Trend Micro の Deep Security でよくあるエラー

  • 2022年5月20日
  • 2022年5月21日
  • Trend Micro
  • 2211view

Trend Micro の Deep Security(Agent レス)において、 よくあるエラーと対処方法を紹介します。

Deep Security とは

Deep Security Virtual Appliance(DSVA)が VMware ハイパーバイザーと連携し、各仮想マシンにセキュリティ対策ソフトをインストールすることなく、アンチウィルス対策機能を提供することができます。
主な特徴は、以下のとおりです。

  1. 各仮想マシンごとのソフトインストールが不要
  2. セキュリティ対策時は共有リソースを使用するため、消費リソースを節約できる。[1]DSVA がウィルス検索処理を実行する。
  3. 各種コンポーネントは DSVA のみに配信されるため、各マシンの容量を節約できる。

エラー:不正プログラム対策エンジンがオフライン

Deep Seuciry(Agent レス)において、「不正プログラム対策エンジンがオフライン」のエラーが発生する場合があります。このエラーが発生した場合、対象の仮想マシンは「無保護」状態となるため、放置していると感染リスクが高まります。
基本的には、「トラブルシューティングガイド」に沿って診断と対処を行いますが、経験上、最も多いのはソフトウェアの不具合とリソース不足になります。ソフトウェアが最新かつ、リソースも問題ない場合、以下の対処が解決することがあります。[2]Deep Security 11.0 と NSX 6.4.4 の組み合わせが前提です。

特定の仮想マシンのみで事象が発生している場合

考えられる原因
  1. 仮想マシンがスリープ状態になっている。
  2. VMware Tools が起動していない。
  3. vsepflt/vmci ドライバーが停止している。
  4. NSX のセキュリティグループ/セキュリティポリシー設定に誤りがある。
対策

vsepflt/vmci ドライバーの状態は、対象の仮想マシンにログインして、コマンドで確認できます。

sc query vsepflt
sc query vmci

STATE が RUNNING になっていれば問題ありませんが、それ以外の場合は、VMware Tools の再インストールを実施する必要があります。

特定の ESX 上の全ての仮想マシンで事象が発生している場合

考えられる原因
  1. Deep Security Agent のプロセスが正常に動作していない。
  2. vShield-Endpoint-Mux プロセスが正常に動作していない。
対策
  1. 対象の DSVA へログインして、以下のコマンドで Deep Security Agent を再起動します。
    service ds_agent restart
  2. 対象の ESX にログインして、以下のコマンドで vShield-Endpoint-Mux を再起動します。
    /etc/init.d/vShield-Endpoint-Mux restart

エラー:セキュリティアップデートに失敗

セキュリティアップデートに失敗する場合のトラブルシューティングは、基本的に「セキュリティアップデートが失敗する場合のトラブルシューティング方法」にそって実施していきますが、こちらに記載されている以外に「証明書関連」の問題を経験しましたのでご紹介します。

エラー内容

DSM(Deep Security Manager)側では、「セキュリティアップデート:Agent/Appliance でのパターンファイルのアップデート失敗」、Deep Security Relay 側では、「セキュリティアップデート:セキュリティアップデートの確認とダウンロード失敗」のエラーが表示されます。

原因と対策

考えられる原因

Deep Security 11.0 では、セキュリティアップデートでプロキシサーバーを経由する場合、プロキシ側で TLS 通信を証明書情報が置き換えられる等により、TLS 認証で問題(証明書情報の不一致)が発生し、セキュリティアップデートに失敗する場合があります。

対策

DSM 管理コンソールの「管理」>「システム設定」>「アップデート」の「セキュリティアップデート元」にて、「その他のアップデート元」にチェックを入れ、以下のように記述します。

https://ipv6-iaus.trendmicro.com/iau_server.dll//

URL の末尾に / が追加されています。
/ を追加することで、アップデートサーバーの TLS 認証が無効となります。

以上

脚注

脚注
1 DSVA がウィルス検索処理を実行する。
2 Deep Security 11.0 と NSX 6.4.4 の組み合わせが前提です。