新しい会話を開始

Solved!

ソリューションへ移動

3 Apprentice

 • 

1.3K メッセージ

29

2024年9月24日 13:30

PowerScaleのCavaを使用したAntivirusに関して

現在PowerScale(OneFS9.7)にてCavaを使用してAntivirusの設定を行おうと検証しています。

AntivirusソフトはMicrosoft DefenderをWindows Server2016に標準搭載されているもので試しています。

https://www.dell.com/support/manuals/en-us/isilon-onefs/ifs-pub-9600-administration-guide-cli/install-cee-for-windows?guid=guid-5a52ec54-ac6d-461a-be39-e92328152417&lang=en-us

この辺のドキュメントを参考に設定を行いテスト行うと、リアルタイムでEicarファイルをPowerScale上に置いた場合(Defenderを無効にしたテスト端末から格納)はDefenderで削除されているように見受けれるのですが、Defenderでリアルタイム保護を無効にし、PowerScaleのCava設定上のJobをスケジュールを実行するとうまくEicarファイルを削除することができませんでした。

また、CAVAのStatusのAV VendorがUnknownになってしまっています。

こちらうまくDefemderでAntivirusが成功しているかがよくわからずPowerScale上からAntivirusがCAVAで成功した場合の確認方法等はありますでしょうか。

また、Microsoft Defenderを使用したAntivirus設定(PowerScale)のマニュアル等ありませんでしょうか。

また、先ほどのマニュアルの「Configure CEE for Windows」でWindows Serverのレジストリを変更しておりますがこちらは必須となりますでしょうか。

EndPointの<EndPoint_Name>@<IP_Address>こちらの記載はどこの値を入れるのかがわかっておらずご教授いただけないでしょうか

Moderator

 • 

6.7K メッセージ

2024年9月25日 09:05

@mawatarai​ さん

ご返信を有難うございます。

→こちらですが、WindowsのイベントログからはちゃんとEicarファイルを検知していることが確認できましたが、Isilonのコマンドisi antivirusコマンドで確認すると感染を疑われる用の結果は出ておりませんでした、、、
⇒であれば機能しているということなのではないでしょうか・・・・


→すみませんこちら読んではいたのですが結局のところ<EndPoint_Name>と<IP_Address>は何を指定するのかわからずです。。。
IPに関してはIsilonのIP(Antivirus用に作成するNWのIP)でよろしいでしょうか?
EndPointNameは上記IPに対するZone名を指定するのでしょうか?

⇒少し前の資料になりますがEndpoint名は監査のアプリケーション名、IPはそのアプリケーションが入っているサーバのIPでいいのではないでしょうか。
IPが複数ある場合は;で追加とあります。

File System Auditing with Dell EMC PowerScale and Dell EMC Common Event Enabler 
Page 6
At this point, CEE will forward the audit event to a defined endpoint, such as Varonis DatAdvantage. The audit events are coalesced by the 3rd Party audit application.
Page12
The followings show an example of adding a local endpoint for Varonis DatAdvantage:
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]
EndPoint = (REG_SZ) Varonis
The followings show an example of adding a remote endpoint for Varonis DatAdvantage:
[HKEY_LOCAL_MACHINE\SOFTWARE\EMC\CEE\CEPP\Audit\Configuration]
EndPoint = (REG_SZ) Varonis@10.aaa.xxx.yyy

Moderator

 • 

6.7K メッセージ

2024年9月25日 07:06

Mawataraiさん


PowerScale上からAntivirusがCAVAで成功した場合の確認方法等はありますでしょうか。
⇒資料でもEICARテストファイルを使用してテストするとあります。確認方法が以下にあるのでmawataraiさんの結果と一緒なのか、確認してみてください。

 

Dell PowerScale: Common AntiVirus Agent Solution
Page37 Testing and verification

 

 

また、CAVAのStatusのAV VendorがUnknownになってしまっています。
⇒こちらはKBなどはないのですが、対応案件で同じようにUnknownステータスになるという事象があり、OneFSとMS Defenderでのknown issueとして修正を予定とのことです。

 

Microsoft Defenderを使用したAntivirus設定(PowerScale)のマニュアル等ありませんでしょうか。
⇒こちらはどうでしょうか。また後述のCLI Administration Guideも参考になるかと思います。

 

Dell PowerScale: Common AntiVirus Agent Solution
Page35   Appendix A – Configure OneFS CAVA Service with Microsoft Windows Defender

 

PowerScale OneFS 9.7.0.0 CLI Administration Guide

 

 

「Configure CEE for Windows」でWindows Serverのレジストリを変更しておりますがこちらは必須となりますでしょうか。EndPointの<EndPoint_Name>@<IP_Address>こちらの記載はどこの値を入れるのかがわかっておらずご教授いただけないでしょうか

 

⇒こちらに例があるので参考にできると思います。またその他のレジストリ変更は同資料にあるPage249 Table 74. Window Registry Editor Settingsを参照ください。

 

PowerScale OneFS 9.7.0.0 CLI Administration Guide
Page 249 Configure CEE for Windows
The EndPoint value must be in the format <EndPoint_Name>@<IP_Address>. You can specify multiple endpoints by separating each value with a semicolon (;).

 

3 Apprentice

 • 

1.3K メッセージ

2024年9月25日 07:43

@ayas​ 

いろいろと情報ありがとうございます。

⇒資料でもEICARテストファイルを使用してテストするとあります。確認方法が以下にあるのでmawataraiさんの結果と一緒なのか、確認してみてください。

 

Dell PowerScale: Common AntiVirus Agent Solution
Page37 Testing and verification

→こちらですが、WindowsのイベントログからはちゃんとEicarファイルを検知していることが確認できましたが、Isilonのコマンドisi antivirusコマンドで確認すると感染を疑われる用の結果は出ておりませんでした、、、

また、CAVAのStatusのAV VendorがUnknownになってしまっています。
⇒こちらはKBなどはないのですが、対応案件で同じようにUnknownステータスになるという事象があり、OneFSとMS Defenderでのknown issueとして修正を予定とのことです。

→UnknownになってしまうIssueがあるとのことで解決をのんびり待ちたいと思います。

⇒こちらに例があるので参考にできると思います。またその他のレジストリ変更は同資料にあるPage249 Table 74. Window Registry Editor Settingsを参照ください。

 

PowerScale OneFS 9.7.0.0 CLI Administration Guide
Page 249 Configure CEE for Windows
The EndPoint value must be in the format <EndPoint_Name>@<IP_Address>. You can specify multiple endpoints by separating each value with a semicolon (;).

→すみませんこちら読んではいたのですが結局のところ<EndPoint_Name>と<IP_Address>は何を指定するのかわからずです。。。

IPに関してはIsilonのIP(Antivirus用に作成するNWのIP)でよろしいでしょうか?

EndPointNameは上記IPに対するZone名を指定するのでしょうか?

マニュアル読んでいても理解ができず、、、申し訳ございませんがご教授いただけると大変助かります。

イベントは見つかりませんでした!

Top