IBM Support

ReaQta: ReaQta 関連のよくあるお問い合わせ (FAQ) について

Question & Answer


Question

ReaQta でよくお問い合わせのある質問 (FAQ) は何があるでしょうか?

Answer

以下、カテゴリー別の ReaQta に関する質問の回答を参照してください。


エージェント

Windows
 

ReaQta エージェントは自動的にデプロイされるのでしょうか?

自動的にデプロイされます。インストーラーが GPO/SCCM/RMM を経由して、人の手を介さずにインストールをサポートします。

VDI は ReaQta ソリューション用にサポートされていますか? また、どのようにインストールするのでしょうか?

ReaQta-Hive では Citrix VDI インフラストラクチャーがサポートされています。エージェントは、マスター・イメージ上で --vdi オプションを追加してインストールを行う必要があります。プロビジョニングの前に、ライセンスが使用可能であることもご確認ください。その後、マスター・イメージのエンドポイントの電源を停止した上で、インフラストラクチャーをセットアップします。

コマンド・ラインから Windows エージェントをインストールするには、どのようにすればよいでしょうか?

管理対象のエージェントのコマンド・ラインから実行できます。
msiexec /I ReaqtaHive.msi IPFORM="https://backend:port" /qb

* gids (Group ID)が提供されている場合 (マ ルチテントのサーバーでは ) 、次のようになります。
msiexec /I ReaqtaHive.msi IPFORM="https://backend:port --gids ID" /qb


* 詳細については、次のリンクをご参照ください:「 Windows エージェントのインストールとアンインストール

Linux

Linux エージェントはどのようにインストールするのでしょうか?

現時点では、サーバーの IP アドレスを指定する必要があります。root 権限で以下のコマンドを実施してください。

.DEB の場合 ( gids は MSSP インストールで必須となります)
sudo RQTPARAMS="https:/ip_hivebackend:port --gids <group_ids> --proxy http://proxy:port" dpkg -i keeperx.deb

.RPM の場合 ( gids は MSSP インストールで必須となります)
RQTPARAMS=" https://ip_hivebackend:port --gids <group_ids> --proxy http://proxy:port" rpm-Uvh --force keeperx.rpm
* 詳細については、次のリンクをご参照ください:「 Linux エージェントのインストールとアンインストール
オペレーティング・システム共通

ReaQta Hive エージェントのハードウェア要件は何でしょうか?

プロセッサー : Intel/AMD 32 および 64 ビット
ハードディスク : 90MB
最小メモリ使用量 : 約 60MB

ReaQta Hive エージェントのネットワーク帯域幅の要件は何でしょうか?

10MB 以上になります。

エンドポイントはインストールするためにバックエンドへ接続する必要はありますか?

インストール時にはバックエンドへの接続が必要です。ReaQta は、ダイレクト・コネクションとシンプルな非認証のプロキシー・サーバーがサポートされています。「 Man In The Middle ( 中間者攻撃 ) 」が行われた場合は、エージェントとの接続は中断されます。

どの CPU アーキテクチャーがサポートされているでしょうか?

Intel および AMD がサポートされています。

どの OS がサポートされているでしょうか?

  • Windows: 現時点では、以下がサポートされています。
    Workstation (v7 から v10 へのフル・アップデート )
    Server (Windows 2008 R2[フル・アップデート]、Windows 2012 R2[フル・アップデート ])
  • Linux (64 ビット): 現時点では、以下がサポートされています。CentOS 8 は、現在サポートされていません。
    Ubuntu(18.04 以上 )
    CentOS (v7)
    Debian (v8)
    Red Hat Enterprise
  • MacOS: HighSierra 以上
  • Android: v4.2 以上
* ディストリビューションの詳細については、ReaQta サポートへお問い合わせください。

エージェントは再起動を必要とするでしょうか?

必要ありません。再起動のオプションを提供するメッセージ・ボックスが表示される場合がありますが、対応の必要はございません。

ReaQta エージェントの UI が表示されないのはなぜでしょうか?

ReaQta のエージェントには UI は実装されていません。ダッシュボードから一元的に処理することが可能です。

アンチ・マルウェア

アンチ・マルウェア・モジュール (Hive Guard) を使用するには、インターネットへの接続が必要でしょうか?

シグネチャをダウンロードするには接続が必要です。

アンチ・マルウェア・モジュール ( 非 MSSP) をインストールするには、どうすればよいでしょうか?

ReaQta のデプロイメント時にライセンス・プロセス (ADMINISTRATION タブ -> LICENSE) で Anti-Malware のモジュールが「 Unavailable (利用不可) 」と表示されている場合は、ReaQta サポートへアクティベーションをリクエストしてください。

アンチ・マルウェアのライセンスが「 Available (利用可能)」となっている場合は、以下を行う必要があります。
  1. ReaQta-Hive エージェントをインストールします。
  2. ADMINISTRATION 」タブ -> 「 UPDATE MANAGER 」から、「 Anti-malware 」のパッケージを選択して、アクティベートの Status を有効にします。
  3. ADMINISTRATION 」タブ -> 「 ANTI-MALWARE SETTINGS 」から、画面右上の「 Anti-Malware Protected Endpoints 」を有効にします。

バックエンド

ライセンスの有効期限が切れるとどうなるのでしょうか?

ライセンスの有効期限が切れると、エンドポイントは 30 日以内に自動的にアンインストールされます。赤色のバナーにより、ダッシュボード・ユーザーに有効期限切れが警告されます。

ReaQta システム内でデータが保持される期間は?

デフォルトのログの保存期間は 30 日間です。

ReaQta hive サーバーを移動/移行 ( マイグレーション ) しましたが、動作しなくなっています。どうすればよいでしょうか?

ライセンスが無効となった可能性があるため、ReaQta サポートへお問い合わせください。

ReaQta サーバーのサービスの再起動を行うには、どうすればよいでしょうか?

コマンド・ラインを開き、以下のコマンドを実行します。
systemctl stop reaqta.service
systemctl start reaqta.service

クローズされた環境で Hive ダッシュボードから「 Server Error 」メッセージを受け取った場合は、どのように対処すればよいでしょうか?

  1. 以下のコマンドを実行してサーバーから該当のログを収集します。
    sudo journalctl CONTAINER_NAME=event-hive > event-hive.log
    sudo journalctl CONTAINER_NAME=elasticsearch > elasticsearch.log
    sudo journalctl CONTAINER_NAME=cassandra > cassandra.log
     
  2. 以下のコマンドを実行してインストールします。
    sudo apt install fio ioping
     
  3. 以下の順に従って、コマンドを実行してください。
    sudo systemctl stop reaqta
    sudo fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test --filename=/data/fio-test --bs=4k --iodepth=64 --size=4G --readwrite=randrw
     
  4. 以下のコマンドを実行して、/data/fio-test ファイルを収集します。
    sudo rm -f /data/fio-test
    sudo ioping -c 10 /data
    sudo systemctl start reaqta
     
  5. 収集したファイルを ReaQta サポートへご提供ください。

ストレージの容量がいっぱいになったため、ディスクを拡張しましたが、サーバーが動作していません。どのように対処すればよいでしょうか?

読み取り専用モードでのデータベースのインデックスに起因している可能性が高いと考えられます。状況の判断と修正のため、ReaQta サポートへお問い合わせください。
 
* ストレージの空き容量を追加した後に、サーバーを公開することができない事象が発生した場合は、以下のコマンドを実行してください。
for idx in `curl -s -XGET localhost:9200/_cat/indices | cut -d " " -f 3`; do curl -XPUT localhost:9200/$idx/_settings -H 'content-type:application/json' -d'{"index":{"blocks":{"read_only_allow_delete":false}}}' done

フロントエンド

ダッシュボードの管理
 

「 Malicious 」としてアラートをクローズすると、それはブロックされるのでしょうか?

「 Benign ( 悪意のないもの ) / Malicious ( 悪意のあるもの ) 」ラベルが表示されますが、ブロックは行われません。

エンドポイント自身が ReaQta によって保護されているかどうかを確認するには、どうすればよいでしょうか?

Protection ポリシーが有効になっているかどうかを ReaQta ダッシュボード管理者へ確認してください。

サポートされている 2 要素認証システムは何でしょうか?

  • Google 認証システム
  • Authy ( オーシー )
  • MS 認証システム
email の通知

email の一般的なエラーにより、メッセージを受信できません。どうすればよいでしょうか?

Postfix の構成を使用している場合、Postfix コンテナーがメール・レピュテーションの機能を備えておらず、メール・プロバイダー側で該当の email をデフォルトで拒否していることにより疑わしいと判断されたことが原因であることが考えられます。

Gmail のメールでアラートを受信しない場合は、どうすればよいでしょうか? 

アカウントのセキュリティー設定を確認してください。

ReaQta の email 設定で送信者とアカウントが同じ場合、問題はあるでしょうか?

ReaQta の email の構成 (SMTP configuration) で設定した送信者とアカウントが同じ場合、問題が発生します。多くのメール・プロバイダーは、1 つのアドレスで認証して、他のアドレスで送信することを許可していません。

一般的な情報

ReaQta とは何でしょうか?

ReaQta は次世代の Endpoint Threat Response Platform であり、OS/ カーネルのレベルで振る舞いに基づく監視を通じて従来のセキュリティを強化して、攻撃者によってシャットダウンさせることを防ぎます。

ReaQta はどのように機能するのでしょうか?

機械学習によりアプリケーションの動作の異常を検出して、アナリストが同じプラットフォーム内から攻撃を分析、評価、および修復することを可能にします。

ReaQta EDR は、アンチウィルス・ソリューションと共存できるでしょうか?

ReaQta-Hive は、セキュリティー、可視性、制御の拡張レイヤーを提供して、アンチウィルス・ソリューションと共存できます。ただし、エンドポイントにアンチウィルス・ソリューションを 複数導入することは、セキュリティー管理上、対処に関する不一致や誤動作等が発生する可能性があるため、推奨していません。

ReaQta-Hive は、リソースの使用率が高いツールでしょうか?

ReaQta は軽量システムであり、RAM の消費量は低く、 ( 平均 20MB) 、 CPU の使用率が 1% 未満となるよう設計されています。

ReaQta は他のシステムと統合できるでしょうか?

ReaQta API を使用して構成をプッシュして、ReaQta を他のシステムと統合することができます。

どのような方法で ReaQta Hive からサード・パーティーの SIEM にアラートを送信するのでしょうか?

ReaQta Hive ダッシュボード UI の「 ADMINISTRATION 」タブにある「 FORWARD ALERTS 」を使用して、Hive サーバーがサード・パーティー・ソリューションにアラート・データを送信するように構成します。

詳細については、次のリンクをご参照ください:「 ReaQta: ReaQta Hive からサード・パーティーの SIEM にアラートを送信する方法について

デスクトップに悪意のあるサンプルがありますが、なぜ検出されないのでしょうか?

ReaQta-Hive は、振る舞いに基づいた脅威のみを検出します。このため、マルウェアがマシン (PC) にコピー、実行された場合でも、それが悪意のあるものではない、または非アクティブ (ReaQta-Hive で対処済み ) である場合は、インシデントをトリガーしません。このようなシナリオは、ユーザーへのビジネスに影響を与えることはありませんが、マルウェアを実行すると、( 疑わしいかどうかにかかわらず ) イベント・ログが作成されるため、脅威の追跡 ( hreat Hunting) によって、疑わしいアプリケーションに関する情報を見つけることができます。

トラブルシューティング

Windows
 

Windows エージェントのステータスを確認するにはどうすればよいでしょうか?

cmd.exe から以下のコマンドでステータスを確認できます。
Sc query keeper
Sc query rqtsentry
Sc query rqtnetsentry
Sc query i00

インストール時に「登録失敗 (Registration Failed) 」のメッセージを受け取りましたが、どうすればよいでしょうか?

%TEMP% (app data user temp フォルダー)に作成された「 rqt 」で始まるログを収集して、ReaQta サポートへ提供してください。

「登録失敗( Registration Failed )」のエラー・メッセージの詳細については、「 ReaQta: クライアントのインストール時に発生する登録エラーのトラブルシューティングについて」をご参照ください。

NanoOS の各エラー・コードの意味は何でしょうか?

17 = ハイパーバイザーが無効となりました。
-7 = VT-X または AVAST または Hyper-V が有効ではありません。
-5 = CPU がハイパーバイザーの要件を満たしていません。
-3 = 連続したメモリー領域のセグメントがありません。
11 = 他のハイパーバイザーが存在します。
12 = 割り振りが失敗しました。
13 = NanoOS のスタートアップに失敗しました。
14 = デバイス の I/O が失敗しました。
15 = 内部エラー。
16 = 不明なエラー。
18/19 = バージョンがサポートされていません。
900/999 = ドライバーの通信エラー(古いマシン)。
9999 =  ハイパーバイザーが開始されません。

エージェントでブルー・スクリーン (BSOD) が発生した場合、どうしたらよいでしょうか?

  1. ブルー・スクリーンが発生したエンドポイント名の 1 つを取得して、該当の名前でブルー・スクリーンが再現するかどうかを確認の上、実施した手順を ReaQta サポートへお伝えください。
  2. 次のファイルを収集します。
    C:\Windows\Minidump
    C:\Windows\MEMORY.DMP ( 常に使用可能ではありません ) 。
  3. データを ReaQta サポートに送信します。
* 詳細については、次のリンク内の「ブルー・スクリーン」セクションをご確認ください:「 Windows エージェントの問題のトラブルシューティング

エージェントがダッシュボードからオフラインになっていますが、どうしたらよいでしょうか?

  1. 接続性を確認して、エンドポイントがバックエンド・サーバーに到達可能かを確認します、
  2. Keeper サービスが停止している場合は、サービスの再起動を試行します。
  3. 「 stop pending 」が表示された場合は、強制終了してから再起動を試行します。

ローカルで Windows エージェントをアンインストールできないのですが、どうしたらよいでしょうか?

  1. アンインストール中に Keeper が実行されているかどうかを確認して、実行されている場合は Keeper プロセスを停止します。
  2. アンインストールするエンドポイントのエントリーがダッシュボード側から確認できる場合は、ダッシュボード上からアンインストールを行います。
Linux

Linux エージェントのステータスを確認するにはどうすればよいでしょうか?

コンソールから以下のコマンドでステータスを確認できます。
service keeperx status

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSAAA2","label":"Administrative Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
01 September 2022

UID

ibm16614157

Page Feedback