] をクリックします。

      20.png

      6. 該当スライスのラベルを [スキャン完了] と設定します

      7. 該当しないスライスのラベルを [スキャン未完了] と設定し [次へ] をクリックします。

           21.png

       

      8. ページで必要な列を任意に追加して次へをクリックします。

      ※画像では以下の項目を追加しています。

      ・システム名

      IPアドレス

      ・最後の通信

      DATバージョン

      ・製品バージョン(VirusScan Enterprise

      ・タグ

      ・インストールされている製品

      22.png

      9. 保存をクリックして[スキャン完了] という名前を付けて[保存] をクリックします。

           23.png

      以上でODSが完了したシステムを出力するクエリの作成は完了です。

       

       

      上記のSTEP 5 のサーバタスクを実行した後、STEP 6 のクエリを実行すれば、

      7 日以内にスキャン完了のイベント(1203 イベント)を送付しているクライアント端末の

      台数が確認できます。また、 [スキャン完了] をクリックすることで、具体的にどの

      クライアントがスキャン完了イベントを送付してきたのかが確認できます。

       

      ※実行結果の例

      24.png

      クエリのフィルタを調整することで、「過去1ヶ月以内にODSが完了している端末」や

      特定グループにあるシステムのうち、過去1 週間以内にODSが完了している端末

      といった細かい情報も確認することが可能です。管理しているシステムのセキュリティ

      レベルの確認にご活用いただけますと幸いです。

       

      今後ともMcAfee 製品をご愛顧くださいますよう宜しくお願い致します。

       

      以上

       

      マカフィーテクニカルサポートセンター