機能概要
従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。
連携対象製品
不審オブジェクトを生成することができる製品
製品名 | 対応 バージョン | 役割 |
---|---|---|
Deep Discovery Inspector
| 3.8 以降 |
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
|
Deep Discovery Email Inspector
|
2.5 SP1 以降
|
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
|
Deep Discovery Analyzer
|
5.5 以降
|
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
|
不審オブジェクトに対する処理の設定などを管理することができる製品
製品名 | 対応 バージョン | 役割 |
---|---|---|
Trend Micro Apex Central | 2019 | 全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行なう。 |
生成されて、同期・連携された不審オブジェクトを処理することができる製品
製品名 | 対応 バージョン | 役割 |
---|---|---|
Trend Micro Apex One | 2019 | TMCMから不審オブジェクトリストを受取り、各クライアントへ配布して不審ファイル、URL、IPアドレスを検出する |
ウイルスバスター コーポレートエディション
| 11.0 SP1 以降 |
TMCMから不審オブジェクトリストを受取り、各クライアントへ配布して不審ファイル、URL、IPアドレスを検出する
|
Smart Protection Server
| 3.0 Patch1 以降 |
TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
|
Trend Micro Deep Security
| 10.0 以降 |
TMCMから不審オブジェクトリストを受取り、不審ファイルを検出する
スタンドアローンSmart Protection Serverとの連携が可能で、TMCMから不審オブジェクトURLを受け取り、Trend Micro Deep SecurityがWRSクエリ時に不審オブジェクトURLを検出する
|
InterScan Web Security Virtual Appliance
| 6.5 SP2 Patch1 以降 |
TMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する
|
InterScan Messaging Security Virtual Appliance
| 9.1 以降 |
TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する
|
Deep Discovery Email Inspector
| 2.5 SP1 以降 |
自身が生成した不審オブジェクト、およびTMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する
|
- Trend Micro Deep Discovery Inspector ・・・ 「DDI」
- Trend Micro Deep Discovery Email Inspector ・・・ 「DDEI」
- Trend Micro Deep Discovery Analyzer ・・・ 「DDAN」
- Trend Micro Apex Central ・・・ 「Apex Central」または「TMCM」
- Trend Micro Control Manager ・・・ 「TMCM」
- Trend Micro Apex One ・・・ 「Apex One」または「Corp.」
- ウイルスバスター コーポレートエディション ・・・ 「Corp.」
- Smart Protection Server ・・・ 「SPS」
- Trend Micro Deep Security ・・・ 「DS」
- InterScan Web Security Virtual Appliance ・・・ 「IWSVA」
- InterScan Messaging Security Virtual Appliance ・・・ 「IMSVA」
Trend Micro Apex Central 2019 管理者ガイドの【第19章 Connected Threat Defense (465ページ~515ページ)】に記載している製品バージョンで、Apex Central 2019 に対応していない製品バージョンが記載されていることを確認いたしました。
Apex Central 2019 に対応している正しい製品バージョンは以下の通りです。
管理者ガイドに記載している製品バージョン | Apex Central 2019 に対応している製品バージョン |
---|---|
Deep Discovery Analyzer 5.1 (またはそれ以降) | Deep Discovery Analyzer 6.5 (またはそれ以降) |
Deep Discovery Email Inspector 3.0 (またはそれ以降) | Deep Discovery Email Inspector 3.5 (またはそれ以降) |
Deep Discovery Endpoint Inspector 3.0 (またはそれ以降) | Deep Discovery Email Inspector 3.5 (またはそれ以降) |
Deep Discovery Inspector 3.8 (またはそれ以降) | Deep Discovery Inspector 5.0 (またはそれ以降) |
InterScan Web Security Virtual Appliance 6.5 Patch 2 (またはそれ以降) | InterScan Web Security Virtual Appliance 6.5 SP2 Patch 4 (またはそれ以降) |
InterScan Web Security Virtual Appliance 6.5 SP2 Patch 2 (またはそれ以降) | InterScan Web Security Virtual Appliance 6.5 SP2 Patch 4 (またはそれ以降) |
Smart Protection Server 3.0 Patch 1 (またはそれ以降) | Smart Protection Server 3.3 Patch 2 (またはそれ以降) |
目次
Point A 事前準備
-
TMCMの[運用管理]-[不審オブジェクト]‐[配信設定]画面より、[不審オブジェクトを管理下の製品に送信します。]が有効になっている点と、サービスURL・APIキーをご確認ください。)
Point B 製品連携
DDI:TMCMとの連携
-
-
DDIの[管理]‐[統合製品/サービス]‐[Control Manager]画面にて、TMCMの情報を入力します。この時、画面下部の[不審オブジェクトの同期]も有効化してください。入力するAPIキーの確認方法は、事前準備の項をご参照ください。
-
[接続テスト]ボタンを実行してください。接続、および入力内容に問題がない場合には、ポップアップ画面で「Control Managerサーバに正常に接続した」旨が表示されます。接続テストに失敗した場合は、失敗した旨のポップアップ画面が出力されますので、入力内容をご確認ください。
- [接続テスト]が成功した場合は[登録]ボタンを実行して、TMCMへの登録を実施してください。
-
Corp. :TMCMとの連携
以下の製品Q&Aに詳細が記載されておりますので、こちらをご参照ください。
◆ ウイルスバスター Corp. における Connected Thread Defense(CTD) について
Point C 不審オブジェクト連携
-
仮想アナライザで解析が行われて不審オブジェクトが生成されたものは、DDIの[検出]‐[不審オブジェクト]画面で確認できます。DDIで作成された不審オブジェクトがTMCMに同期されると、TMCMの[運用管理]‐[不審オブジェクト]‐[仮想アナライザオブジェクト]で参照できます。
- TMCMの上記画面で処理したい不審オブジェクトを選択後、[処理を設定]を選択いただくことで、該当の不審オブジェクトを検出した時の処理方法を設定できます。
また、特に不審オブジェクトを選択せずに[処理を設定]を選択することで、既存および今後の不審オブジェクト全般に対する処理を指定することができます。不審オブジェクトの処理方法を自動化したい場合には、こちらの設定をご活用ください。
なお、選択いただける処理の種類は以下の通りです。
処理 ログ ブロック 隔離 ファイル TMCMの検出ログに記録 ・リアルタイム検索で検出: アクセス拒否
・予約検索/手動検索/ScanNowで検出: 放置暗号化して隔離 IPアドレス 検出ログに記録通信をブロック選択できません URL 検出ログに記録通信をブロック 選択できません
Point D よくあるご質問や注意事項
eicarを使用しても不審オブジェクトに登録されません
不審オブジェクトを手動で定義することは可能ですか
不審オブジェクトの処理を「ログ」にした場合、Corp. でログを確認することができません
不審オブジェクトに有効期限はありますか
複数のTMCMを利用していますが、不審オブジェクトリストをTMCM間で同期することは可能ですか
- Windowsのサービス管理より、「Trend Micro Control Manager」サービスを停止します。
- TMCMのインストールディレクトリ配下にある、「SystemConfiguration.xml」ファイルのバックアップを取得してから、テキストエディタで開きます。
- "m_strTmcmSoDist_Role"文字列を検索し、Valueを"hub"に変更して上書きします。
デフォルト: <P Name="m_strTmcmSoDist_Role" Value="none">
変更後: <P Name="m_strTmcmSoDist_Role" Value="hub"> - Windowsのサービス管理より、「Trend Micro Control Manager」サービスを起動します。
- Edge TMCM サーバの管理コンソールへログインします。
- [運用管理] - [不審オブジェクト] - [配信設定] - [不審オブジェクトハブControl Managerの設定]に、SO Hub TMCM サーバのサービスURLとAPIキーを登録してください。
なお、「仮想アナライザオブジェクト」はHub TMCM サーバ と Edge TMCM サーバの双方向で同期されますが、「ユーザ定義オブジェクト」と「除外リスト」は、Hub TMCM サーバ から Edge TMCM サーバへの同期のみサポートしております。反対方向への同期はされませんことにご注意ください。
過検知が発生した際、検出から除外する方法を教えてください
- [運用管理] - [不審オブジェクト] - [仮想アナライザオブジェクト]を選択してください。
- 処理を停止したい不審オブジェクトにチェックを入れて、「除外リストに追加」を実施してください。
上記を実施することで、すでに検出済みの不審オブジェクトに対する処理を停止することが可能ですが、DDIでの検出は上記のみでは停止されません。DDIでの検出も止めたい場合には、以下の製品Q&Aの対応を実施ください。
NAT環境で利用する場合の注意事項はありますか