McAfee Active Response インストール ガイド

McAfee Active Response 2.4.0 インストール ガ

イド

著作権

Copyright © 2018 McAfee LLC 商標帰属

McAfee および McAfee ロゴ、McAfee Active Protection、ePolicy Orchestrator、McAfee ePO、Foundstone、McAfee LiveSafe、McAfee QuickClean、McAfee SECURE、 SecureOS、McAfee Shredder、SiteAdvisor、McAfee Stinger、TrustedSource、VirusScan は、McAfee LLC または米国およびその他各国の支社の商標です。 その他の商標 およびブランドはその他に属する所有権として申し立てることができます。 使用許諾に関する情報 使用許諾契約 全ユーザーへの注意事項：購入された使用許諾に対応する適切な法的取り決めを熟読してください。これには使用許諾を受けたソフトウェアの使用に関する一般取引条件が 明記されています。 獲得した使用許諾の種類が不明な場合は、セールスおよびその他関連するライセンス許諾に問い合わせるか、ソフトウェアに付属の発注書、または購入 時に別途受領した文書（パンフレット、製品CD ファイル、ソフトウェアパッケージをダウンロードしたウェブサイトから入手可能なファイル）を参照してください。 取り 決めに明記された条件に同意できない場合は、ソフトウェアをインストールしないでください。 該当する場合、MCAFEE または購入店に製品を返却し、全額返金を請求でき ます。

目次

1 インストールの概要 ₅ 必要なインストール タイプ . . . 5 初回インストールのワークフロー . . . 6 アップグレード インストールのワークフロー . . . 7 2 システム要件 9 サーバーとクライアントの要件 . . . 9 必要なネットワーク ポート . . . 10 3 インストール前の作業 13 拡張ファイルをダウンロードする . . . 13 McAfee ePO アップロード サイズの上限を増やす . . . 13 4 ソフトウェアを初めてインストールする ₁₅ Active Response 拡張ファイルをインストールする . . . 15 Active Response サーバーのインストール . . . 17 Active Response、DXL、TIE サーバーを配備する (手動) . . . 17 Active Response、DXL、TIE サーバーを配備する (自動) . . . 25 Active Response クライアントをインストールする . . . 27 5 新しいソフトウェア _{バージョンにアップグレードする 29} Active Response のアップグレード . . . 29 Active Response 拡張ファイルをアップグレードする . . . 30 Active Response サーバーをアップグレードする . . . 31 クライアントをアップグレードする . . . 32 コンテンツ パッケージをアップグレードする . . . 33 追跡ルールのコンテンツ パッケージをアップグレードする . . . 33 6 インストール後の作業 35 Active Response 正常性ステータスの確認 . . . 35 McAfee Cloud アカウントを作成する . . . 36 クラウド ストレージの場所の変更 . . . 38 DXL ブローカー拡張機能の設定 . . . 38 McAfee ePO プロキシ サーバーを設定する (オプション) . . . 39 アグリゲーターをインストールする (オプション) . . . 39 複数の McAfee ePO サーバーを設定する . . . 40 カスタム カタログ コンテンツをエクスポートする . . . 41 DXL ブローカーを設定して複数の McAfee ePO サーバーを接続する . . . 42 ブリッジと非ブリッジ環境での McAfee ePO サーバーの設定例 . . . 43

McAfee Advanced Threat Defense の設定 . . . 44

McAfee Advanced Threat Defense サーバーと Active Response を設定する . . . 44

7 インストールに関するトラブルシューティング ₄₇ コンテンツ ルールをロールバックする . . . 47 インストールのエラー メッセージ . . . 48 8 ソフトウェアを削除する 49 Active Response クライアントをアンインストールする . . . 49 Active Response 拡張ファイルを削除する . . . 49 目次

1

インストールの概要

目次 必要なインストールタイプ 初回インストールのワークフロー アップグレードインストールのワークフロー

必要なインストール

タイプ

McAfee®

Active Response は、1 台または複数の統合アプライアンスにインストールし、Active Response、McAfee®

Data Exchange Layer (DXL)、McAfee®

Threat Intelligence Exchange (TIE) などの複数のサービスをホスティングでき ます。また、ソフトウェアのアップグレードも可能です。

初回インストールのワークフロー

Active Response をインストールするには、拡張ファイル、コンポーネント、クライアント パッケージを所定の順番 でインストールする必要があります。 Active Response、TIE、DXL サーバーは 1 台のアプライアンスに共存可能です。 これらのサービスは同じアプライア ンス上で一緒に実行でき、統合プラットフォームも使用できるので、サーバーのメンテナンス作業を軽減できます。 関連トピック: 15 ページの「Active Response 拡張ファイルをインストールする」 17 ページの「Active Response サーバーのインストール」 27 ページの「Active Response クライアントをインストールする」

1

インストールの概要 初回インストールのワークフロー

アップグレード

インストールのワークフロー

Active Response を新しいバージョンにアップグレードするときに、パッケージに更新が含まれているコンポーネン トだけがアップグレードされます。 アップグレードを行う前に、_{Active Response カタログからカスタム コレクター、リアクション、トリガー、検索を} エクスポートします。 関連トピック: 29 ページの「Active Response のアップグレード」 インストールの概要 アップグレード インストールのワークフロー

1

1

インストールの概要

2

システム要件

目次 サーバーとクライアントの要件 必要なネットワークポート

サーバーとクライアントの要件

環境がすべての要件を満たし、管理者権限があることを確認してください。 McAfee® Active Response でサポートされるコンポーネント、プラットフォーム、環境、オペレーティング システムの 詳細については、KB84473 を参照してください。

サーバーの最小要件

Active Response、DXL、TIE などの複数のサービスをホスティングするように単一の統合サーバーを設定できます。 フェールオーバー構成の場合、複数のサーバーをバックアップ サーバーとして配備し、処理能力を強化できます。 サ ーバーは物理サーバーまたは仮想マシンにインストールできます。 小規模な環境では、単一のアプライアンスですべ てのサーバーを同時に実行できます。 最小 要件 McAfee®

Linux Operating System (MLOS)

バージョン _{MLOS バージョン 2。 MLOS パッケージの詳細については、https://mcafeelinux.org/ を参照して} ください。 プロセッサー 1 CPU、8 コア メモリー 16 GB RAM ハードドライブ 150 GB の SSD ISO はい 強化 はい Meltdown 更新が適用されているシステムの場合、推奨手順が異なります。KB90333 で最新の情報を確認してくださ い。

2

エンドポイント

クライアントの最小要件

製品 Windows Linux macOS

McAfee ePO 5.3.1 5.3.1 5.3.1 McAfee® Agent 5.0.3 (< RS2) 5.0.5 (RS2/RS3) 5.0.5.658 5.0.5.658 (El Capitan、Sierra) 5.0.6.347 (High Sierra) Data Exchange Layer 3.0.0 + HF3 (< RS2)

3.1.0 (RS2/RS3) 3.0.0 + HF3 3.0.0 + HF3 Endpoint Security Threat Prevention と Threat Intelligence モジュール 10.2.2** Endpoint Security と Adaptive Threat Protection

10.5.0 (< RS2) 10.5.1 (RS2) 10.5.3 (RS3)*

10.5.0***

Microsoft Windows 10 (バージョン 1607) － Anniversary Update (Redstone 1 [RS1]) Microsoft Windows 10 (バージョン 1703) － Creators Update (Redstone 2 [RS2]) Microsoft Windows 10 (バージョン 1709) － Fall Creators Update (Redstone 3 [RS3]) Microsoft Windows 10 (バージョン 1803) － Spring Creators Update (Redstone 4 [RS4]) * Redstone 3 エンドポイントがある場合、McAfee®

Endpoint Security クライアント バンドルをインストールする前 に、Active Response 10.5.3 を [マスター リポジトリ] にチェックインする必要があります。

** McAfee Endpoint Security をインストールする前に、Linux エンドポイントに Active Response 10.2.2 をインスト ールしてください。

*** Endpoint Security をインストールする前に、Active Response 10.5.0 for macOS をインストールしてください。

エンドポイントに Endpoint Security または McAfee VirusScan Enterprise がインストールされていない場合、適切な バージョンの Endpoint Security モジュールが Active Response と一緒に自動的にインストールされます。 サポート されていないバージョンの Endpoint Security がエンドポイントにインストールされている場合は、エンドポイントの モジュールをサポート対象バージョンにアップグレードしてください。

必要なネットワーク

ポート

Active Response は、特定のポートを使用して McAfee Agent、Active Response クライアント、Active Response サ ーバーに接続します。

ネットワークの設定で、これらのポートでの Active Response サーバーとクライアントへのアクセスがブロックされな いようにしてください。

TIE サーバーが使用するデフォルト ポートについては、『_{McAfee Threat Intelligence Exchange インストール ガイド』} を参照してください。

McAfee ePO の各コンポーネントで必要なデフォルト ポートの詳細については、KB66797 を参照してください。

2

システム要件

表 _{2-1 サーバー ポート}

ポート番号 用途 受信接続 送信接続

8443 McAfee ePO 拡張ファイルを Active Response サーバーに接続します。 はい はい 8883 外部の _{DXL ブローカーと DXL クライアントをサーバーに接続します。} はい はい 8081 McAfee Agent を McAfee ePO サーバーに接続します。 はい はい 22 リモートから SSH 経由で接続し、メンテナンス タスクを実行します。 はい はい 123 UDP ネットワーク タイム プロトコル はい はい

表 2-2 クライアント ポート

ポート番号 用途 受信接続 送信接続

8081 McAfee Agent を McAfee ePO サーバーに接続します。 はい はい 8883 DXL クライアントを DXL ブローカーに接続します。 はい はい

システム要件

2

システム要件

3

インストール前の作業

目次 拡張ファイルをダウンロードする McAfee ePO アップロードサイズの上限を増やす

拡張ファイルをダウンロードする

必要な拡張ファイルとパッケージは _{McAfee ダウンロード サイトで入手できます。} 開始する前に 製品購入後に受信した承認番号が必要です。

McAfee ePO の [ソフトウェア マネージャー] または [ソフトウェア カタログ] (McAfee ePO 5.10) からソフトウェア をダウンロードし、インストールすることもできます。この機能を使用するには、[メニュー] 、 [ソフトウェア] 、 [ソフトウェア マネージャー (ソフトウェア カタログ)] の順に移動します。 タスク 1 _{Web ブラウザーで、https://www.mcafee.com/us/downloads/downloads.aspx に移動します。} 2 _{[ダウンロード] をクリックします。 承認番号を入力して、製品とバージョンを選択します。} 3 [ソフトウェアのダウンロード] タブで、必要なファイルを選択して保存します。 ファイルの説明 ファイル名

Active Response 拡張ファイル Active_Response_MAR_2.4.0_Build_number_(ENU-RELEASE-MAIN).zip Active Response のサーバー パ

ッケージ

ActiveResponseServer-2.4.0-Build_number.zip

サーバー配備パッケージ ServerDeployment_2.3.0_Build_number Package #number (ENU-LICENSED-RELEASE-MAIN).zip

McAfee ePO アップロード サイズの上限を増やす

Active Response サーバー パッケージをインストールするには、McAfee ePO サーバーのプロパティで、アップロー ド サイズの上限を増やす必要があります。

この更新は、パッケージの手動チェックインでのみ必要です。 この更新を行った場合、McAfee ePO サーバーの再起動 が必要です。 再起動プロセスの実行中、ユーザーがアクセスできなくなります。

タスク

1 管理者として _{McAfee ePO にログオンします。}

2 C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion に移動します。

3 orion.properties ファイルを右クリックして、テキスト エディターで編集します。 4 ファイル内の orion.upload.max.size を探し、値を 768435456 に変更してファイルを保存します。 5 仮想マシンまたは物理サーバーの McAfee ePO サーバー アプリケーションを再起動します。 再起動プロセスの実行中、ユーザーは McAfee ePO サービスにアクセスできなくなります。 Active Response サーバー パッケージをチェックインできます。

3

インストール前の作業 McAfee ePO アップロード サイズの上限を増やす

4

ソフトウェアを初めてインストールする

目次 Active Response 拡張ファイルをインストールする Active Response サーバーのインストール Active Response クライアントをインストールする

Active Response 拡張ファイルをインストールする

Active Response を使用して脅威の検出と修復を行うには、最初に Active Response 拡張ファイルと関連コンポーネ ントを McAfee ePO にインストールする必要があります。

開始する前に

• Active Response のシステム要件を満たしていることを確認します。

• McAfee Agent がインストールされ、Endpoint Security が [マスター リポジトリ] にチェックインさ れ、エンドポイントにインストールされていることを確認します。

• Active Response、DXL ブローカー、TIE サーバーの仮想マシンを準備します。 手順については、そ れぞれのインストール ガイドを参照してください。

• 手動チェックインの場合、McAfee ePO Orion プロパティでアップロード ファイル サイズの上限を 引き上げます。 ファイル サイズの上限引き上げは、パッケージを手動でチェックインする場合にのみ必要です。 こ の更新を行った場合、McAfee ePO サーバーの再起動が必要です。 再起動プロセスの実行中、ユー ザーがアクセスできなくなります。 ただし、ソフトウェア カタログ経由で拡張ファイルをインスト ールする場合は、McAfee ePO サーバーの再起動は不要です。 タスク 1 管理者として McAfee ePO にログオンします。 2 DXL ブローカーとクライアントの拡張ファイルをインストールします。 手順については、製品のインストール ガ イドを参照してください。

4

3 _{TIE サーバー管理拡張ファイルをインストールします。 手順については、製品のインストール ガイドを参照して}

ください。

TIE サーバーと Active Response サーバーを初めてインストールする場合には、TIE サーバーを先にインストールし てください。 エンドポイントで追跡を有効にする数日前に、環境内で TIE サーバーを実行してください。

1 不審なアクティビティがなく、大半のエンドポイントで実行されて普及度が高いファイルは、レピ ュテーションが最終的に _{[信頼できる可能性がある] に設定されます。 これらのファイルのレピュ} テーションは、Active Response ワークスペースで変更する必要はありません。

2 TIE が実行中のプロセスの調査を開始し、潜在的な脅威を確認する前に、Active Response レピュ テーション _{データベースを調整し、会社所有のファイルと証明書のレピュテーションを設定する} ことができます。 レピュテーションが不明な脅威を管理する方法については、Knowledge Base の 記事KB90344 を参照してください。

4 Active Response バージョン 5.10 に McAfee ePO 拡張ファイルをインストールする:

a 製品を自動的にインストールするには、[メニュー] 、 [ソフトウエア] 、 [ソフトウェア カタログ] の順に選択 します。 McAfee ePO のインストール時に [製品の自動インストール] を有効にした場合は、ライセンスのある製品が自 動的にインストールされます。 b [ソフトウェア カタログ] ページで、必要な製品パッケージを検索します。 c 必要な製品パッケージを選択して使用許諾条件に同意し、[チェックイン] をクリックしてパッケージをインス トールします。 5 _{McAfee ePO 5.10 以前に拡張ファイルを手動でチェックインしてインストールするには:} • [メニュー] 、 [ソフトウェア] 、 [拡張ファイル] の順に選択し、拡張ファイルを選択して [拡張ファイルのイン ストール] をクリックします。 手動チェックインの場合、互換性の問題を回避するため、次の順番でバンドルをインストールします。 a DXL ブローカー管理拡張ファイル b _{TIE サーバー管理拡張ファイル} c Active Response 拡張ファイル d DXL クライアント拡張ファイル e Active Response ワークスペース拡張ファイル f _{Active Response クライアント拡張ファイル} g サーバー配備拡張ファイル サーバー配備拡張ファイルは、VMware で自動配備を設定する場合に使用します。 6 拡張ファイルが正しくインストールされていることを確認するには、[Active Response 正常性ステータス] ページ に移動します。 Active Response、DXL、TIE の状態が緑色で表示されます。 インストール _{エラーについては、[脅威イベント ログ] を参照してください。}

4

ソフトウェアを初めてインストールする Active Response 拡張ファイルをインストールする

Active Response サーバーのインストール

Active Response サーバーは、ISO イメージまたは OVA 仮想アプライアンスとして提供され、McAfee®

Linux Operating System (MLOS) バージョン 2 インスタンスがパッケージに含まれています。

ISO パッケージは、ベアメタル サーバーや他の仮想インフラに配備できます。 OVA パッケージは VMware にのみ配 備できます。

CPU、RAM、ディスクなどのリソースが事前に設定されるため、VMware には ISO パッケージでなく OVA パッケージ を使用してください。

TIE サーバーは、VMware 用に最適化された OVA アプライアンスとして配布されます。あるいは、互換性のあるハー ドウェアまたは他の仮想化技術で使用される _{ISO イメージとして配布されます。}

ISO パッケージを使用する場合、電源オン時に仮想マシンを有効にすると、Active Response MLOS のインストール とサーバーのインストールが自動的に開始します。 すべてのベース オペレーティング システムのパッケージがイン ストールされます。 _{VM との対話なしで Bash、セージ、ディスクのパーティション分割が実行されます。 インスト} ールが完了すると _{VM がオフになります。ISO を削除できます。 複雑なインフラの場合は、複数のサーバーにパッケ} ージを設定し、配備できます。 TIE の配備方法については、『McAfee Threat Intelligence Exchange サイジングおよ びパフォーマンス ガイド』を参照してください。

関連トピック:

13 ページの「McAfee ePO アップロードサイズの上限を増やす」 17 ページの「Active Response、DXL、TIE サーバーを配備する (手動)」

25 ページの「Active Response、DXL、TIE サーバーを配備する (自動)」

Active Response、DXL、TIE サーバーを配備する (手動)

1 つのアプライアンスに Active Response サーバー、Data Exchange Layer ブローカー、TIE サーバーをインストー ルし、設定します。

開始する前に

• 次の拡張ファイルがインストールされていることを確認します。

• DXL ブローカー管理拡張ファイル • DXL クライアント管理拡張ファイル • TIE サーバー管理拡張ファイル • Active Response ワークスペース拡張フ

ァイル

• Active Response 拡張ファイル • Active Response クライアント拡張ファ イル • DXL クライアント拡張ファイル • サーバー配備拡張ファイル － この拡張フ ァイルは、不在時に自動配備する場合に必 要になります。 • DXL ブローカー サーバーと TIE サーバーがインストールされたことを確認します。 手順について は、それぞれのインストール _{ガイドを参照してください。 DXL と TIE を同じサーバーにインストー} ルする場合、この手順はオプションです。

TIE の配備の詳細については、『McAfee Threat Intelligence Exchange サイジングおよびパフォーマンス ガイド』を参照してください。 OVA アプライアンスを配備する前に、サーバーと同じバージョンのサーバー拡張ファイルが正しくイン ストールされていることを確認してください。 root パスワードを安全な場所に保管します。 ソフトウェアを初めてインストールする Active Response サーバーのインストール

4

サポートされるプラットフォーム、環境、オペレーティング _{システムの詳細については、 と KB84473 を参照してく} ださい。

サーバー アプライアンスは、ISO ファイルまたは OVA を使用してインストールできます。 オプションを選択します。

OVA は、 Active Response サーバーのインストール要件を満たしています。

タスク

1 [ソフトウェア マネージャー] (McAfee ePO 5.10 の場合は [ソフトウェア カタログ]) または McAfee ダウンロード サイトからサーバー _{アプライアンスの OVA コンポーネントをダウンロードします。 .zip ファイルを展開します。} OVA コンポーネントと ISO ファイルは、[ソフトウェア マネージャー] または McAfee ダウンロード サイトから入 手できます。

2 VMware vSphere クライアントを開き、[ファイル] 、 [OVF テンプレートのデプロイ] の順にクリックします。 コ ンピューターで _{*.ova ファイルを選択します (* は ova ファイルの名前)。 [次へ] をクリックし、ウィザードに従} って操作します。ウィザードを完了したら、仮想マシンを起動して [コンソール] ウィンドウを開きます。

4

ソフトウェアを初めてインストールする

3 使用許諾条件を確認して同意します。 _{次のページを表示するには C を押します。最後のページに移動するには、} [E] (End) を押します。 Y を押して使用許諾条件に同意し、続行します。 ソフトウェアを初めてインストールする Active Response サーバーのインストール

4

4 新しいサーバー アプライアンスの root パスワードを作成します。 パスワードは 9 文字以上にしてください。 パ スワードは安全な場所に保管してください。 Y を押して続行します。 5 Tab キーでフィールドを移動して、操作を行うアカウント名、実名、パスワードを入力します。 完了したら、Y を押して続行します。 アカウント名は jsmith のような名前で、サーバーやマネージド サービスにログオンするときに使用します。 実 名はユーザーのフルネームです (例: John Smith)。

4

ソフトウェアを初めてインストールする Active Response サーバーのインストール

6 [ネットワークの選択] ページで、N を押して続行します。 7 設定のタイプを選択して _{Y を押し、続行します。} • 手動 IP アドレス － M を押して、残りの情報を入力します。 • DHCP － D を押します。 ソフトウェアを初めてインストールする Active Response サーバーのインストール

4

8 新しいサーバー _{アプライアンスをインストールするコンピューターのホスト名とドメイン名を入力します。 Y} を押して続行します。 9 新しいサーバーの時間同期に使用するネットワーク タイプ プロトコル サーバーを入力します (3 つまで入力可 能_{)。 表示されたデフォルトのサーバーを使用するか、サーバーのアドレスを入力します (3 つまで入力可能)。} ネットワークから URL にアクセスできるかどうかネットワーク チームに確認します。また、内部または外部に NTP サーバーを用意することもできます。 NTP サーバーが同期していないと、DXL と TIE のハンドシェイクがすぐに完了しません。 Y を押して続行します。

4

ソフトウェアを初めてインストールする Active Response サーバーのインストール

10

McAfee ePO サーバーの IP アドレスまたは完全主修飾ドメイン名、ポート、アカウント情報を入力します。 ユー ザー _{アカウントには管理者権限が必要です。 Y を押して続行します。}

続行する前に、_{McAfee ePO の証明書フィンガープリントが本物かどうか検証します。 ブラウザーで McAfee} ePO に移動し、インストール画面に表示されたフィンガープリントと一致しているかどうか確認します。 一致し ている場合、Y を押して続行します。

Windows の場合、Internet Explorer と Chrome は、組み込みの SHA-1 サムプリントを使用して証明書情報を表 示します。 _{Firefox は独自のクロスプラットフォームを実装し、証明書の SHA-256 フィンガープリントを表示し} ます。

11

新しいサーバーで実行するサービスを選択します。

TIE 2.2.0 以前のバージョンからアップグレードする場合は、McAfee ePO から Active Response サーバーを配備 する必要があります。

Y を押して続行します。

ソフトウェアを初めてインストールする

12 DXL ブローカーのポートを設定し、Y を押して続行します。 13 インストールが正常に完了したことを確認します。 すべてのコンポーネントが正常にインストールされたら続行します。 それ以外の場合には、推奨事項に従って問 題を解決します。

4

ソフトウェアを初めてインストールする Active Response サーバーのインストール

14 ログオン画面が表示されたら、画面を閉じます。 15 新しいサーバーがプロビジョニングされたことを確認します。 McAfee ePO で、[メニュー] 、 [システム ツリー] 、 [ユーザーの組織] 、 [プリセット] 、 [このグループとすべてのサブグループ] の順に選択し、サーバー アプライア ンスがインストールされているドメインを確認します。 16 McAfee ePO で、登録済みのサーバーが管理対象システムとして正しくプロビジョニングされていることを確認 します。 [メニュー] 、 [設定] 、 [登録済みのサーバー] の順に選択します。 17 Active Response サーバーがインストールされ、正常に機能していることを確認します。

a 管理者として _{McAfee ePO にログオンして、Active Response の正常性ステータス ページを開き、Active} Response、TIE、DXL のステータスが緑色になっていることを確認します。

b [Active Response カタログ] に組み込みコレクターが表示されていることを確認します。 表示されていれば、 Active Response サーバーが McAfee ePO サーバーと通信を行っています。

インストールした製品によって、アプライアンスに MARSERVER、DXLBROKER または TIESERVER というタグが表示 されます。

モニタリングに McAfee ePO の自動応答を設定する方法については、『TIE サーバーの正常性をモニタリングする』を 参照してください。

Active Response、DXL、TIE サーバーを配備する (自動)

1 台のサーバーに Active Response、TIE、DXL サービスをホスティングできます。 開始する前に 次の拡張ファイルがインストールされていることを確認します。 • DXL ブローカー管理拡張ファイル • DXL クライアント管理

• TIE サーバー管理拡張ファイル • Active Response ワークスペース拡張ファ イル

• Active Response 拡張ファイル • Active Response クライアント拡張ファイ ル • DXL クライアント拡張ファイル • サーバー配備拡張ファイル － この拡張フ ァイルはオプションです。自動配備の場合 にのみ必要です。 ソフトウェアを初めてインストールする Active Response サーバーのインストール

4

VMware の構成が必要な条件を満たしていることを確認します。 • VMware ユーザーに次の権限が必要です。

• 空間の割り当て • 高度な設定へのアクセス • ネットワークの割り当て • インポート

• 新しいディスクの追加

• VMware クラスターまたはホストに、アプライアンス要件 (8 CPU コア、16-GB RAM) を満たすリソ ースが必要です。 • VMware データストアには、200 GB 以上の使用可能な容量が必要です。 • VMware ネットワークには、タグ付けの必要がない未割り当てのアドレスが必要です (DHCP を使用 する場合_)。 • VMware フォルダーが存在する必要があります。 • VMware 仮想マシン名は、まだ存在せず、VMware の要件を満たしている必要があります。

複数の TIE サーバーが存在する環境の場合、Active Response サーバーは常にプライマリ データベースに接続します。 複雑な仮想環境の場合、Active Response サーバーをセカンダリ データベースに配備します。

セカンダリ サーバー (または [レポーティング モードのセカンダリ]) として動作する TIE サーバーに Active Response を配備する場合、Active Response が TIE サーバーのプライマリ データベースにアクセ スするため、プライマリ _{TIE サーバー ([書き込み専用モードのプライマリ]) が稼動し、実行されている必} 要があります。

Active Response は、[プライマリ]、[セカンダリ]、[レポーティング モードのセカンダリ] で動作している TIE サーバー で実行できます。 レポーティング モードのセカンダリではレピュレーション要求が処理されないため、このモードで 動作する TIE サーバーに Active Response を配備することをおすすめします。 TIE レピュテーション キャッシュ モー ドへの Active Response の配備はサポートされません。

タスク

1 管理者として McAfee ePO にログオンします。

2 [メニュー] 、 [自動処理] 、 [サーバーの配備] の順に選択します。

3 _{[サーバーの配備] ページで、VMware vCenter のアクセス URL と認証情報を入力します。}

4 [証明書の検証] をクリックして画面の指示に従い、フィンガープリントが vSphere Web クライアントのフィンガ ープリントと一致しているかどうか確認します。 このチェックボックスは、アクセス URL が HTTPS で始まる場 合に表示されます。 アクセス _{URL が HTTP で始まる場合、[セキュアでない接続を許可する (http)] オプションが表示されます。} [セキュアでない接続を許可する (http)] を選択して、この IP アドレスに接続する場合は、ユーザーのリスクで行 ってください。 5 データセンター、クラスター、データストア、ネットワークの名前など、VMware vCenter インフラの詳細情報 を入力します。 [フォルダー] フィールドと [仮想マシン名] フィールドにはデフォルト値が設定されています。 デフォルトの項目

4

ソフトウェアを初めてインストールする Active Response サーバーのインストール

6 _{McAfee ePO の認証情報を入力します。} [ホスト名]、[ポート]、[ウェークアップ ポート] フィールドには自動的に値が挿入されます。 7 [証明書の検証] をクリックして画面の指示に従い、フィンガープリントが McAfee ePO のフィンガープリントと 一致しているかどうか確認します。 8 サービスを配備する新しいサーバーに _{root パスワード、ユーザー名、パスワードを作成します。} 9 新しいホスト名とサービスの配備に使用するサーバー _{ネットワークのドメイン名を入力します。} デフォルトでは、モードが DHCP に設定されます。 [NTP] フィールドと [DXL ポート] フィールドにも値が挿入さ れます。 _{DXL サービス オプションを選択すると、[DXL ポート] フィールドが表示されます。} 10 サーバーに配備するサービスの横にあるチェックボックスを選択します。

デフォルトでは、_{TIE と DXL チェックボックスが選択されています。 Active Response サービスを配備するには、} [MAR] を選択します。

[MAR] を選択すると、Active Response と TIE の両方のサービスがサーバーに配備されます。 このため、[TIE] オ プションが無効になります。 11 使用許諾条件に同意し、_{[配備] をクリックします。} 12 [ここで、サーバーの正常性ステータスを確認してください] リンクをクリックして Active Response 正常性ステ ータスのページを開き、Active Response、TIE、DXL のステータスが緑色になっていることを確認します。 各サービスのステータスが緑色になるまでに、_{5 分～ 30 分ほどかかります。}

Active Response クライアントをインストールする

Active Response クライアントはエンドポイントにインストールされ、エンドポイントの潜在的な脅威を Active Response サーバーに通知し、サーバーに設定されたアクションに基づいて脅威を修復します。 開始する前に • すべての Active Response エンドポイント クライアントが最小要件を満たしていることを確認しま す。 • エンドポイントから McAfee® VirusScan® Enterprise を削除します。削除しないと、インストールに 失敗します。 • エンドポイントの McAfee®

Host Intrusion Prevention のバージョンが 8.0.0.7364 以降であること を確認します。

• エンドポイントで互換性の問題または配備エラーが解決されていることを確認します ([正常性ステ ータス_{] ページで確認できます)。}

• Redstone 3 エンドポンとの場合は、Endpoint Security 10.2.2 または 10.5.3 が [マスター リポジト リ] にチェックインされていることを確認します。

ソフトウェアを初めてインストールする

タスク

1 管理者として _{McAfee ePO にログオンします。}

2 [メニュー] 、 [ソフトウェア] 、 [製品配備] の順に選択して、[新しい配備] をクリックします。

Windows システムに配備する場合、Active Response は Microsoft Protection Service を一時的に無効にしてイン ストールを完了します。 このサービスが無効になっていることを警告するメッセージがエンドポイントのユーザ ーに表示される場合があります。 インストールの完了後に Microsoft Protection Service が復元されるので、この 警告は無視できます。

3 _{Active Response クライアント ソフトウェア パッケージ (Windows、Linux または macOS 用の [McAfee Active}

Response 2.4.0]) を選択します。

Linux 64 ビット システムで Active Response を正常に機能させるには、互換性のある 32 ビット ライブラリがエン ドポイントにインストールされている必要があります。 詳細については、KB89991 を参照してください。

4 _{[システムの選択] をクリックして、Active Response で管理するエンドポイントを選択します。} 5 [すぐに実行] を選択し、[保存] をクリックして配備を開始します。

6 Active Response クライアントを配備します。

古いバージョンの Active Response がインストールされている場合、Active Response クライアントは新しいバー ジョンに更新されます。 また、古いシステムで新しい配備に時間がかかる場合は、クライアント タスクを作成し、 タイムアウトにデフォルトの 20 分より大きい値を設定してください。 これにより、配備の完了前にタイムアウト することがなくなります。 7 エンドポイントへの配備が正常に行われたことを確認します。 配備イベントが脅威イベントとして McAfee ePO に戻され、配備失敗の説明が提供されます。 a 管理者として McAfee ePO にログオンします。

b _{[システム] 、 [Active Response 検索] の順に選択して、検索ボックスに HostInfo と入力します。}

配備されたエンドポイントのリストが表示されます。

Active Response クライアントを配備したら、適切な McAfee ePO ポリシーを設定してください。

4

ソフトウェアを初めてインストールする

5

新しいソフトウェア

バージョンにアップグレードす

る

Active Response のアップグレード

完全なアップグレードを行うと、更新を含む Active Response サーバーのコンポーネント、拡張ファイル、クライア ント パッケージがインストールされます。 パッケージを手動でインストールする場合、アップグレード中のダウンタイムを最小限に抑えるには、コンポーネン トを次の順序でインストールします。

1 _{Active Response 拡張ファイル: Active_Response_MAR_{version}.zip} 2 _{Active Response アグリゲーター}

3 管理対象システム上の Active Response クライアント

Active Response アグリゲーターは、標準の DXL クライアントと互換性がありません。 DXL アグリゲーターがインス トールされている Active Response ブローカーの場合、DXL クライアントのすべての更新が新しい Active Response ア グリゲーター パッケージに含まれています。 目次 Active Response 拡張ファイルをアップグレードする Active Response サーバーをアップグレードする クライアントをアップグレードする コンテンツパッケージをアップグレードする 追跡ルールのコンテンツパッケージをアップグレードする

5

Active Response 拡張ファイルをアップグレードする

Active Response の最新のバージョンにアップグレードすると、最新のコレクター、トリガー、リアクションを使用 してエンドポイントで脅威の調査と修復を行うことができます。 アップグレードするには、Active Response サーバ ーに _{McAfee ePO 拡張ファイルをインストールする必要があります。} 開始する前に • Active Response カタログからカスタム コレクター、トリガー、リアクション、カスタム検索をエク スポートします。 アップグレードが完了したら、アップグレード後のバージョンにカスタム コンテ ンツをインポートします。 • TIE バージョン 2.2 以前のサーバーでは、新しい統合アプライアンスをインストールすることも、既 存のサーバーに _{Active Response をインストールすることもできます。} • 同じまたは新しいバージョンの Active Response をインストールします。 タスク 1 管理者として McAfee ePO にログオンします。 2 (オプション) McAfee ePO からカスタム コレクター、リアクション、検索をエクスポートします。 a _{[カタログ] ページの [コレクター] タブからカスタム コレクターを選択して、[アクション] 、 [エクスポート]} の順に選択します。 エクスポートが完了したら、ファイルをダウンロードします。 b カスタム リアクション、トリガー、保存済みの検索をエクスポートするには、該当するタブに移動して、この 手順を繰り返します。 3 _{Active Response サーバーを停止します。} 4 [メニュー] 、 [システム] 、 [システム ツリー] の順に選択します。

5 Active Response サーバーを削除するには、[システム ツリー] から Active Response サーバーを選択して、[アク ション_{] 、 [ディレクトリ管理] 、 [削除] の順に移動します。} 6 _{McAfee ePO 5.10 に製品を自動的にインストールするには:} a [メニュー] 、 [ソフトウェア] 、 [ソフトウェア カタログ] の順に選択します。 McAfee ePO のインストール時に [製品の自動インストール] を有効にした場合は、ライセンスのある製品が自 動的にインストールされます。 b _{[ソフトウェア カタログ] ページで、必要な製品パッケージを検索します。} c 必要な製品パッケージを選択して使用許諾条件に同意し、_{[チェックイン] をクリックしてパッケージをインス} トールします。 7 McAfee ePO 5.10 以前に拡張ファイルを手動でチェックインしてインストールするには: 1 _{McAfee ダウンロード サイト (https://www.mcafee.com/enterprise/en-us/downloads.html) から拡張ファイ} ルとパッケージをダウンロードします。 2 _{[メニュー] 、 [ソフトウェア] 、 [拡張ファイル] の順に選択して、[拡張ファイルのインストール] をクリックし} ます。 手動チェックインの場合、互換性の問題を回避するため、次の順番でバンドルをインストールします。 a DXL ブローカー管理拡張ファイル

5

新しいソフトウェア バージョンにアップグレードする Active Response のアップグレード

c _{Active Response 拡張ファイル/パッケージ バンドル} d DXL クライアント パッケージ

e Active Response ワークスペース拡張ファイル

f _{Active Response クライアント パッケージ}

8 必要であれば、_{DXL ブローカーをアップグレードします。 詳細については、『McAfee Data Exchange Layer イン} ストール ガイド』を参照してください。

9 統合 _{ISO/OVA パッケージから Active Response と TIE を配備します。}

10 _{Active Response クライアントをアップグレードします。} 11 (オプション) カスタム コンテンツがある場合: カスタム コンテンツをインポートする前に、Active Response 正常性ステータスのページに緑色のインジケーター が表示されているかどうか確認します。 このインジケーターは、すべてのコンポーネントが正しく設定されている ことを意味します。 a _{Active Response 正常性ステータスのページに緑色のインジケーターが表示されているかどうか確認します。} このインジケーターが表示されていれば、すべてのコンポーネントが正しく設定されています。 b アップグレードした環境にカスタム コンテンツをインポートします。[カタログ] ページで該当するタブに移 動して [インポート] をクリックし、エクスポートしたファイルを選択して [OK] をクリックします。

Active Response サーバーをアップグレードする

統合 Active Response サーバー パッケージにアップグレードすると、同じサーバーに Active Response、TIE、DXL サ ービスが配備されます。 McAfee ePO [ソフトウェア カタログ] から Active Response サーバーの更新パッケージを インストールして配備します。

Active Response サーバー パッケージをインストールするには、McAfee ePO サーバーのプロパティで、アップロー ド サイズの上限を増やす必要があります。 この手順は、パッケージを手動でチェックインする場合にのみ必要です。

この更新を行った場合、McAfee ePO サーバーの再起動が必要です。 再起動プロセスの実行中、ユーザーがアクセスで きなくなります。

タスク

1 管理者として McAfee ePO にログオンします。

2 _{(オプション) C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\orion に移動}

します。 a _{orion.properties ファイルを右クリックして、テキスト エディターで編集します。} b ファイル内の _{orion.upload.max.size を探し、値を 768435456 に変更してファイルを保存します。} c 仮想マシンまたは物理サーバーの _{McAfee ePO サーバー アプリケーションを再起動します。} 3 以下のいずれかの方法でサーバー パッケージチェックインします。 • [メニュー] 、 [ソフトウェア] 、 [ソフトウェア カタログ] の順に選択します (McAfee ePO 5.10 の場合)。 • [メニュー] 、 [ソフトウェア] 、 [ソフトウェア マネージャー] の順に選択します (McAfee ePO 5.9 以前の場 合)。 新しいソフトウェア バージョンにアップグレードする Active Response のアップグレード

5

4 更新パッケージを配備します。

a _{[メニュー] 、 [ソフトウェア] 、 [製品配備] の順に選択して、[新しい配備] をクリックします。} b [パッケージ] ドロップダウン リストで、サーバーの更新パッケージを選択します。

c [システムの選択] をクリックし、ネットワーク内で Active Response と TIE を含む統合サーバーを選択しま す。 d _{[すぐに実行] を選択し、[保存] をクリックして配備を開始します。}

クライアントをアップグレードする

管理対象システムに新しいバージョンの Active Response クライアントをインストールして、クライアントをアップ グレードします。 開始する前に • すべての Active Response エンドポイント クライアントが最小要件を満たしていることを確認しま す。 • エンドポイントから McAfee® VirusScan® Enterprise を削除します。削除しないと、インストールに 失敗します。 • エンドポイントの McAfee®

Host Intrusion Prevention のバージョンが 8.0.0.7364 以降であること を確認します。

• エンドポイントで互換性の問題または配備エラーが解決されていることを確認します ([正常性ステ ータス] ページで確認できます)。

• Redstone 3 エンドポンとの場合は、Endpoint Security 10.2.2 または 10.5.3 が [マスター リポジト リ_{] にチェックインされていることを確認します。}

タスク

1 管理者として McAfee ePO にログオンします。

2 _{[メニュー] 、 [ソフトウェア] 、 [製品配備] の順に選択して、[新しい配備] をクリックします。}

Windows システムに配備する場合、Active Response は Microsoft Protection Service を一時的に無効にしてイン ストールを完了します。 このサービスが無効になっていることを警告するメッセージがエンドポイントのユーザ ーに表示される場合があります。 _{インストールの完了後に Microsoft Protection Service が復元されるので、この} 警告は無視できます。

3 _{Active Response クライアント ソフトウェア パッケージ (Windows、Linux または macOS 用の [McAfee Active}

Response]) を選択します。

Linux 64 ビット システムで Active Response を正常に機能させるには、互換性のある 32 ビット ライブラリがエン ドポイントにインストールされている必要があります。 詳細については、KB89991 を参照してください。

4 _{[システムの選択] をクリックして、Active Response で管理するエンドポイントを選択します。} 5 [すぐに実行] を選択し、[保存] をクリックして配備を開始します。

5

新しいソフトウェア バージョンにアップグレードする

6 _{Active Response クライアントを配備します。}

古いバージョンの Active Response がインストールされている場合、Active Response クライアントは新しいバー ジョンに更新されます。 また、古いシステムで新しい配備に時間がかかる場合は、クライアント タスクを作成し、 タイムアウトにデフォルトの 20 分より大きい値を設定してください。 これにより、配備の完了前にタイムアウト することがなくなります。

7 エンドポイントへの配備が正常に行われたことを確認します。

a 管理者として McAfee ePO にログオンします。

b _{[システム] 、 [Active Response 検索] の順に選択して、検索ボックスに HostInfo と入力します。}

配備されたエンドポイントのリストが表示されます。 Active Response クライアントがオンラインの間にアップグレードを実行できます。 新しいバージョンがインスト ールされるとすぐに、クライアントは Active Response サーバーに応答します。 関連トピック: 35 ページの「Active Response 正常性ステータスの確認」

コンテンツ

パッケージをアップグレードする

コンテンツ _{パッケージをインストールすると、新しいコレクターやリアクション、既存の組み込みコレクターやリア} クションの新しいバージョンを入手できます。 コンテンツ パッケージに含まれる新しいコレクターやリアクションを使用すると、保存された検索やトリガーの一部 が使用できなくなる可能性があります。 この状況は、更新によって組み込みコレクターの出力フィールドまたは組み 込みのリアクション引数が変更された場合にのみ発生します。 コンテンツ パッケージによって導入されるコレクター とリアクションの変更については、『McAfee Active Response コンテンツ更新リリース ノート』を参照してください。

タスク 1 管理者として _{McAfee ePO にログオンします。} 2 [メニュー] 、 [ソフトウェア] 、 [ソフトウェア マネージャー] の順に選択して、Active Response コンテンツ パッ ケージをチェックインします。 コンテンツ パッケージの形式は、BaseActiveResponseContent‑MajorVersion.MinorVersion .PatchVersion‑BuildVersion.zip になります。 配備で自動更新が有効になっている場合、マスター リポジトリにチェックイン後、パッケージが自動的にインス トールされます。 _{自動更新が有効になっていない場合は、更新の配備タスクを作成します。}

追跡ルールのコンテンツ

パッケージをアップグレードする

Active Response ルールのコンテンツ パッケージは、追跡ルールの追加、更新、削除を行います。 [ソフトウェア マ ネージャー_{] で新しい更新が利用可能になったときに、追跡ルール コンテンツの更新をエンドポイントに自動的に配} 備できます。 追跡ルールは、潜在的な脅威と重大度を判別し、追跡タイムラインに表示します。 _{デフォルトでは、追跡ルールのコ} ンテンツは自動的に更新されます。更新タスクが 240 分 (4 時間) ごとに実行されるようにスケジュールされていま す。 これは、McAfee ePO で有効になっている自動実行タスクです。 タスク 1 管理者として _{McAfee ePO にログオンします。} 2 [メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択し、[My Default] をクリックします。 新しいソフトウェア バージョンにアップグレードする Active Response のアップグレード

5

3 _{[全般] タブで、[コンテンツの自動更新を有効にする] を選択して、この機能を無効または有効にします。} この機能を無効にすると、ルールを手動で更新できます。 4 [コンテンツ自動更新のタイムアウト (分)] のデフォルト値を変更するには、フィールドの値を編集します。 更新はサイクルごとにチェックされます。新しい更新が利用できる場合、エンドポイントに配備され、追跡ルールが 更新されます。 関連トピック: 47 ページの「コンテンツルールをロールバックする」

5

新しいソフトウェア バージョンにアップグレードする Active Response のアップグレード

6

インストール後の作業

目次 Active Response 正常性ステータスの確認 McAfee Cloud アカウントを作成する DXL ブローカー拡張機能の設定 McAfee ePO プロキシサーバーを設定する (オプション) アグリゲーターをインストールする (オプション) 複数の McAfee ePO サーバーを設定する

McAfee Advanced Threat Defense の設定

Active Response 正常性ステータスの確認

[Active Response 正常性ステータス] ページには、エンドポイントの数、エンドポイントの配備状態、互換性のない 非対応のバージョン、サーバーやサービスとの接続問題が表示されます。

このページは、エンドポイント、サーバー、クラウド _{ブリッジの接続状態を確認できる重要な場所です。 Active} Response 正常性ステータス ページを表示するには、[メニュー] 、 [システム] 、 [Active Response 正常性ステータ ス_{] の順に選択します。あるいは、ワークスペースに表示された [正常性ステータス アラート] ウィンドウのリンクを} クリックします。 _{エンドポイント、サーバーまたはクラウド サービスで重大な問題が発生し、注意が必要になると、} [正常性ステータス アラート] ウィンドウが表示されます。 表 6-1 クライアントの正常性ステータス ステータス 説明 [エンドポイントの合 計] 環境内で Active Response が配備されているエンドポイント、配備待ちのエンドポイント、 互換性のないエンドポイントの合計数。 [Active Response 配備 済み]

現在 Active Response を実行しているエンドポイントの数と、McAfee ePO で管理される 追跡ステータスが表示されます。 追跡プラグインが無効になっていると、警告メッセージ が表示され、影響を受けるエンドポイントの数が表示されます。 _{リンクをクリックすると、} 影響を受けるホストのリストが表示されます。 [Active Response の配 備待ち_] 互換性があり、配備待ちのエンドポイント。 配備が必要な新しいエンドポイント (macOS、 Windows、Linux) の数と更新が必要なエンドポイントの数が表示されます。

6

表 _{6-1 クライアントの正常性ステータス (}続き) ステータス 説明 [Active Response との 互換性がない_] 互換性がなく、配備待ちのエンドポイント。 エンドポイントの Active Response 要件を満たしていません。 ステータス リスト: • サポートされていないバージョンのエンドポイント クライアント (Endpoint Security や McAfee Agent など) と影響を受けるエンドポイントの数。 • エンドポイントでサポートされていないクライアント (VirusScan Enterprise など) と影 響を受けるエンドポイントの数。 • サポートされていないオペレーティング システムがインストールされているエンドポイ ントと、影響を受けるエンドポイントの数。 サポートされていない OS バージョンのエ ンドポイントでは Active Response のインストールに失敗するため、アップグレードが 必要なエンドポイントを把握できます。 [Active Response の配 備失敗_] エンドポイントで配備に失敗した回数。 表 _{6-2 サーバーの正常性ステータス} ステータス 説明 [Active Response サーバ

ー_{] (バージョン番号)} Active Response サーバーのバージョン、名前、IP アドレス、ステータス、設定ページのリンクが表示されます。 サーバーに接続可能かどうか、サーバーの更新が必要かどう かが表示されます。 _{問題のトラブルシューティングを行うには、リンクをクリックしま} す。 [Advanced Threat Defense] (バージョン番 号) McAfee®

Advanced Threat Defense サーバーの名前と IP アドレス。 リンクをクリック すると、設定を編集できます。 [DXL ブローカー] (バージ ョン番号) DXL ブローカーのバージョンとステータス (接続の成功または失敗) が表示されます。ブローカーが使用できない場合は、リンクをクリックして問題のトラブルシューティン グを行います。 [Threat Intelligence Exchange サーバー] (バ ージョン番号₎ TIE サーバーのバージョン、名前、IP アドレス、ステータス、設定ページのリンクが表 示されます。 サーバーが使用できない場合は、リンクをクリックして問題のトラブルシ ューティングを行います。

Active Response サーバーと TIE サーバーを同じサーバーに配備した場合、これらのサ ーバーに同じ _{IP アドレスが表示されます。} [クラウド ストレージと サービス] 特定の接続要件または設定要件を満たしていない場合があります。 たとえば、Cloud Bridge との接続が切断されているか、タイムアウトが発生しています。 クラウド アカ ウントが設定されていないか、設定に誤りがあります。 • ブリッジされた McAfee ePO サーバーに異なる場所が設定されています。 DXL ファ ブリックごとに _{1 つの場所を選択する必要があります。} • ブリッジされた McAfee ePO サーバーが異なるクラウド アカウントにリンクしてい ます。 ブリッジされた McAfee ePO サーバーに設定できるクラウド アカウントは 1 つだけです。

McAfee Cloud アカウントを作成する

McAfee Cloud アカウントを作成して、クラウド ブリッジ サービスにリンクします。

6

インストール後の作業 McAfee Cloud アカウントを作成する

新しいクラウド _{アカウントを登録することも、ワークスペースの [設定] リンクでクラウド アカウントを設定するこ} ともできます。

McAfee Cloud アカウントのステータスを確認するには、ワークスペース バーから [設定] をクリックします。

地理的に異なる場所間での切り替えは、データを失う可能性があります。このため、この作業はサポートされていない か、推奨されません。 この設定は固定を意味します。

McAfee Cloud Bridge の設定で既存の McAfee ePO Cloud アカウントのリンクを解除し、別の McAfee Cloud アカウン トにリンクすると、前の McAfee Cloud アカウントの脅威データにアクセスできなくなります。 タスク 1 管理者として _{McAfee ePO にログオンします。} 2 ワークスペース バーから [設定] をクリックします。 クラウド アカウントが設定されると、[設定] ペインに場所とクラウド アカウントの認証情報が表示されます。 3 場所の変更、クラウド _{アカウントの作成または変更を行うには、[クラウド アカウント] の横にある編集アイコン} (鉛筆) をクリックします。 McAfee Cloud アカウントを持っていない場合は、次の操作を行います。 a _{[アカウントの作成] リンクをクリックします。} b 会社情報と連絡先情報を入力します。 会社の McAfee Cloud アカウントの作成時に使用したメール アドレスを使用してください。 c 使用許諾契約の内容を確認して同意し、[送信] をクリックします。 フォームを送信すると、McAfee Cloud アカウントの登録方法とパスワードの設定方法を通知するメールが届きま す。 4 _{[地域] ドロップダウン リストから、データを保存する場所を選択します。}

Active Response をアップグレードする場合は、前のバージョンの Active Response の場所がデフォルトの選択 になります。

5 McAfee Cloud アカウントのメール アドレスとパスワードを入力して、使用許諾条件に同意し、[保存] をクリック します。

インストール後の作業

6 _{(オプション) [追跡データを Active Response クラウド サービスに送信する] を選択し、追跡データを Active} Response クラウド サービスに送信するように DXL ブローカーを設定します。 この機能を無効にすると、Active Response ワークスペースでクラウド サービスからデータを受信できなくなりま す。 この機能を有効にして潜在的な脅威の調査を始めることをおすすめします 7 _{[保存] をクリックします。 使用許諾条件に同意した場合にのみ、[保存] ボタンが使用可能になります。}

クラウド

ストレージの場所の変更

脅威データを保管するクラウド ストレージの場所を変更します。 別の場所を選択するには、ワークスペースで _{[設定] をクリックして、[クラウド アカウント] ドロップダウン リスト} から地域を選択します。 別の場所を設定する場合には、次のガイドラインに従ってください。 地理的に異なる場所間での切り替えは、データを失う可能性があります。このため、この作業はサポートされていない か、推奨されません。 この設定は固定を意味します。 • アップグレード後、Active Response の前のリリースで選択した位置情報はデフォルトの選択として残ります。 • McAfee ePO サーバーがブリッジされている場合、1 つの場所と 1 つの McAfee Cloud アカウントを選択する必要

があります。 ブリッジされた McAfee ePO サーバーに別々の場所を選択することはできません。 [正常性ステー タス] ページでアラートを確認してください。 複数の McAfee ePO サーバーがリンクしていない場合には、別々 の場所を選択できますが、同じ _{McAfee Cloud ブリッジ アカウントを使用する必要があります。}

• DXL ファブリックごとに 1 つの場所を選択できます。

• リンクされているすべての McAfee サーバーに同じ McAfee ePO Cloud ブリッジ アカウントを使用する必要が あります。 複数のクラウド アカウント間での切り替えは、データを失う可能性があります。このため、この作業はサポートされ ていないか、推奨されません。 クラウドの地理的な場所やブリッジされた McAfee ePO サーバーを管理する場合には、 1 つのクラウド アカウントを使用することをお勧めします。 • エンドポイントのローミングはサポートされません。 • クラウド上の異なる場所の間でデータを共有することはできません。 • 新しい場所が使用可能になると、これらの場所が選択メニューに追加されます。Active Response を再インストー ルしたり、アップグレードする必要はありません。 追跡情報の取得で同時にアクセスできる場所は 1 つだけです。 たとえば、場所を X から Y に変更すると、場所 X で使 用可能だった脅威データにはアクセスできなくなります。 場所を X に戻すと、古い追跡情報にアクセスできますが、 場所 Y にある新しい追跡情報にはアクセスできなくなります。 場所の切り替えを行うと、データを失うリスクがあり ます。

DXL ブローカー拡張機能の設定

ブローカー拡張ファイルは、_{Data Exchange Layer ブローカーで有効にできる追加機能です。これにより、他の管理} 対象製品の新機能を追加することができます。 Active Response で使用される追跡ブローカー拡張ファイルを有効 にします。 Active Response 2.1 以降では、バージョン 3.0.0 以降の DXL ブローカーが 1 つ以上必要です。 以前のブローカー バ ージョンでは追跡拡張ファイルを使用できません。

6

インストール後の作業 DXL ブローカー拡張機能の設定