Issue:
Security Cloud の接続問題をトラブルシューティングする方法。
この記事は次の製品に適用されます。
- コンピュータ用のElements EPP
- サーバー用のエレメント EPP
- ビジネス スイート クライアント セキュリティ
- ビジネススイートのサーバーセキュリティ
Resolution:
セキュリティクラウドとは何ですか?
WithSecureエンドポイント製品で Security Cloud が有効になっている場合、WithSecure バックエンドに接続してレピュテーションやその他のオブジェクトをチェックします。 WithSecureエンドポイント製品には、クラウドに接続せずにマルウェアを検出できるデータベースの更新機能がありますが、評判を確認するにはクラウド接続が必要です。ローカル キャッシュもありますが、最初はクラウドから来て、誤検知のホワイトリスト登録が行われます。
WithSecureエンドポイント製品で Security Cloud が有効になっている場合、WithSecure バックエンドに接続してレピュテーションやその他のオブジェクトをチェックします。 WithSecureエンドポイント製品には、クラウドに接続せずにマルウェアを検出できるデータベースの更新機能がありますが、評判を確認するにはクラウド接続が必要です。ローカル キャッシュもありますが、最初はクラウドから来て、誤検知のホワイトリスト登録が行われます。
次のような Security Cloud に依存する機能が多数あるため、Security Cloud を無効にすることはお勧めできません。
- クラウド接続によるディープガード :
ORSP によって信頼されていると報告された署名のないプロセスは、 ディープガードによる詳細な監視から除外されます
- クラウド接続のないディープガード :
サードパーティアプリケーションの操作でパフォーマンスが大幅に低下する
署名されていないファイルは除外されません
署名されていないファイルは除外されません
- クラウド接続によるアプリケーション制御:
普及率と評判に応じたルールは正常に機能します
- クラウド接続を使用しないアプリケーション制御:
ORSP によって信頼されていると報告された署名のないファイルは、ローカル エンジンによるスキャンから除外されます
普及率や評判に応じたルールは機能しない
機能が部分的に動作しない
普及率や評判に応じたルールは機能しない
機能が部分的に動作しない
- クラウド接続によるファイルスキャン:
ORSP によって信頼されていると報告された署名のないファイルは、ローカル エンジンによるスキャンから除外されます
- クラウド接続なしでのファイル スキャン:
署名されていないファイルは除外されません
ファイルアクセス時に一部のパフォーマンスが低下する
ファイルアクセス時に一部のパフォーマンスが低下する
- クラウド接続による閲覧保護:
制限なく動作します
- クラウド接続による閲覧保護:
機能が完全に Security Cloud に依存しているため、まったく機能しません
機能が部分的に動作しない
機能が部分的に動作しない
- クラウド接続による Web トラフィック スキャン:
ORSP によって信頼され普及していると報告された URL については、サーバーから返されたコンテンツがスキャンされます
- クラウド接続を使用しない Web トラフィック スキャン:
WTS は、傍受されたすべての URL のすべての応答をスキャン、大きなパフォーマンスの問題を引き起こします
Web ブラウジングにおける大きなパフォーマンスの問題
Web ブラウジングにおける大きなパフォーマンスの問題
WithSecure セキュリティ クラウドはどのように機能しますか?
セキュリティ クラウドは、未知のアプリケーションや Web サイト、悪意のあるアプリケーション、Web サイトのユーザーの情報をエクスプロイト悪意のある活動に関する情報を収集します。 Security Cloud に加入すると、加入しているセキュリティ サービスを提供し、他のサービスのセキュリティを強化できるように、当社は重要な情報を収集します。このため、また当社のサービスを運用するために、未知のファイル、不審なデバイスのアクティビティ、または訪問した URL に関するセキュリティ情報を収集する必要があります。
Security Cloud は、インターネットの使用状況を監視せず、すでに分析された Web サイトや、コンピューターにインストールされている安全でないアプリケーションに関する情報を収集しません。
セキュリティ クラウドに関連する接続の問題をトラブルシューティングするにはどうすればよいですか?
Security Cloud を有効にする場合、エンドポイントは Security Cloud と通信する必要があるため、ファイアウォール上の次のドメインをホワイトリストに登録する必要もあります。
- *.f-secure.com
- *.fsapi.com
注:上記のドメインは、ファイアウォールまたはプロキシのホワイトリストに登録する必要があります。環境内でプロキシを有効にしている場合、クライアントは検出サービス経由でプロキシを読み取り、それを介して *.fsapi.com への接続を試みます。
クライアントはその情報をレジストリに書き込みます。
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"値"=(REG_SZ):http://proxy.example.intern:3128
「アクセス」=(REG_DWORD):1
クライアントはその情報をレジストリに書き込みます。
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"値"=(REG_SZ):http://proxy.example.intern:3128
「アクセス」=(REG_DWORD):1
ネットワーク クエリが F-Secure バックエンドへの接続に失敗した場合の例では、fsscorplug.log から、クライアントがバックエンドサーバーの 1 つに接続しようとして失敗した様子がわかります。
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: ハンドル 0000023C45E27C50 の失敗 5 プロキシを解決できませんでした: proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http タスク 0000023C45E9AC20 の http エラー 111 (5)、時間 4 ミリ秒
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc 呼び出し完了エラー 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::update: ドアマンのクールダウンがオフです、ttl: 15、fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: ハンドル 0000023C468C1D90 の失敗 28 0 バイトを受信して 1006 ミリ秒後に操作がタイムアウトしました
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http タスク 0000023C45E76790 の http エラー 201 (28)、時間 1006 ミリ秒
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc 呼び出し完了エラー 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC サーバーが停止しました
ログには、実際のネットワーク障害である fserr 101 または 218 が含まれる場合があります。
クエリはキャッシュに 2 時間保存されるため、ログにはキャッシュからの結果の一部が表示されます。つまり、ファイアウォールでドメインを許可しただけであれば、クライアントはさらに 2 時間キャッシュ クエリを使用することになります。キャッシュのクリーンアップは、接続テストの結果をより迅速に得るために行われます。次のようにクライアントから直接キャッシュをクリーンアップできます。
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: ハンドル 0000023C45E27C50 の失敗 5 プロキシを解決できませんでした: proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http タスク 0000023C45E9AC20 の http エラー 111 (5)、時間 4 ミリ秒
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc 呼び出し完了エラー 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::update: ドアマンのクールダウンがオフです、ttl: 15、fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: ハンドル 0000023C468C1D90 の失敗 28 0 バイトを受信して 1006 ミリ秒後に操作がタイムアウトしました
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http タスク 0000023C45E76790 の http エラー 201 (28)、時間 1006 ミリ秒
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc 呼び出し完了エラー 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC サーバーが停止しました
ログには、実際のネットワーク障害である fserr 101 または 218 が含まれる場合があります。
クエリはキャッシュに 2 時間保存されるため、ログにはキャッシュからの結果の一部が表示されます。つまり、ファイアウォールでドメインを許可しただけであれば、クライアントはさらに 2 時間キャッシュ クエリを使用することになります。キャッシュのクリーンアップは、接続テストの結果をより迅速に得るために行われます。次のようにクライアントから直接キャッシュをクリーンアップできます。
- 管理者権限でコマンドプロンプトを開きます
- ネットワーク ホスターを停止します: net stop fsulnethoster
- 「C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor」からすべてのファイルを削除します。
- ネットワークホスターを開始します: net start "fsulnethoster
ファイアウォールで *.f-secure.com と *.fsapi.com を許可している場合は、次の 2 つの方法で接続をテストできます。
- ブラウザで URL を開くと、OK と応答するはずです。
https://baseguard.doorman.fsapi.com/doorman/v1/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
- F-Secure 接続ツールを使用します。このツールは、Elements Endpoint Protection (EPP for Computers および EPP for Servers)、Business Client Security、および Business Suite Server Security のインストール フォルダーにあります。このツールを使用すると、製品が接続するアドレスのリストを表示し、それらへの接続を確認できます。
このツールは次のフォルダーにあります。
- クライアント セキュリティ: C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- サーバー セキュリティ: C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- コンピューター用の要素 EPP およびサーバー用の EPP: C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
このような動作があった場合、どのログをチェックする必要がありますか?
fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: 待機に失敗しました: 258
.W: fs::rs::WinSocket::Impl::connect: 接続タイムアウト: doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage: メッセージ 2222 の応答に失敗しました
orspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: 待機に失敗しました: 258
.W: fs::rs::WinSocket::Impl::connect: 接続タイムアウト: doorman.sc.fsapi.com
ディープガード.log
.W: SecurityCloud::Query: 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0) の ORSP が失敗しました
.W: SecurityCloud::Query: ORSP の連続失敗が多すぎます。それ以降の失敗ログは抑制されます
.W: SecurityCloud::Query: ORSP クエリに 3016 ミリ秒かかりました
TransportAgent.log (電子メールとサーバー セキュリティのみ)
.W: FSecure.Ess.Fsscore.Client: URL('http://schemas.microsoft.com/office/2004/12/xxxx') の FSSCORE クエリが失敗しました、エラー = タイムアウト
.W: FSecure.AntiVirus.Exchange.Transport.FSMessageScanner: FSSCORE から応答を取得できません。次の URL はスキャンされません
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.