外部の不明な IP アドレスへの通信に関する調査に必要な資料について
目次
本記事はマイクロソフト社員によって公開されております。
いつも弊社製品をご利用いただきまして誠にありがとうございます。 本サイトでは弊社にお問い合わせいただく際に、事前に採取しておいたほうが良い内容についてご紹介しております。 このページでは「外部の不明な IP アドレスへの通信に関する調査に必要な資料について」紹介いたします。
本資料が有効なシナリオ
- 社内のプロキシやファイアウォールで、外部のネットワークに不明な通信が実行されているので、何の通信かを確認したい。
- 社内環境の切り替えを機に、特定のエンドポイントへの通信が増加し、帯域を使っているため、抑制できる手段があるか検討したい。
情報を採取いただく前に
弊社では、Windows OS 上のどの機能が外部の弊社エンドポイントに通信するかについて、以下のページにて情報公開しております。 まず、こちらをご参照ください。
Windows 11 Enterprise の接続エンドポイント - Windows Privacy | Microsoft Learn
※ リンク先左カラムに他の Windows 10 のバージョンについてもページの用意がございます。
同時に、それぞれの機能が弊社エンドポイントに通信を行うことを抑止する手段もご提供しております。 該当の外部への通信を抑止するには、それぞれの機能ごとに下記ページの手順に沿って機能を無効化いただくことで実現可能です。 ただし、その場合、該当機能が動作しないことによるデメリットもございますため、必要性についてご検討の上実施くださいますようお願いいたします。
社内ファイアウォールのログなどから把握された IP アドレスのみが把握できているときは、お客様ご自身でパケット キャプチャを採取いただき、どのエンドポイントへの通信が該当の IP アドレスに名前解決されたのかを確認いただくことで、エンドポイント名を把握することができます。 特定したエンドポイントを上記の弊社ページの公開情報と照合し、どの機能による通信かを特定することができます。
もし、お客様ご自身での特定作業が困難な場合や、弊社公開情報に記載のない通信先の特定をご希望の場合は、以下の情報を採取いただきました上で弊社に調査を依頼ください。
対象機器
- 不明な IP アドレスへの通信が発生している端末
採取手順
以下の URL から TSS.zip をダウンロードし、Zip を展開します。
展開した TSS フォルダーを調査対象となる端末上の任意のパスに配置します。
Windows PowerShell (powershell.exe) を [管理者として実行] にて開始します。
“cd” コマンドで TSS フォルダーを配置したパスにカレント フォルダーを移動します。 例として、“C:\Test” フォルダーに TSS フォルダーを配置した場合は以下のように実行します。
cd C:\Test\TSS
以下のコマンドでログ取得を開始します。
auditpol.exe /set /subcategory:"プロセス作成" /failure:enable /success:enable auditpol.exe /set /subcategory:"プロセス終了" /failure:enable /success:enable Set-ExecutionPolicy RemoteSigned -Scope Process -Force .\TSS.ps1 -NET_AFDTCPBasic -NET_DNScli -netsh -PSR -BasicLog
- 使用許諾の確認 (End User License Agreement) が表示された場合は内容を読んでいただき、[Accept] ボタンで同意していただきますようお願い申し上げます。
- ステップ記録ツール (Problem Step Recording : PSR) に関する確認が表示された場合は [Y] キーで同意していただきますようお願い申し上げます。
[Action-Privacy] We need your consent to allow Problem Step Recording and-or Screen-Video recording, please answer Y or N Press Y for Yes = allow recording, N for No [Y,N]?
下のメッセージが表示された状態で止まったことを確認し、次の手順へ進みます。
Reproduce the issue and enter 'Y' key AFTER finishing the repro (with window focus here) [Y]?
事象の再現を行います。(不明な通信が記録されるまで情報採取を継続します)
手順 6. のメッセージに対して [Y] キーを入力し、ログ取得を停止します。
各種ログの取得処理が行われますので、処理完了までお待ちください。
PowerShell で以下のコマンドを実行して取得時の設定を解除します。
auditpol.exe /set /subcategory:"プロセス作成" /failure:disable /success:disable auditpol.exe /set /subcategory:"プロセス終了" /failure:disable /success:disable
C:\MS_DATA\
フォルダーを zip 形式に圧縮し、アップロード サイトからご提供ください。
注意事項
もし情報採取中に何らかのエラーが発生した場合は、以下の対応を実施ください。
- PowerShell の実行画面からエラー内容が確認できるスクリーン ショットもしくは、エラー内容をコピーした情報をお寄せください。
- 実行状況の確認のため
.\TSS.ps1 -Status
コマンドの実行結果をお知らせください。 .\TSS.ps1 -Stop
コマンドを実行し、情報採取を停止ください。
情報採取ツール TSS に関してよく寄せられる質問
情報採取を行うツール TSS に関する一般的なご質問を以下のページにお纏めしています。必要に応じてご参照ください。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。