FAQ: Red Cloak Endpoint Agent🔗
どのオペレーティングシステムがRed Cloak Endpoint Agentをサポートしていますか?
必要なネットワーク帯域幅はどれくらいですか?
Red Cloak Endpoint Agentは、通常1エンドポイントあたり1日数メガバイト、通常は5MB未満しか消費しません。特定の条件下では、一部のホストがより多くのトラフィックを発生させる場合がありますが、これは稀です。
ホストおよびネットワーク上でのRed Cloak Endpoint Agentのフットプリントはどの程度ですか?
スキャン期間中、Red Cloak Endpoint AgentによるCPU使用率が増加することが知られています。以下の表は、各システムリソースとその一般的な利用状況を示しています。
| システムリソース | 説明 |
|---|---|
| CPU使用率 | 通常は低いCPU優先度で動作 |
| RAM使用量 | 平均100MB未満、上限600MB |
| ネットワーク使用量 | 通常1日あたり5MB未満 |
| ディスク容量 | 300MBに制限 |
注意
VDIコンテナでは、エージェントごとに少なくとも1つの物理CPUが必要です。 通常よりも高いネットワークトラフィックが発生しているエンドポイントでは、CPU負荷が高くなる場合があります。 CPU使用率の割合はデフォルトで制限されていません。システムは10秒ごとにポーリングされ、CPU使用率を確認します。使用率がしきい値(デフォルトでは無制限)を超えている場合、プロセスは10秒間サスペンドされます。
これらの設定は、パッケージ作成時やRC構成の更新時に設定可能です。
なぜRed Cloak Endpoint Agentは複数のプロセスを実行しているのですか?
これはRed Cloak Endpoint Agentの想定された動作です。複数のプロセスは、利用されている異なるモジュールを表しています。Windowsを使用している場合は、タスクマネージャー内でプロセスを右クリックし、プロパティを選択することで、そのプロセスに関連するモジュールを表示できます。表示されるモジュールの詳細については、Red Cloak Endpoint Agent 技術詳細トピックをご覧ください。
また、1つのモジュールで複数のプロセスが動作する場合もありますが、Red Cloak Endpoint Agentは低いCPU優先度で動作するため、他のプロセスに必要なCPUを消費することはありません。
どのようなレスポンスアクションがRed Cloak Endpoint Agentでサポートされていますか?
Secureworks® Taegis™ XDRでは、管理者が以下のレスポンスアクションを実行できます。
- ホストの隔離 - Windowsのみサポート
ホストからRed Cloak Endpoint Agentが収集するデータの種類は?
Red Cloak Endpoint Agentは、脅威や関連する挙動を特定するために分析される、さまざまなエンドポイントテレメトリーを収集します。以下の情報が継続的に取得され、Secureworksデータセンターに送信されて分析されます。
- プロセスおよびコマンドラインパラメータ
- スレッドインジェクションイベント
- バイナリ、実行ファイル、DLLなどのファイル
- レジストリの変更
- ネットワーク接続
- DNSリクエスト
- Windowsログ
- ディスクおよびメモリアーティファクト
アンチウイルス製品がRed Cloak Endpoint Agentをブロックしました。どうすればよいですか?
アンチウイルス製品は、オペレーティングシステムやインストール済みソフトウェアへの異常な変更を監視します。こうした変更の一例として、Red Cloak Endpoint Agentのプロセスによって作成されるデータファイルがあります。Red Cloak Endpoint Agentはオペレーティングシステムに属するものを変更しませんが、一部のAV/マルウェア対策製品は、Red Cloak Endpoint Agent自身のファイルの変更を不正な挙動とみなしてプロセスをブロックまたは停止する場合があります。以下は、この問題を解決するための提案です。
デフォルトでRed Cloak Endpoint Agentに属する以下のフォルダーを、AVスキャンの除外対象または許可リスト/セーフリストに追加することを推奨します。
%ProgramFiles(x86)%\Dell SecureWorks\Red Cloak\%ProgramFiles(x86)%\Dell SecureWorks\Ignition\
Trend Micro OfficeScan🔗
Trend Micro OfficeScan Endpoint Protection製品の機能の1つに、動作監視(Behavior Monitoring)があります。デフォルトではOFFで、特定のイベントに対してアクセスを許可する設定になっています。しかし、企業の保護ポリシーによっては、より安全で脆弱性の少ないシステムを実現するために、この設定を厳格化する必要があります。Red Cloak Endpoint Agentのすべてのコンポーネントはデジタル署名されており、設計上の動作も考慮すると、Red Cloak Endpoint Agentは不正なアプリケーションとして扱うべきではなく、定期スキャンやリアルタイムブロック/保護の対象から除外してください。
マルウェア動作ブロック、イベント監視、例外リストの設定方法については、以下のTrend Micro 記事をご参照ください。Red Cloak Endpoint Agentの例外リストを定義する際は、Red Cloak Endpoint Agentのデフォルトインストールディレクトリである%ProgramFiles(x86)%\Dell SecureWorks\Red Cloak\と、Ignitionアップデートモジュールのデフォルトディレクトリである%ProgramFiles(x86)%\Dell SecureWorks\Ignition\の2つのディレクトリを除外してください。
Trend Micro Security🔗
Trend Micro Securityは、Red Cloak Endpoint Agentを望ましくないプログラムと誤認する場合があります。Red Cloak Endpoint Agentの動作を許可するためのTrend Micro Securityの例外リスト設定方法については、Trend Micro Exception Listへの項目追加方法をご覧ください。
最近のRed Cloak Endpoint Agentの変更点は?
バージョンアップデートについては、Red Cloak Endpoint Agent 変更履歴 をご覧ください。
どのようにRed Cloak Endpoint Agentを展開しますか?自社のソフトウェア配布システム(例:Landesk、Gpo、Sccm)を利用できますか?
推奨される展開方法は、お客様が既に利用しているホスト管理システムを使用することです。Secureworksは、お客様のネットワークに特化した設定を埋め込んだMSIパッケージを提供します。このパッケージは、グループポリシーやその他の類似手段で展開できます。MSIが不便な場合は、ドメインログオンスクリプトに追加できるスタンドアロン実行ファイルも提供可能です。ほとんど、またはすべての配布システムをサポートしています。
エンドポイントセンサーのデフォルトリソース制限は?リソース制限が発動した場合はどうなりますか?
デフォルトのディスク使用量制限はローカルストレージ300MBです。デフォルトのメモリワーキングセット制限は600MBです。センサーは通常、低いCPU優先度で動作するため、優先度の高いプロセスが常に優先されます。ただし、他のプロセスが動作していない、またはアイドル状態の場合、Red Cloak Endpoint Agentセンサーは利用可能なリソースを使用します。CPU使用率の割合はデフォルトで制限されていません。これらの設定は、パッケージ作成時や構成更新時に設定可能です。
各リソース制限には重大度レベルがあり、より高い制限に達するとより積極的な対応が行われます。たとえば、ディスク使用量制限が低重大度で発動した場合、ログやローカルキャッシュデータなどの不要ファイルがクリーンアップされます。深刻重大度では、すべてのファイルが削除されます。メモリ制限が発動した場合も、ディスク制限と同様のレベルがあります。異なるタイミングで、メモリ内のキャッシュデータのクリアやプロセスのサスペンドなどのアクションが実行されます。
CPU制限は定期的に計算され、発動時にはプロセスを一定期間スリープまたはサスペンドします。CPU使用率は、常に使用状況を確認し続けないようにチェックされます。システムは10秒ごとにポーリングされ、使用率を確認します。関連プロセスが通常の使用率しきい値(デフォルトでは無制限)を超えている場合、プロセスは10秒間のペナルティ間隔でサスペンドされます。
依存関係はありますか?
Windows用Red Cloak Endpoint Agentは完全に自己完結型です。ベースとなるWindowsシステムに付属するDLLやアセンブリ以外は必要ありません。Linux用Red Cloak Endpoint Agentをインストールする場合は、yumを使用して自動的に解決できる依存関係があります。詳細はLinuxエージェントの依存関係をご覧ください。
必要なネットワーク接続要件は?
接続要件については、Red Cloak Endpoint Agentインストールをご参照ください。
サポートされているOSプラットフォームは?
サポート対象オペレーティングシステムについては、Red Cloak Endpoint Agent サポート対象オペレーティングシステムをご覧ください。
どのくらいの頻度でRed Cloak Endpoint Agentのソフトウェアアップデートが提供されますか?
Secureworksは、クライアント向けに利用可能な最新の機能強化を継続的にRed Cloak Endpoint Agentへ提供しています。アップデートおよびそれに関連するサポート終了日は事前にクライアントへ通知されるため、必要に応じてアップグレードできます。
XDRにはどのくらいの頻度で新しいインテリジェンスが追加されますか?
継続的に追加されています。
Red Cloak Endpoint Agentに関する支援はどのように受けられますか?
セキュリティ検知に関連しないすべての問題(パフォーマンス問題、予期しない問題など)については、サポートポリシーに従って製品サポートを依頼できます。
Red Cloak Endpoint Agentのサポートを依頼する際は、以下の場所にあるRed Cloak Endpoint Agentのログをご提供ください。
Red Cloak Endpoint Agentのプロキシ検出はどのように機能しますか?
Red Cloak Endpoint Agentがインターネットに直接接続できない場合、ホスト上のすべての登録済みユーザープロファイルを使用してローカルプロキシ設定を検出しようとします。以下をチェックします。
- MSIEの設定
- Firefoxの設定
- winHTTPによるプロキシ検出
2つのXDRサポートエンドポイントインテグレーションを同時に実行した場合に発生しうるシナリオは?
Red Cloak Endpoint Agentと、Carbon Black、CrowdStrike、Microsoft Defenderなどのサードパーティ製エンドポイントソフトウェアを同時に実行し、かつサードパーティインテグレーションがXDRに接続されている場合、以下のようなシナリオが発生する可能性があります。
- 重複検知: 2つのエージェントがエンドポイントから同様のテレメトリーを収集している場合、XDRで重複検知が発生する可能性があります。この影響を最小限に抑えるには、重複検知を抑止するか、特定のモジュールを無効化したカスタムRed Cloak Endpoint Agentを生成してください。必要に応じてカスタムRed Cloak Endpoint Agentの生成についてサポートへご連絡ください。
-
エージェントのパフォーマンス: Red Cloak Endpoint Agentがサードパーティエンドポイントアプリケーションでセーフリストに登録されていない場合、エンドポイント/ホストでパフォーマンスや互換性の問題が発生する可能性があります。その場合は、サードパーティエンドポイントアプリケーション側で以下のRed Cloakフォルダーをセーフリストに登録してください。
%ProgramFiles(x86)%\Dell SecureWorks\Red Cloak\%ProgramFiles(x86)%\Dell SecureWorks\Ignition\