ビュー:

機能概要

この機能は、Trend Micro Control Manager(以下、TMCM)と連携する事で、Deep Discovery Inspector(以下、DDI)やDeep Discovery Analyzer(以下、DDAN)から提供される不審なオブジェクト(Suspicious Object)を利用し、ウイルスバスター Corp. クライアントを保護する事ができる機能となります。

目次



 

Point A 監視対象

以下条件に合致するものが本機能での監視対象となります。

監視項目監視対象処理
 不審URLリスト 不審なURLを監視ログ、ブロック
 不審IPリスト 不審なIPを監視ログ、ブロック
 不審ファイルリスト 不審なファイルを監視ログ、ブロック、隔離
 不審ドメインリスト 不審なドメインへの通信を監視ログ、ブロック

不審なオブジェクトに対する処理はTMCM側でのみ設定が可能です。
不審なオブジェクトは手動定義が可能ですが、不審ファイルリストは手動で定義する事はできません。不審URLリスト、不審IPリストは手動定義が可能です。

 

Point B 設定方法

本機能を有効にする場合、事前にTMCMをウイルスバスター Corp. サーバに登録する必要があります。また、TMCMは6.0SP3以降が必要です。
 

本FAQではウイルスバスター Corp. サーバ側の設定について記載します。 TMCM側の設定やその他連携製品についての詳細は製品側のドキュメントを参照してください。
尚、TMCMにはDDI、DDANなどの仮想アナライザが登録済みである必要があります。

 

不審オブジェクトリストの設定

  1. 管理コンソールへログインします。
  2. 上部のメニューより、「管理」 >「設定」>「Control Manager」の順にクリックします。

     
  3. Control Managerサーバ設定で、HTTPS経由で接続する にチェックを入れ、TMCMを登録します。

     
  4. TMCMが正常に登録できたことを確認後、「管理」>「設定」>「不審オブジェクトリスト」を選択します。

     
  5. 不審オブジェクトリスト設定の画面で、API Keyが配信されるまで待ちます。
    API Keyの配信には10分ほど時間がかかります。

     
  6. API Keyが配信されると、以下のような画面が表示されます。

     
  7. 以下の画面で全ての項目にチェックが入っている事を確認します。

     
  8. TMCMと同期するため、今すぐ同期 を実行し、最新の状態に同期します。

     

Point C 検出画面例(不審なファイル)

不審オブジェクトを検出した際の、ウイルスバスター Corp. サーバとクライアント側のログは以下となります。
 

不審オブジェクトに対する処理はTMCM側で設定する必要がありますが、検出時のポップアップやログは、不審オブジェクトに対する処理を”ログ”以外に設定している場合にのみ、生成されます。検出時のアクションを”ログ”に設定している場合、ウイルスバスター Corp. ではそのログを確認する事はできませんので、ご注意ください。

ウイルスバスターCorp. クライアント側のポップアップメッセージ例

  1. 不審ファイルの検出時(クライアントポップアップメッセージ)
     

     
  2. 不審ファイルの検出時(クライアントログ)
     

     
  3. 不審ファイルの検出時(サーバログ)
     

     

Point C 検出画面例(不審なURL)

  1. 不審IP、URLの検出時(クライアントポップアップメッセージ)
     

     
  2. 不審IP、URLの検出時(クライアントログ)
     

     
  3. 不審URLの検出時(サーバログ)
     

     
  4. 不審URLの検出時(サーバログ)
     

     

Point D 検出画面例(不審なIP)

  1. 不審IP、URLの検出時(クライアントポップアップメッセージ)
     

     
  2. 不審IP、URLの検出時(クライアントログ)
     

     
  3. 不審IPの検出時(サーバログ)
     

     
  4. 不審IPの検出時(サーバログ)
     

     

注意事項

不審オブジェクトを有効にする場合、以下3つの機能を有効にする事ができます。
・不審URLリスト
・不審IPリスト
・不審ファイルリスト
・不審ドメインリスト

統合スマートプロテクションサーバ(以下、iSPS)やスタンドアロンスマートプロテクションサーバ(以下、TMSPS)を利用しない場合、利用可能な機能は上記の不審IPリストと不審ファイルリストのみとなります。
しかしながら、Corp.サーバのインストール時にWRSのライセンスを入力せずにインストールを進めた場合、CTDの連携設定を行った際デフォルトで上記3つが有効な状態で同期されるため、設定に失敗します。
※上記、Point Bの「不審オブジェクトリストの設定」の6の画面が正しく表示されません。

そのため、上記の環境に一致する場合は以下のように設定変更を実施してください。

以下記述内のサーバインストール先フォルダは、初期設定では以下の場所になります。
C:\Program Files\Trend Micro\OfficeScan(32bit OS の場合)
C:\Program Files (x86)\Trend Micro\OfficeScan(64bit OS の場合)

1. ウイルスバスター Corp. サーバのインストールフォルダ\PCCSRV\Private\ofcserver.ini
[LWCS]
LWCS_ENABLE=1を
LWCS_ENABLE=0に変更

2. 不審オブジェクトリストの設定を一旦解除します。
「管理」>「設定」>「不審オブジェクトリスト」>へ移動し、[登録解除]を選択します。

3.TMCMの登録を一旦解除します。
「管理」 >「設定」>「Control Manager」へ移動し[登録取り消し]を選択します。

4. TMCMを再度登録します。

5. 不審オブジェクトリストの設定が正しく同期する事を確認します。

キーワード: ウイルスバスター コーポレートエディション