【小ネタ】 Windows Server に導入した Cloud One Workload Security 不正プログラム対策機能の動作確認を EICAR テストファイルで実施する手順

【小ネタ】 Windows Server に導入した Cloud One Workload Security 不正プログラム対策機能の動作確認を EICAR テストファイルで実施する手順

Windows Server に導入した Cloud One Workload Security 不正プログラム対策機能の動作確認を EICAR テストファイルで実施してみました。
#Cloud One
#Cloud One Workload Security
#Trend Micro
板倉舞

板倉舞

facebook logohatena logotwitter logo
Clock Icon2025.02.26

カスタマーサクセス部 運用支援チームのいたくらです。

EC2(Windows Server 2022)に Cloud One Workload Security(以降 C1WS と表記) を導入後、不正プログラム対策機能の動作確認を EICAR テストファイルで実施する機会がありました。
今回はこの実施手順を紹介します。

前提

自分が検証した環境を紹介します。

  • C1WS 側
    • 不正プログラム対策が オン、リアルタイム となっている
    • 侵入防御、変更監視、セキュリティログ監視にルールが適用済み
      1-2.png
  • AWS アカウント側
    • 対象 EC2 には SSM エージェントを導入済みで、セッションマネージャーが使用可能
    • 対象 EC2 からインターネットへアクセス可能な状態(NAT ゲートウェイを使用)

実施手順

対象 EC2 にセッションマネージャー経由で接続します。
PowerShell が表示されたら以下のコマンドを実行します。

// テスト用ディレクトリ(tmp)を作成
mkdir tmp

// テスト用ディレクトリに移動
cd tmp

// EICAR テストファイルをダウンロード
Invoke-WebRequest -Uri "https://secure.eicar.org/eicar.com.txt" -OutFile "eicar.com.txt"

// 不正プログラム対策機能によりリアルタイムで退避されるため、ファイルが存在しないことを確認
Get-ChildItem
コマンド実行結果
PS C:\Windows\system32> mkdir tmp

    ディレクトリ: C:\Windows\system32

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-----        2025/02/25     10:08                tmp

PS C:\Windows\system32> cd tmp
PS C:\Windows\system32\tmp>
PS C:\Windows\system32\tmp> Invoke-WebRequest -Uri "https://secure.eicar.org/eicar.com.txt" -OutFile "eicar.com.txt"
PS C:\Windows\system32\tmp>
PS C:\Windows\system32\tmp> Get-ChildItem
PS C:\Windows\system32\tmp>

コマンド実行後、C1WS コンソールでも検知を確認します。
「イベントとレポート」>「不正プログラム対策イベント」の順にクリックすると、先ほどダウンロードした EICAR テストファイルが検知され、削除されたことが確認できます。
2-3.png

確認ができたら、セッションマネージャー経由の接続に戻り、テスト用ディレクトリを削除します。

// 一階層上に移動
cd ../

// tmp ディレクトリを削除
Remove-Item tmp

// tmp ディレクトリが存在しないことを確認
cd tmp
コマンド実行結果
PS C:\Windows\system32\tmp> cd ../
PS C:\Windows\system32> Remove-Item tmp
PS C:\Windows\system32> cd tmp
cd : パス 'C:\Windows\system32\tmp' が存在しないため検出できません。
発生場所 行:1 文字:1
+ cd tmp
+ ~~~~~~
    + CategoryInfo          : ObjectNotFound: (C:\Windows\system32\tmp:String) [Set-Location], ItemNotFoundExcep
   tion
    + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.SetLocationCommand

PS C:\Windows\system32>

さいごに

C1WS の不正プログラム対策機能の動作確認を EICAR テストファイルで実施する手順をご紹介しました。
Windows だと Linux とコマンドが違ったりするので戸惑うことがありますよね。
実際に戸惑った自分の経験から生まれたブログになります。

この記事がどなたかのお役に立てれば幸いです。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。
サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

Share this article

facebook logohatena logotwitter logo

関連記事

Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

Trend Vision One Endpoint Security(Server & Workload Protection)にCloud One Workload Securityのポリシーを複製してみた

User avatar
shima
2024.11.14
การติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

การติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

การสร้างบัญชี Trend Cloud One และเชื่อมต่อกับ AWS

การสร้างบัญชี Trend Cloud One และเชื่อมต่อกับ AWS

Cloud One Workload SecurityのアラートをSlackへ通知してみた

Cloud One Workload SecurityのアラートをSlackへ通知してみた

User avatar
shima
2024.08.08
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.