ビュー:

機能概要

Connected Threat Defense(CTD)とは、パターン対応していない未知のマルウエアやURLなどの不審オブジェクトをDeep Discoveryファミリー製品の解析情報から取得することで、各エンドポイント製品またはサーバ製品で検出・防御できるようにするソリューションです。

従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。 
 
CTDでは複数の製品を連携することが可能ですが、本Q&Aでは「Deep Discovery Email Inspector」、「Trend Micro Control ManagerまたはTrend Micro Apex Central」間の連携に特化して掲載します。
以降、各製品名に以下の略称を用います。
 
  • ・Trend Micro Deep Discovery Inspector ・・・ 「DDI」
  • ・Trend Micro Deep Discovery Email Inspector ・・・ 「DDEI」
  • ・Trend Micro Deep Discovery Analyzer ・・・ 「DDAN」
  • ・Trend Micro Control Manager ・・・ 「TMCM」
  • ・Trend Micro Apex Central ・・・ 「Apex Central」
  • ・ウイルスバスター コーポレートエディション ・・・ 「Corp.」
  • ・Smart Protection Server ・・・ 「SPS」
  • ・Trend Micro Deep Security ・・・ 「DS」
  • ・InterScan Web Security Virtual Appliance ・・・ 「IWSVA」
  • ・InterScan Messaging Security Virtual Appliance ・・・ 「IMSVA」

連携対象製品

不審オブジェクトを生成することができる製品

製品名対応
バージョン		役割
Deep Discovery Inspector
3.8 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Email Inspector
2.5 SP1 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Analyzer
5.5 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。

不審オブジェクトに対する処理の設定などを管理することができる製品

製品名対応
バージョン		役割
Trend Micro Control Manager
6.0 SP3 以降
全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行う。
Trend Micro Apex Central
2019 以降
全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行う。本製品は、TMCMの後継製品です。

生成されて、同期・連携された不審オブジェクトを処理することができる製品

製品名対応
バージョン		役割
ウイルスバスター コーポレートエディション
11.0 SP1 以降
TMCMから不審オブジェクトリストを受取り、各クライアントへ配布して不審ファイル、URL、IPアドレスを検出する。
TMCMとの連携方法につきましてはこちらをご参照ください。
Smart Protection Server
3.0 Patch1 以降
TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
Trend Micro Deep Security
10.0 以降
TMCMから不審オブジェクトリストを受取り、不審ファイルを検出する
スタンドアローンSmart Protection Serverとの連携が可能で、TMCMから不審オブジェクトURLを受け取り、Trend Micro Deep SecurityがWRSクエリ時に不審オブジェクトURLを検出する
InterScan Web Security Virtual Appliance
6.5 SP2 Patch1 以降
TMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する
InterScan Messaging Security Virtual Appliance
9.1 以降
TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する
Deep Discovery Email Inspector
2.5 SP1 以降
自身が生成した不審オブジェクト、およびTMCMから不審オブジェクトリストを受取り、不審ファイル、URL、ドメインを検出する

目次

Point A 事前準備

  1. ご利用のTMCMまたはApex Centralバージョンが、ご利用のDDEIのバージョンとの連携をサポートしているかをご確認ください。サポートバージョンの情報はこちらからご確認ください。
     
  2. TMCMまたはApex Centralの管理画面の以下から、「不審オブジェクトの管理下の製品への配信が有効である」ことと「APIキー」をご確認ください。

    TMCM:
    [運用管理] > [不審オブジェクト] > [配信設定]の"不審オブジェクトを管理下の製品に送信します。"にチェックし、"APIキー"に記載の文字列をご確認ください。

    Apex Central:
    [脅威インテリジェンス] > [配信設定]の"不審オブジェクトを管理下の製品に配信する。"にチェックし、"APIキー"に記載の文字列をご確認ください。
     

Point B TMCM/Apex Centralとの連携設定

DDEIの管理画面の以下から、TMCMまたはApex Centralと連携するよう設定を行います。

[DDEI 3.1以前]
管理画面の[管理] > [統合製品/サービス] > [Control Manager]画面にて、連携対象のTMCMの設定を行います。
不審オブジェクトの同期のため、「不審オブジェクトをControl Managerと同期する」にチェックを入れるようお願いします。
その際、先述の事前準備で確認したAPIキーの入力が必要です。

[DDEI 3.5]
管理画面の[管理] > [統合製品/サービス] > [Apex Central]画面にて、連携対象のTMCMまたがApex Centralの設定を行います。
不審オブジェクトの同期のため、「不審オブジェクトをApex Centralと同期する」にチェックを入れるようお願いします。
その際、先述の事前準備で確認したAPIキーの入力が必要です。

Point C 不審オブジェクトの同期確認

DDEIの仮想アナライザ解析で不審オブジェクトが検出・登録されると、DDEI管理画面の[検出] > [不審オブジェクト]にその情報が表示されます。DDEI 3.0以降であれば、TMCMまたはApex Centralから同期された不審オブジェクトを[検出] > [不審オブジェクト] > [同期された不審オブジェクト]から確認できます。

一方、TMCMまたはApex Centralが保持している不審オブジェクトは、管理画面の以下から確認できます。

-TMCM: [運用管理] > [不審オブジェクト] > [仮想アナライザオブジェクト] > [オブジェクト]
-Apex Central: [脅威インテリジェンス] > [仮想アナライザ不審オブジェクト] > [オブジェクト]

Point D よくあるご質問や注意事項

1. テストウイルスEicarがDDEIに不審オブジェクトとして登録されません。なぜですか。

仮想アナライザ解析で検出された未知の脅威が不審オブジェクトとして登録されます。パターンファイルで検出されるマルウエア(ウイルス)等は、仮想アナライザでは解析されません。そのため、Eicarが不審オブジェクトに登録されないのは正常な動作です。

2. DDEIの仮想アナライザ解析で不審オブジェクトとして登録されるテスト用の検体はありますか。

お手数ですが、まずは弊社担当営業またはエンジニアにご相談ください。

3. 不審オブジェクトを個別に登録することはできますか。

DDEIでは、ユーザ定義の不審オブジェクトを登録することができません。一方、TMCMまたはApex Centralでは、管理画面の以下からユーザ定義の不審オブジェクトの登録が可能です。DDEIは、TMCMまたはApex Centralのユーザ定義の不審オブジェクトを同期し、解析に使用いたします。

-TMCM: [運用管理] > [不審オブジェクト] > [ユーザ定義オブジェクト]
-Apex Central: [脅威インテリジェンス] > [カスタムインテリジェンス] > [ユーザ指定の不審オブジェクト]
 

4. 不審オブジェクトに有効期限はありますか。

有効期限は30日間です。TMCMまたはApex Centralの管理画面の以下から、有効期限の確認と変更が可能です。
有効期限を変更する場合、今すぐ期限切れにするか無制限にするかを選択します。

-TMCM: [運用管理] > [不審オブジェクト] > [仮想アナライザオブジェクト]
-Apex Central: [脅威インテリジェンス] > [仮想アナライザ不審オブジェクト]

5. 特定の不審オブジェクトが原因で過検知が発生しました。検出から除外する方法を教えてください。

特定の不審オブジェクトを除外する場合は、以下をご参照ください。

[DDEI]
DDEIでの解析から除外する場合は、管理画面の[ポリシー] > [除外] > [オブジェクト]にて除外する不審オブジェクトを登録してください。

[TMCMまたはApex Central]
TMCMまたはApex Centralで除外対象とする場合は、管理画面の以下から除外する不審オブジェクトを登録してください。

-TMCM: [運用管理] > [不審オブジェクト] > [仮想アナライザオブジェクト] > [除外]
-Apex Central: [脅威インテリジェンス] > [仮想アナライザ不審オブジェクト] > [除外]

または、以下の一覧画面で除外対象とする仮想アナライザオブジェクトを選択し、処理「除外リストに追加」を実施することで除外すること可能です。

-TMCM: [運用管理] > [不審オブジェクト] > [仮想アナライザオブジェクト] > [オブジェクト]
-Apex Central: [脅威インテリジェンス] > [仮想アナライザ不審オブジェクト] > [オブジェクト]

6. 既存の不審オブジェクトに合致したメールに対する処理は、どこで設定できますか。

DDEIは、不審オブジェクトが持つ「リスクレベル」情報からリスクレベルを確認します。そして、ポリシーに設定されているリスクレベル別の処理を当該メールに適用します。ポリシーは、管理画面の以下から設定可能です。
なお、TMCMまたはApex Centralでは不審オブジェクトに対して「検出時の処理」を設定できますが、DDEIではこの「検出時の処理」情報からメールに対する処理を決定しておりません。

[DDEI 3.0より前のバージョン]
[ポリシー] > [ポリシー] > [処理]

[DDEI 3.0 以降]
[ポリシー] > [ポリシー管理] > [ポリシーリスト]の各ポリシーに設定されている"脅威対策ルール"

7. TMCMまたはApexCentralの[今すぐ同期]に対応していますか。

DDEIは、TMCMまたはApexCentralの[今すぐ同期]に対応しておりません。
対象バージョン:3.0, 3.1, 3.5, 3.6, 5.0

 
キーワード: Deep Discovery Email Inspector