Trend Micro Cloud One - Endpoint and Workload Securityにおいて、以下の障害を確認いたしましたのでご連絡いたします。
■対象製品・サービス
Trend Micro Cloud One - Endpoint and Workload Security■障害発生日時
2023年06月19日(月) 午前0時00分頃 ~ 2023年07月14日(金) 午後7時00分頃(us-1リージョン以外)
2023年06月19日(月) 午前0時00分頃 ~ 2023年07月17日(月) 午後5時00分頃(us-1リージョン)
■障害内容
Trend Micro Cloud One - Endpoint and Workload Security(以下、C1EWS)
をご利用中のお客様環境(※1)にて、以下の事象が発生する障害が発生しておりました。・不正プログラム対策アラートが発生しない
・不正プログラム対策アラートに関するアラートメールが送信されない。なお、不正プログラム対策の保護機能は正常に動作しておりましたので、ご安心ください。
また、上記障害発生の影響により、システムイベントに「イベントの取得失敗(ID:728)」
のエラーイベントが複数発生していたことが確認できております。
なお、後述の説明において、以下2つの類似設定について言及いたします。
説明の為、それぞれを<設定 1>、<設定 2>と記載します。<設定 1>
C1EWS管理コンソールの[コンピュータ]>[対象のコンピュータ]>[詳細]>[不正プログラム対策]
の画面における、[検索対象]タブおよび[検索除外]タブ<設定 2>
C1EWS管理コンソールの[ポリシー]>[共通オブジェクト]>[その他]>[不正プログラム検索設定]
>[対象の設定]>[プロパティ]の画面における、[検索対象]タブおよび[検索除外]タブ
(※1)<設定 1>の[検索対象]タブおよび[検索除外]タブが表示されているすべての
お客様テナントで発生し得るものとなります。
<設定 2>の[検索対象]タブおよび[検索除外]タブとは異なりますので、ご注意ください。<設定 1>の[検索対象]タブおよび[検索除外]タブは、弊社へ無効化のご依頼をいただいている等、
特別な場合を除き、原則すべてのお客様テナントにて有効化(表示)されております。■原因について
<設定 1>において、各コンピュータで検索対象/除外のディレクトリ/ファイルを
登録する機能が提供されております。本機能に問題があることに起因して、障害が発生しておりました。
■恒久対策について
全てのリージョンについて、問題の修正を行い、現在は事象が解消されております。
お客様にご迷惑をおかけしましたことをお詫び申し上げます。なお、後述の「機能無効化依頼」を実施いただいていたお客様におかれましては、
「<その他注意事項>」の記載の通り、お客様にて「有効化すること」のご依頼をいただく必要はございません。万が一お客様環境において事象が継続していると思われる場合は、
一度C1EWS管理コンソールの[コンピュータ]>[当該Agent]を右クリック[処理]>[ポリシーの送信]を
お試しいただき、事象が解消されるかあらためてご確認ください。
もし上記実施いただいても事象が継続していると思われる場合は、個別に調査を行わせていただきますので、
お手数ですがサポート窓口へお問い合わせいただけますようお願い申し上げます。■暫定対策(ワークアラウンド)について
※恒久対策が既に完了しておりますので、以下の暫定対策及び代替案は不要となりました。<設定 1>の機能の問題により、障害が発生している状況となります。
その為、本機能を一時的に無効化することで、事象が解消され、不正プログラム対策の
アラート/アラートメールが正常に発生/送信されるようになります(※3)。しかしながら本機能の無効化はお客様にて実施することができない為、
弊社にて製品バックエンドから無効化を行わせていただく必要がございます。無効化をご希望のお客様は、後述の「■機能無効化依頼について」をご参照ください。
(※3)既に事象の影響を受け、発生/送信されなかった不正プログラム対策の
アラート/アラートメールについては、無効化後に再度発生/送信されることはありません。■代替案について
発生している事象の代替案として、以下機能を利用して不正プログラム対策関連の
検知状況をご確認いただくことをご検討ください。
・[イベントとレポート]>[イベント]>[不正プログラム対策イベント]
・[イベントとレポート]>[レポートの生成]>[単独レポート]または[定期レポート]で、
[不正プログラム対策レポート]を生成■機能無効化依頼について
お客様からのご依頼により、弊社にて製品バックエンドから<設定 1>の
[検索対象]タブおよび[検索除外]タブ機能の無効化を行わせていただきます。<サポート窓口へご提供いただく情報>
無効化を希望されるお客様は、弊社C1EWS製品サポート窓口へ、
以下3点の情報を添えてお問い合わせください。なお、お問い合わせいただいてから無効化までに1~2営業日ほど
お時間をいただく想定でございますが、場合によってさらにお時間を
いただく可能性がございます。お急ぎの場合は、その旨サポート窓口へ
お伝えいただけますでしょうか。可能な範囲で迅速に対応を進めさせていただきます。[1]
CloudOne管理コンソール下部の[管理]>[アカウントの設定]より、
[リージョン:]に表示されているリージョン情報をお知らせください。[2]
CloudOne管理コンソール下部の[サブスクリプション管理]より、
[ID:]に表示されているID情報をお知らせください。[3]
C1EWS管理コンソールの[サポート情報]>[インストールスクリプト]の画面で
[インストール後にAgentを自動的に有効化 (セキュリティポリシーを割り当てる場合は必ず有効化してください)]
のチェックボックスにチェックが入っていることを確認します。
スクリプトをスクロールしていただき、"dsa_control"コマンドの引数として指定されている
"tenantID:"をお知らせください。[2][3]については、以下FAQもご参考としてください。
[FAQ:Trend Micro Cloud One のアカウント名/アカウントID/テナントIDの確認方法について]
https://success.trendmicro.com/jp/solution/1120926<無効化による影響>
無効化により、<設定 1>の[検索対象]タブおよび[検索除外]タブにて設定している
検索対象/除外のディレクトリ/ファイルの登録が無効化されます。現在<設定 1>の[検索対象]タブおよび[検索除外]タブにて検索対象/除外の
ディレクトリ/ファイルを登録されているお客様は、代替案として<設定 2>の
[検索対象]タブおよび[検索除外]タブの設定を実施いただくことをご検討ください。<設定 1>の[検索対象]タブおよび[検索除外]タブにディレクトリ/ファイルを
登録されていないお客様については、無効化による影響はございません。<その他注意事項>
※ご案内していた下記に関して、復旧後も自動で有効化に復帰されない状況が確認されておりましたが、
2023年7月18日 12時15分時点で、対処を行いすべてのお客様にて有効化に復帰したことを確認いたしました。
ご不便をおかけいたしまして誠に申し訳ございません。
お客様側でお気づきの点などございましたら、サポート窓口へお問い合わせいただけますと幸いです。無効化した場合でも、上述した恒久対策の実施により、自動で有効化に復帰されます。
その為、恒久対策が実施された後にお客様にて再度サポート窓口へ「有効化すること」
のご依頼をいただく必要はございません。お客様にご迷惑をおかけしましたことをお詫び申し上げます。
サポート情報 : トレンドマイクロ
