ビュー:

機能概要

 

 Connected Threat Defense(CTD)とは、パターン対応していない未知のマルウエアやURLなどの不審オブジェクトをDeep Discoveryファミリー製品の解析情報から取得し、従来のエンドポイント・サーバ製品で検出・防御できるソリューションです。
 従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。
 
 CTDでは複数の製品を連携することが可能ですが、本Q&Aでは「Deep Discovery Inspector」、「Apex One (ウイルスバスター コーポレートエディション)」、「Apex Central (旧Trend Micro Control Manager)」間の連携に特化して掲載します。
 

 

連携対象製品

 

不審オブジェクトを生成することができる製品

 

製品名対応
バージョン
役割
Deep Discovery Inspector
3.8 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Email Inspector
2.5 SP1 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Analyzer
5.5 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。

不審オブジェクトに対する処理の設定などを管理することができる製品

 

製品名対応
バージョン
役割
Trend Micro Apex Central2019全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行なう。

生成されて、同期・連携された不審オブジェクトを処理することができる製品

 

製品名対応
バージョン
役割
Trend Micro Apex One2019TMCMから不審オブジェクトリストを受取り、各クライアントへ配布して不審ファイル、URL、IPアドレスを検出する
ウイルスバスター コーポレートエディション
11.0 SP1 以降
TMCMから不審オブジェクトリストを受取り、各クライアントへ配布して不審ファイル、URL、IPアドレスを検出する
Smart Protection Server
3.0 Patch1 以降
TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
Trend Micro Deep Security
10.0 以降
TMCMから不審オブジェクトリストを受取り、不審ファイルを検出する
スタンドアローンSmart Protection Serverとの連携が可能で、TMCMから不審オブジェクトURLを受け取り、Trend Micro Deep SecurityがWRSクエリ時に不審オブジェクトURLを検出する
InterScan Web Security Virtual Appliance
6.5 SP2 Patch1 以降
TMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する
InterScan Messaging Security Virtual Appliance
9.1 以降
TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する
Deep Discovery Email Inspector
2.5 SP1 以降
自身が生成した不審オブジェクト、およびTMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する
なお、本製品 Q&A では各製品名に以下の略称を用います。
  • Trend Micro Deep Discovery Inspector ・・・ 「DDI」
  • Trend Micro Deep Discovery Email Inspector ・・・ 「DDEI」
  • Trend Micro Deep Discovery Analyzer ・・・ 「DDAN」
  • Trend Micro Apex Central ・・・ 「Apex Central」または「TMCM」
  • Trend Micro Control Manager ・・・ 「TMCM」
  • Trend Micro Apex One ・・・ 「Apex One」または「Corp.」
  • ウイルスバスター コーポレートエディション ・・・ 「Corp.」
  • Smart Protection Server ・・・ 「SPS」
  • Trend Micro Deep Security ・・・ 「DS」
  • InterScan Web Security Virtual Appliance ・・・ 「IWSVA」
  • InterScan Messaging Security Virtual Appliance ・・・ 「IMSVA」
 

Trend Micro Apex Central 2019 管理者ガイドの【第19章 Connected Threat Defense (465ページ~515ページ)】に記載している製品バージョンで、Apex Central 2019 に対応していない製品バージョンが記載されていることを確認いたしました。

Apex Central 2019 に対応している正しい製品バージョンは以下の通りです。

管理者ガイドに記載している製品バージョンApex Central 2019 に対応している製品バージョン
Deep Discovery Analyzer 5.1 (またはそれ以降)Deep Discovery Analyzer 6.5 (またはそれ以降)
Deep Discovery Email Inspector 3.0 (またはそれ以降)Deep Discovery Email Inspector 3.5 (またはそれ以降)
Deep Discovery Endpoint Inspector 3.0 (またはそれ以降)Deep Discovery Email Inspector 3.5 (またはそれ以降)
Deep Discovery Inspector 3.8 (またはそれ以降)Deep Discovery Inspector 5.0 (またはそれ以降)
InterScan Web Security Virtual Appliance 6.5 Patch 2 (またはそれ以降)InterScan Web Security Virtual Appliance 6.5 SP2 Patch 4 (またはそれ以降)
InterScan Web Security Virtual Appliance 6.5 SP2 Patch 2 (またはそれ以降)InterScan Web Security Virtual Appliance 6.5 SP2 Patch 4 (またはそれ以降)
Smart Protection Server 3.0 Patch 1 (またはそれ以降)Smart Protection Server 3.3 Patch 2 (またはそれ以降)
 
 
 

目次

 

Point A 事前準備

 

  1. TMCMの[運用管理]-[不審オブジェクト]‐[配信設定]画面より、[不審オブジェクトを管理下の製品に送信します。]が有効になっている点と、サービスURL・APIキーをご確認ください。)


     

Point B 製品連携

 

DDI:TMCMとの連携

 

    1. DDIの[管理]‐[統合製品/サービス]‐[Control Manager]画面にて、TMCMの情報を入力します。この時、画面下部の[不審オブジェクトの同期]も有効化してください。入力するAPIキーの確認方法は、事前準備の項をご参照ください。

    2. [接続テスト]ボタンを実行してください。接続、および入力内容に問題がない場合には、ポップアップ画面で「Control Managerサーバに正常に接続した」旨が表示されます。接続テストに失敗した場合は、失敗した旨のポップアップ画面が出力されますので、入力内容をご確認ください。
    3. [接続テスト]が成功した場合は[登録]ボタンを実行して、TMCMへの登録を実施してください。

Corp. :TMCMとの連携

 

以下の製品Q&Aに詳細が記載されておりますので、こちらをご参照ください。

◆ ウイルスバスター Corp. における Connected Thread Defense(CTD) について
 

Point C 不審オブジェクト連携

 

  1. 仮想アナライザで解析が行われて不審オブジェクトが生成されたものは、DDIの[検出]‐[不審オブジェクト]画面で確認できます。DDIで作成された不審オブジェクトがTMCMに同期されると、TMCMの[運用管理]‐[不審オブジェクト]‐[仮想アナライザオブジェクト]で参照できます。


     
  2. TMCMの上記画面で処理したい不審オブジェクトを選択後、[処理を設定]を選択いただくことで、該当の不審オブジェクトを検出した時の処理方法を設定できます。
    また、特に不審オブジェクトを選択せずに[処理を設定]を選択することで、既存および今後の不審オブジェクト全般に対する処理を指定することができます。不審オブジェクトの処理方法を自動化したい場合には、こちらの設定をご活用ください。

    なお、選択いただける処理の種類は以下の通りです。
     
    処理ログブロック隔離
    ファイルTMCMの検出ログに記録・リアルタイム検索で検出: アクセス拒否
    ・予約検索/手動検索/ScanNowで検出: 放置
    暗号化して隔離
    IPアドレス
    検出ログに記録
    通信をブロック
    選択できません
    URL
    検出ログに記録
    通信をブロック選択できません

Point D よくあるご質問や注意事項

 

eicarを使用しても不審オブジェクトに登録されません

 

不審オブジェクト登録されるには、仮想アナライザで解析された不審ファイルが対象となりますが、パターンファイルで検出できる既知のマルウエア(ウイルス)は既に悪意あるファイルと判定されているため、仮想アナライザでは解析いたしません。そのため、eicarテストファイルが不審オブジェクトに登録されないのは正常な動作です。
 

不審オブジェクトを手動で定義することは可能ですか

 

不審オブジェクトは手動定義が可能ですが、不審ファイルリストは最新バージョンでもサポートしておりませんので定義しても検出する事はできません。不審URLリスト、不審IPリストは手動定義が可能です。
 

不審オブジェクトの処理を「ログ」にした場合、Corp. でログを確認することができません

 

Corp. の検出時のポップアップやログは、不審オブジェクトに対する処理を”ログ”以外に設定している場合にのみ生成されます。検出時のアクションを”ログ”に設定している場合には、TMCMのアドホッククエリやレポート機能でご確認ください。こちらにつきましては、以下のQ&Aもご参照ください。
 
 
なお、Corp. XGからはCorp.のコンソールでもログを確認できるようになりました。そのため、Corp. のコンソール側でもログを確認したい場合には、Corp. XGをご利用ください。
 

不審オブジェクトに有効期限はありますか

 

デフォルトでは30日間有効です。有効期限の確認と変更は、TMCMの[運用管理]‐[不審オブジェクト]‐[仮想アナライザオブジェクト]画面で実施いただけます。
 

複数のTMCMを利用していますが、不審オブジェクトリストをTMCM間で同期することは可能ですか

 

TMCM6.0 SP3 Patch2 より、複数のTMCM間で不審オブジェクトリストを集中管理/同期する機能が追加されました。
 
複数のTMCM間で不審オブジェクトリストを同期するには、まず不審オブジェクトリストを集約する「Hub TMCM サーバ」を1台設定し、不審オブジェクトリストを同期したい他のTMCMサーバを、「Edge TMCM サーバ」として動作させるように設定する必要があります。
 
 
 
TMCM 7.0 および Apex Central 2019以降をご利用の場合の設定方法は、管理者ガイドをご覧ください。管理コンソール上から設定が可能です。
以下の手順はTMCM 6.0向けです。
 
■ Hub TMCM サーバ の設定方法
  1. Windowsのサービス管理より、「Trend Micro Control Manager」サービスを停止します。
  2. TMCMのインストールディレクトリ配下にある、「SystemConfiguration.xml」ファイルのバックアップを取得してから、テキストエディタで開きます。
  3. "m_strTmcmSoDist_Role"文字列を検索し、Valueを"hub"に変更して上書きします。
    デフォルト: <P Name="m_strTmcmSoDist_Role" Value="none">
    変更後: <P Name="m_strTmcmSoDist_Role" Value="hub">
  4. Windowsのサービス管理より、「Trend Micro Control Manager」サービスを起動します。
     
■ Edge TMCM サーバ の設定方法
  1. Edge TMCM サーバの管理コンソールへログインします。
  2. [運用管理] - [不審オブジェクト] - [配信設定] - [不審オブジェクトハブControl Managerの設定]に、SO Hub TMCM サーバのサービスURLとAPIキーを登録してください。

なお、「仮想アナライザオブジェクト」はHub TMCM サーバ と Edge TMCM サーバの双方向で同期されますが、「ユーザ定義オブジェクト」と「除外リスト」は、Hub TMCM サーバ から Edge TMCM サーバへの同期のみサポートしております。反対方向への同期はされませんことにご注意ください。

過検知が発生した際、検出から除外する方法を教えてください

 

既に検出された不審オブジェクトに対する処理を停止する場合には、TMCMの管理コンソールより、以下の操作を実施下さい。
  1. [運用管理] - [不審オブジェクト] - [仮想アナライザオブジェクト]を選択してください。
  2. 処理を停止したい不審オブジェクトにチェックを入れて、「除外リストに追加」を実施してください。

上記を実施することで、すでに検出済みの不審オブジェクトに対する処理を停止することが可能ですが、DDIでの検出は上記のみでは停止されません。DDIでの検出も止めたい場合には、以下の製品Q&Aの対応を実施ください。

NAT環境で利用する場合の注意事項はありますか

 

同じネットワークセグメント内にDDI、Corp. サーバ、TMCMを配置する場合は初期設定で双方向通信となりますが、間にNATデバイスがある場合には一方行通信となります。この場合における注意点は、以下の製品Q&Aをご確認ください。