概要
DDEIの「高度な脅威対策」機能には、パスワードアナライザ機能がございます。
パスワードアナライザは、デフォルトで有効となっております。
「高度な脅威対策」機能はパスワードアナライザを用いて以下の動作を行っているため、パスワード保護されたZIPファイル内のマルウェアも、サンドボックス解析対象とすることができます。
- 新規に受信したメールに対し、その都度メールの本文またはSubjectからパスワードと判断される文字列を自動抽出します。抽出されたパスワードは、一定時間(デフォルト:5分)保持されます。
- パスワード保護されたアーカイブファイルが添付されたメールは、当該ファイルの解凍のためにキューイングされます。以降、タイムアウト時間(デフォルト:5分)に到達するまで、1.のパスワードも使用して解凍を定期的に試みます。
- パスワード解凍に成功すると、アーカイブ内のファイルに対して脅威解析が実施されます。
必要に応じてファイルは仮想アナライザへ送信され、サンドボックス解析が行われます。
脅威解析の判定結果に応じて、解析対象となったメールには「高度な脅威対策」のポリシールールが適用されます。これにより、当該メールを削除または隔離させることが可能です。
「高度な脅威対策」のポリシールールは、DDEI管理画面の以下で設定可能です。
ポリシールールの詳細につきましては、管理者ガイドをご参照ください。
■DDEI 3.xより前のバージョン
[ポリシー] > [ポリシー]
■DDEI 3.x以降のバージョン
[ポリシー] > [ポリシー管理]の"脅威対策ルール"
ご注意:
DDEI 3.x以降の場合、「高度な脅威対策」機能の利用には「高度な脅威対策」のライセンスが必要です。
設定について
前述の通り、パスワードアナライザ機能はデフォルトで有効になっております。
本機能の使用のために必要な設定はございません。
パスワード保護されたアーカイブファイルは、「高度な脅威対策」のポリシールールの内部で自動的に解凍処理が実施されます。こちらも特別な設定は不要です。
なお、各DDEIのバージョン毎の「パスワード解凍をサポートするアーカイブファイルの種類」につきましては、管理者ガイドの[ファイルのパスワード]の章をご参照ください。
一方、パスワード解凍後のアーカイブファイル内にある各ファイルに対するサンドボックス解析の実施条件は、管理画面の[管理] > [検索/分析] > [仮想アナライザ] > [設定]の"サブミッションフィルタ"の設定に従います。
特定のファイルタイプを常にサンドボックス解析の対象としたい場合は、こちらの設定の変更をお願いします。
本設定の詳細は、管理者ガイドの[仮想アナライザのネットワークとフィルタを設定する]の章をご参照ください。
よくあるご質問
Q1.メールの本文またはSubjectから自動抽出されたパスワードは、最大でどのくらいの時間までDDEIに保持されますか?
パスワードアナライザのタイムアウト時間(デフォルト:5分)まで保持されます。
DDEI 3.6以降では、管理画面の[管理] > [検索/分析] > [その他の設定] > [ファイルパスワード] > "パスワードアナライザのタイムアウト"から当該タイムアウト時間を変更できます。
DDEI 3.5以前で設定を変更されたい場合は、サポート窓口までお問合せください。
Q2.パスワード解凍のためにキューイングされたメールは、最大でどのくらいの時間までDDEIにキューイングされますか?
こちらも、パスワードアナライザのタイムアウト時間(デフォルト:5分)まで保持されます。
DDEI 3.6以降では、管理画面の[管理] > [検索/分析] > [その他の設定] > [ファイルパスワード] > "パスワードアナライザのタイムアウト"から当該タイムアウト時間を変更できます。
DDEI 3.5以前で設定を変更されたい場合は、サポート窓口までお問合せください。
Q3.パスワードアナライザ機能でパスワード解凍できなかった場合、そのメールはどうなりますか?
以下の「高度な脅威対策」ポリシールールの条件"検索不能添付ファイル"で設定した処理に従います。
■DDEI 3.xより前のバージョン
[ポリシー] > [ポリシー]
■DDEI 3.x以降のバージョン
[ポリシー] > [ポリシー管理]の"脅威対策ルール"
パスワード解凍に失敗した場合、当該条件に抵触いたします。
当該条件に対する処理を"隔離"と設定していた場合、当該メールは隔離されることになります。
なお、DDEI 3.6以降の隔離メール管理画面では、"検索不能添付ファイル"として隔離されたメールに対して、
「手動でパスワードを入力して解凍を実施し、DDEIに再度脅威解析を行わせる」
機能もご用意しております。