ビュー:

機能概要

　Connected Threat Defense（CTD）とは、パターン対応していない未知のマルウエアやURLなどの不審オブジェクトをDeep Discoveryファミリー製品の解析情報から取得し、従来のエンドポイント・サーバ製品で検出・防御できるソリューションです。
　従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。

　CTDでは複数の製品を連携することが可能ですが、本Q&Aでは「InterScan Messaging Security Virtual Appliance」「Deep Discovery Analyzer」「Deep Discovery Inspector」、「Trend Micro Control Manager」、「Smart Protection Server」間の連携に特化して掲載します。

連携対象製品

不審オブジェクトを生成することができる製品

製品名	対応バージョン	役割
Deep Discovery Inspector	3.8 以降	不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Analyzer	5.5 以降	不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。

不審オブジェクトに対する処理の設定などを管理することができる製品

製品名	対応バージョン	役割
Trend Micro Control Manager	6.0 SP3 以降	全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行なう。

生成されて、同期・連携された不審オブジェクトを処理することができる製品

製品名	対応バージョン	役割
Smart Protection Server	3.0 Patch1 以降	TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
InterScan Messaging Security Virtual Appliance	9.1 以降	TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する

なお、以降は各製品名に以下の略称を用います。

・Trend Micro Deep Discovery Inspector ・・・「DDI」
・Trend Micro Deep Discovery Analyzer ・・・「DDAN」
・Trend Micro Control Manager ・・・「TMCM」
・Smart Protection Server ・・・「SPS」
・InterScan Messaging Security Virtual Appliance ・・・「IMSVA」

Point A 製品連携

製品間の連携設定については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point B 不審オブジェクト連携

不審オブジェクト連携については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

TMCMの「処理を設定」で「ブロック」の場合IMSVAは「隔離」します。

TMCMの「処理を設定」で「ログ」の場合IMSVAは「放置」します。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

不審オブジェクト(ファイル)を検出した時は「TMCM_不審ファイルの検出」ルールです。

不審オブジェクト(URL)を検出した時は「TMCM_不審URLの検出」ルールです。

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

はい。IMSVAはSPSと連携することにより不審オブジェクト(URL)を検知するため必須となります。

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

いいえ。不審オブジェクト(ファイル)の検出の場合には、SPSは必須ではございません。

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。

IMSVAが仮想アナライザへファイルの解析を送信する条件は以下の3つです。

 1)高度な脅威検索エンジンで「HEUR およびEXPL」検出した場合 
 2)ソーシャルエンジニアリング攻撃からの保護を検出した場合 
 3)添付ファイル>実ファイルタイプ にて 「ファイルを仮想アナライザに送信」が設定されているおり
  該当実ファイルタイプの条件にマッチした場合 
  
上記2), 3)においては個別にポリシーを設定し、その処理を設定することができます。
しかし、上記1) の場合「ウイルス対策」のポリシーの中で判定されその処理が実行される
ため、1台のIMSVAでは処理を分けることができません。
回避策として、2台のIMSVAを多段にすることで回避できます。

 前段：Deep Discovery Analyzer連携と高度な脅威検索エンジンを有効化しない
       ことにより、ウイルス検知のみを処理する
       
 後段：Deep Discovery Analyzer連携し高度な脅威検索エンジンを有効化する
       ことにより、仮想アナライザへ送信されたファイルのみを処理する

キーワード: Deep Discovery Analyzer,Deep Discovery/Deep Discovery Inspector,InterScan Messaging Security Virtual Appliance,Trend Micro Smart Protection Server

Connected Threat Defense（CTD）設定について(InterScan Messaging Security編)

製品・バージョン:

Deep Discovery Analyzer6.1 , Deep Discovery Analyzer5.5 , Interscan Messaging Security Virtual Appliance9.1 , Deep Discovery Analyzer6.8 , Control Manager7.0 , Deep Discovery Analyzer6.5 , Deep Discovery Inspector3.8 , Deep Discovery Analyzer6.0 , Control Manager6.0 , Deep Discovery Analyzer5.8

更新日: 2020/05/26

記事ID: KA-0008637

カテゴリ: SPEC , Configure

概要

Connected Threat Defense（CTD）連携し、InterScan Messaging Secirityで不審オブジェクトを利用した検出をしたいです。設定やテスト方法など教えてください。また、利用する上での注意点なども合わせて教えてください。

機能概要

連携対象製品

不審オブジェクトを生成することができる製品

製品名	対応バージョン	役割
Deep Discovery Inspector	3.8 以降	不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Analyzer	5.5 以降	不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。

不審オブジェクトに対する処理の設定などを管理することができる製品

製品名	対応バージョン	役割
Trend Micro Control Manager	6.0 SP3 以降	全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行なう。

生成されて、同期・連携された不審オブジェクトを処理することができる製品

製品名	対応バージョン	役割
Smart Protection Server	3.0 Patch1 以降	TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
InterScan Messaging Security Virtual Appliance	9.1 以降	TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する

なお、以降は各製品名に以下の略称を用います。

・Trend Micro Deep Discovery Inspector ・・・「DDI」
・Trend Micro Deep Discovery Analyzer ・・・「DDAN」
・Trend Micro Control Manager ・・・「TMCM」
・Smart Protection Server ・・・「SPS」
・InterScan Messaging Security Virtual Appliance ・・・「IMSVA」

Point A 製品連携

製品間の連携設定については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point B 不審オブジェクト連携

不審オブジェクト連携については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

TMCMの「処理を設定」で「ブロック」の場合IMSVAは「隔離」します。

TMCMの「処理を設定」で「ログ」の場合IMSVAは「放置」します。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

不審オブジェクト(ファイル)を検出した時は「TMCM_不審ファイルの検出」ルールです。

不審オブジェクト(URL)を検出した時は「TMCM_不審URLの検出」ルールです。

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

はい。IMSVAはSPSと連携することにより不審オブジェクト(URL)を検知するため必須となります。

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

いいえ。不審オブジェクト(ファイル)の検出の場合には、SPSは必須ではございません。

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。

IMSVAが仮想アナライザへファイルの解析を送信する条件は以下の3つです。

 1)高度な脅威検索エンジンで「HEUR およびEXPL」検出した場合 
 2)ソーシャルエンジニアリング攻撃からの保護を検出した場合 
 3)添付ファイル>実ファイルタイプ にて 「ファイルを仮想アナライザに送信」が設定されているおり
  該当実ファイルタイプの条件にマッチした場合 
  
上記2), 3)においては個別にポリシーを設定し、その処理を設定することができます。
しかし、上記1) の場合「ウイルス対策」のポリシーの中で判定されその処理が実行される
ため、1台のIMSVAでは処理を分けることができません。
回避策として、2台のIMSVAを多段にすることで回避できます。

 前段：Deep Discovery Analyzer連携と高度な脅威検索エンジンを有効化しない
       ことにより、ウイルス検知のみを処理する
       
 後段：Deep Discovery Analyzer連携し高度な脅威検索エンジンを有効化する
       ことにより、仮想アナライザへ送信されたファイルのみを処理する

この記事は役に立ちましたか？

Featured

オートメーションセンター

Education Portal

Online Help Center

サービスステータスポータル

Connected Threat Defense（CTD）設定について(InterScan Messaging Security編)

機能概要

連携対象製品

不審オブジェクトを生成することができる製品

不審オブジェクトに対する処理の設定などを管理することができる製品

生成されて、同期・連携された不審オブジェクトを処理することができる製品

目次

Point A 製品連携

Point B 不審オブジェクト連携

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。

Connected Threat Defense（CTD）設定について(InterScan Messaging Security編)

製品・バージョン:

概要

機能概要

連携対象製品

不審オブジェクトを生成することができる製品

不審オブジェクトに対する処理の設定などを管理することができる製品

生成されて、同期・連携された不審オブジェクトを処理することができる製品

目次

Point A 製品連携

Point B 不審オブジェクト連携

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。

Trend Companion - AIチャットサポート

Connected Threat Defense（CTD） 設定について(InterScan Messaging Security編)

機能概要

連携対象製品

不審オブジェクトを生成することができる製品

不審オブジェクトに対する処理の設定などを管理することができる製品

生成されて、同期・連携された不審オブジェクトを処理することができる製品

目次

Point A 製品連携

Point B 不審オブジェクト連携

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の 処理を分けたいのですが、可能でしょうか。

Connected Threat Defense（CTD） 設定について(InterScan Messaging Security編)

製品・バージョン:

概要

機能概要

連携対象製品

不審オブジェクトを生成することができる製品

不審オブジェクトに対する処理の設定などを管理することができる製品

生成されて、同期・連携された不審オブジェクトを処理することができる製品

目次

Point A 製品連携

Point B 不審オブジェクト連携

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の 処理を分けたいのですが、可能でしょうか。

Connected Threat Defense（CTD）設定について(InterScan Messaging Security編)

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。

Connected Threat Defense（CTD）設定について(InterScan Messaging Security編)

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の処理を分けたいのですが、可能でしょうか。