※本ご案内では弊社の製品を以下のように表記させていただきます。
・Deep Discovery Inspector(以下、DDI)
DDIとVision OneのXDR機能で出来ることについて
DDIを運用いただくことにより、サンドボックスによる未知の脅威を発見したり、内部に潜入したアクティビティを早期発見することが出来ます。さらに、よりDDIを強力なものにするものとしてDDIを Trend Vision One に接続し利用することができます。
Trend Vision Oneは、検知の関連付け、統合された調査、レイヤー間をまたがる対処を可能にする専用のプラットフォームです。 DDI を Trend Vision Oneに接続し、Netowrk Sensorを有効にすると、DDIは検出ログやネットワークアクティビティデータを送信します。
これにより、主に、以下のような機能を利用できます。
1. 検出 (検出モデル/脅威インテリジェンスに基づく脅威の検出)
| 機能 | 場所 | 詳細 |
|---|---|---|
| 検出モデルを使用した脅威の検出 | XDR THREAT INVESTIGATION > Workbench | 検出モデル を使用して、データスタッキングや機械学習などのさまざまな分析手法を使用して脅威を検出します。 トレンドマイクロ では、検出モデルとフィルタを定期的に改良して追加することで、脅威の検出機能を強化し、 誤検出 アラートを削減します。 |
| トレンドマイクロ及び外部からの脅威インテリジェンスを使用した検出 | インテリジェンスレポート はトレンドマイクロ、および外部ソースからの厳選された脅威インテリジェンスや最新の攻撃キャンペーンに関連したIoA, IoCを定義します。 アクティビティデータをインテリジェンスレポートに基づいてスイーピングを実施し、合致するイベントを検出します。 | |
| 通常と異なるネットワークアクティビティの検出 | RISK INSIGHTS > Operations Dashboard > 異常検出 | 通常とは異なるネットワークアクティビティを検出します。 ※別途ライセンスが必要 |
2. 調査 (効率的な調査、調査パッケージ/PCAPファイルの収集)
| 機能 | 場所 | 詳細 |
|---|---|---|
| Workbenchを使用した効率的な調査 | XDR THREAT INVESTIGATION > Workbench | インシデントビュー の利用により、関連するアラートをグループ化して表示し、ネットワーク環境で発生する可能性のあるシステム違反を迅速に特定することができます。 |
| ネットワーク分析レポートによる攻撃全体の可視化 | ネットワーク分析レポート により、関連オブジェクトのネットワーク相関を表示し、攻撃全体を可視化することができます。 | |
| 検出モデルを構成するフィルタレベルに合致するイベント、関連するMITRE情報の表示 | XDR THREAT INVESTIGATION > Observed Attack Techniques | Observed Attack Techniques 画面では、検出モデルを構成するフィルタレベルに合致するイベントと、それらに関連するMITRE情報を表示します。 |
| DDIの検出ログやネットワークアクティビティデータの検索 | XDR THREAT INVESTIGATION > Search | Search アプリ を使用して、DDIの検出ログやネットワークアクティビティデータを検索できます。 |
| ファイル、調査パッケージ、PCAPファイル等の収集 | XDR THREAT INVESTIGATION > Workbench Observed Attack Techniques Search | Workbench や Searchアプリ、Observed Attack Techniques 画面のコンテキストメニューからファイルの収集、調査パッケージ、PCAPファイルの取得が可能です。(対応処理 ) ※DDI 6.5 以降でサポート。調査パッケージ、PCAPファイル取得には事前設定が必要 |
3. レスポンス (ブロックリストへの追加等)
| 機能 | 場所 | 詳細 |
|---|---|---|
| オブジェクトに対し、ブロックリストへの追加等の処理の実施 | XDR THREAT INVESTIGATION > Workbench Observed Attack Techniques Search | ・WorkbenchやSearchアプリ、Observed Attack Techniques画面のコンテキストメニューから、対象の「ブロックリストへの追加」などの対応処理 を実施できます。 ・IAMシステムやエンドポイント製品をTrend Vision Oneと連携している場合、ユーザやエンドポイントデバイスに対する各種処理(ユーザアカウントの無効化やエンドポイントの隔離等)が可能です(※別途ライセンスが必要) |
4. ネットワーク内のデバイスの可視化
| 機能 | 場所 | 詳細 |
|---|---|---|
| ネットワーク内のデバイスの可視化 | RISK INSIGHTS > Attack Surface Discovery | ネットワークアクティビティデータ情報を基に、ネットワーク内のデバイスを可視化します。これにより未知のデバイス資産を特定できる可能性があります。 また、デバイスプロファイル 画面からはリスク評価情報、他のアセットへの接続情報等を確認できます。(※別途ライセンスが必要) |
5. 中央管理 (Critical Patch適用/仮想アナライザイメージの配布)
| 機能 | 場所 | 詳細 |
|---|---|---|
| HotfixやCritical Patch適用の集中管理、仮想アナライザイメージの配布 | NETWORK SECURITY OPERATIONS > Network Inventory | アプライアンスプラン を使用して、ファームウェア、Hotfix, Critical Patchの適用、設定の複製、および仮想アナライザイメージの配布をVision Oneから実施できます。 複数のDDIをVision Oneに接続している場合は適用の工数を削減できます。 ※ DDI6.5 Patch1以上が必要 |
| 不審オブジェクトの同期 | THREAT INTELLIGENCE > Suspicious Object Management | Suspicious Object Management を使用して、Trend Vision Oneに接続されている製品間で不審オブジェクトを同期できます。 ※ DDI5.8 SP1以上、および、Service Gateway との連携が必要 |
エンドポイント製品を Trend Vision Oneに接続している環境にネットワークアクティビティデータを提供するDDIを接続することにより、EDRの死角、および、攻撃者のネットワーク上の動きを可視化できます。
Trend Vision One の詳細については、以下のページをご確認ください。
・Trend Vision One
・ネットワーク上の死角をなくす
XDRデモ動画
https://www.youtube.com/watch?v=6-kWSdPsQ1A※本機能はDDI 5.7 SP3以降でのみご利用可能となります。5.7 SP3 以前のバージョンをお使いのお客様はこちら をご参照の上、アップグレードの実施をご検討ください。
ライセンスのご利用手順
本ライセンスのご利用手順について以下にご案内いたします。
【目次】
- 0. ライセンスの種類の確認
- 1.1 CLPでDDI with XDR用ライセンスの登録
- 1.2. アクティベーションリンクでXDR Add-on: DDI用ライセンスの登録
- 2. V1コンソールへのログイン
- 3. DDIとV1の接続
0. ライセンスの種類の確認
提供されるライセンスは以下の2種類が存在します。
以降の作業では、お客様が該当するライセンスの種類 (アクティベーションリンク、もしくはそれ以外のご購入ライセンス)に該当する内容を実施ください。
| ご購入ライセンス | ライセンスキー | 説明 |
|---|---|---|
|
DDI モデル名 with XDR 新規、 DDI モデル名 XDR 移行パック、 DDI モデル名 XDR 移行用更新、 | RK(レジストレーションキー)、もしくはAC(アクティベーションコード) |
1.1 CLPでDDI with XDR用ライセンスの登録にお進みください。 |
|
XDR Add-on: DDI |
アクティベーションリンク |
1.1. CLPでDDI with XDR用ライセンスの登録
DDI with XDR用ライセンスは、Customer License Portal(CLP)サイトを通じて行います。
なお、XDRご利用にあたりDDI 5.7 SP3以上のバージョンである必要があります。
Deep Discovery Inspector のアップグレード手順は以下です。
https://success.trendmicro.com/solution/KA-0005541
1.1.1 お客様が取得したライセンスの確認
お客様のご購入されたライセンスにより以下のように弊社よりご提供するライセンスキーが異なります。
以降の作業では、お客様が該当するライセンスキー(RK、もしくはAC)に該当する内容を実施ください。
| ご購入ライセンス | ライセンスキー | 説明 |
|---|---|---|
|
DDI モデル名 with XDR 新規、 |
RK(レジストレーションキー) |
RKを登録することにより、DDI用のライセンスと、XDRに接続するためのライセンスが生成されます。 DDIの場合3種類生成され、DDIVAの場合2種類生成されます。 |
|
DDI モデル名 XDR 移行パック、 DDI モデル名 XDR 移行用更新、 | AC |
XDRに接続するためのライセンスのみご提供します。 DDI用のACは既にご契約済みでご登録のものを継続してご利用ください。(入れ替える必要はございません) |
ライセンスキーのご確認後、以下フローに従ってライセンスの有効化をお願いいたします。
1.1.2. [CLPアカウント未保有のお客様]CLPにてライセンスキー登録
CLPで、[ソフトウェア製品を登録する、またはサービス/サービスSaaS製品を初めてご利用されるお客さま]を選択します。
上記でご確認いただいたライセンスキーを入力して、[続行ボタン]を押します。
Customer License Portal > ユーザ登録
https://clp.trendmicro.com/Fullregistration
1.1.3. [CLPアカウント保有済みのお客様] CLPにてライセンスキー登録
https://tm.login.trendmicro.com
でログイン後「+キーの入力」を押下し、証書に記載されたライセンスキーを入力してください。
1.1.4. [ライセンスキーがRKのお客様]生成されるACの確認
RK入力により複数のACが作成され、確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。
以下は、DDI 4000シリーズの例です。
ご登録されるモデルごとにより差分がございますので、以下表でご確認ください。
| モデル | DDIに登録いただくライセンス名称 | RKご登録時点でCLPに紐づけられているXDR用ライセンス名称 | 登録不要のライセンス |
|---|---|---|---|
| DDI 250シリーズ | DDI Software Appliance 250 | XDR Add-on: Deep Discovery Inspector (JP) | Deep Discovery Inspector 250 Mbps model (Hardware license) * Not for use |
| DDI 1000シリーズ | DDI Software Appliance 1G | Deep Discovery Inspector 1000 (Hardware license) * Not for use | |
| DDI 4000シリーズ | Deep Discovery Inspector 4 Gbps model (Software license) | Deep Discovery Inspector 4000 (Hardware license) * Not for use | |
| DDI 9000シリーズ | Deep Discovery Inspector 10 Gbps model (Software license) | Deep Discovery Inspector 9000 (Hardware license) * Not for use | |
| DDIVA 250 | Deep Discovery (Virtual Appliance model, 250 Mbps) | HWでは無いため表示しません | |
| DDIVA 1000 | Deep Discovery (Virtual Appliance model, 1 Gbps) | HWでは無いため表示しません |
1.1.5. [ライセンスキーがACのお客様]生成されるACの確認
AC入力後、以下のようにXDR用のライセンスの確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。
1.1.6. [CLPアカウント未保有のお客様]会社情報とユーザー情報の入力
会社情報とユーザ情報を入力します。
★注意:
・ユーザ情報にある[アカウント名][パスワード]は、XDRコンソールのログイン情報として利用されます。
1.1.7. XDR用ライセンスが登録されたことの確認
CLPのメインメニューに戻り、DDI用XDRライセンスである「XDR Add-on: Deep Discovery Inspector」が登録されたことを確認します。
あわせて、XDR機能が統合されているTrend Micro Vision Oneのライセンスが表示されていることを確認ください。
★注意:
・本画面にDDIの表記はありませんが、仕様となります。(2021/12現在、DDIVA 1000のみ表示)・実際にDDIに登録するACは下記項目をご覧ください。
1.1.8. DDI with XDR用ACの確認
登録が完了すると、CLPで[ユーザ登録情報]として登録したメールアドレス宛てに完了通知が届きます。
★注意:
・この完了通知メールに、実際に利用するDDI用ACが記載されています。
・このACはCLPコンソールから確認できないため、本メールを大切に保管してください。・なお、ACの名称はHWモデルごとに異なります。それぞれの名称は1.4の表をご参照ください。
1.1.9. DDI with XDR用ACのDDIへの登録
DDIコンソールの[管理]>[ライセンス]にて、DDI用のACを登録します。
既に登録されている場合は、上書き保存します。
ライセンス登録は以上になります。2. V1コンソールへのログインに進みます。
1.2. アクティベーションリンクでXDR Add-on: DDI用ライセンスの登録
XDR Add-on: DDI用ライセンスの登録は、アクティベーションリンクを使用して行います。
なお、XDRご利用にあたりDDI 5.7 SP3以上のバージョンである必要があります。
Deep Discovery Inspector のアップグレード手順は以下です。
https://success.trendmicro.com/solution/KA-0005541
アクティベーションリンクからライセンスを登録する手順は、以下をご参照ください。 https://success.trendmicro.com/solution/KA-0012547
2. V1コンソールへのログイン
2.1. V1コンソールへの初回のログイン
製品/サービス一覧の[Trend Micro Vision One]の右端にある[コンソールを開く]をクリックします。
リージョンを選択します。
★注意:
・DDIからV1にアップロードされるデータは選択したリージョンに保管されます。・保管先が日本とする場合は[Japan]を選択します。
[Connect]ボタンを押して、DDIと接続する作業を行います。作業手順については下記「DDIとV1の接続」を参考にしてください。
なお、手順の中で[Connect Network Sensors]を選択する画面が出てきますので[Network Inventory Service]を選択します。
★注意:
・[Deep Discovery Director on-premises version]を選択しないようにしてください。正しく登録が行われません。
V1コンソールへの初回ログイン後の、ログイン方法として次の2つがあります。
・CLPコンソールからのログイン・V1コンソールからのログイン
以下では、それぞれの方法について説明します。
2.2. V1コンソールへの初回以降のログイン(CLPコンソールからのログイン)
「CLPコンソールからの接続」については、次の通りです。
・上述の[V1コンソールへの初回のログイン]と同様の手順となります。
・最初の登録時に設定した[アカウント名]と[パスワード]が、そのままXDRコンソールのアカウント/パスワードとして使用されます。
・このアカウントは、V1のローカルアカウントで[Master Administrator]ロールが割り当てられています。
・このアカウントは、V1のコンソールから削除することは出来ません。
2.3. V1コンソールへの初回以降のログイン(V1コンソールからのログイン)
「V1コンソールからの直接の接続」については、次の通りです。
・アカウントは、[Local Account]と[SAML Account]があります。
・各アカウントの権限管理として、[Role]と[Access Level]を指定します。
・作成されたアカウントを使用して、V1コンソールからログインすることが出来ます。
・各アカウントには、必要に応じてログイン時の多要素認証を設定することが出来ます。
・詳細は、XDRのOnline Helpで確認することができます。→https://docs.trendmicro.com/ja-jp/documentation/article/trend-vision-one-configuring-accounts または https://docs.trendmicro.com/ja-jp/documentation/article/trend-vision-one-configuring-accounts_001
V1コンソール画面で、アカウントとパスワードを入力してログインします。
3. DDIとV1の接続
3.1. 登録の作業
Vision Oneコンソールにログイン、左メニューの [Network Security Operations]> [Network Inventory] > [Deep Discovery Inspectorアプライアンス]タブ に移動し、[アプライアンスを接続]をクリックします。(※)
※2024年3月現在の画面レイアウトでは、[Network Security Operations]> [Network Inventory]> [Deep Discovery Inspector]> [アプライアンスを接続] をクリックします。
製品で[Deep Discovery Inspector]を明示的に選択します。
[Deep Discovery Inspectorのバージョン]で[5.7 Service Pack 3以降]を選択し、[アプライアンスのIPアドレスまたはFQDN]で、V1に登録するDDIのIPアドレスまたはFQDNを入力して、[移動]ボタンを押します。
ここで入力するDDIのIPアドレスまたはFQDNは、次の手順でブラウザがDDIのWeb管理コンソールを開く際に使用する情報ですので、V1から直接通信可能なグローバルIPである必要はございません。
DDIのWeb管理コンソールが開きます。管理者ログインしていない場合は、管理者アカウントでログインします。
ログインすると、自動的に[Deep Discovery Inspector]に推移し、V1への登録を行うためのポップアップ画面が表示されます。
[続行]ボタンをクリックすると、登録が完了します。
V1コンソールに移動し、DDIが登録されていることを確認します。( [Network Security Operations]> [Network Inventory] > [Deep Discovery Inspectorアプライアンス]タブ)
また、対象のDDIの[Network Sensor]を オン に切り替えます。
以下の画面にて[有効化]をクリックします。
有効化が完了するまでしばらく待ちます。
有効化が完了し、 [Network Sensor]のステータスが オン に切り替わったことを確認します。
3.2. 登録の確認
DDIコンソールの、管理 > 製品統合サービス >[Trend Micro Vision One]より、V1への接続ステータスの確認ができます。
3.3. 動作検証方法
攻撃のシミュレーション
1.Network Sensorの監視対象となっているwindows端末を準備します(Endpoint用のセンサーは不要)
2.wgetをテスト用端末にダウンロードします
3.wgetコマンドを使って以下のようにテストURLに8回ほどアクセスをします。
※それぞれのURLにアクセス後1分ほど待ってから次のアクセスを試行します。
> #wget.exe %URLデモ用URL:
※デモ用URLは以下となります。「hxxp」を「http」に置き換えて入力してください。
- hxxp://ca91-1.winshipway.com/cmd=1
- hxxp://ca91-1.winshipway.com/cmd=2
- hxxp://ca91-1.winshipway.com/cmd=1
- hxxp://ca91-1.winshipway.com/cmd=2
- hxxp://ca91-1.winshipway.com/cmd=1
4.検出イベント確認、ネットワーク分析レポートの確認(ご参考URL)https://www.trendmicro.com/ja_jp/business/tech_blog/visonone_xdr_trial_221007.html#bnchor06-tm-anchor
手順は以上となります。
トラブルシューティング
XDR連携が失敗する場合、DDI から以下のURLに通信できるようFirewall等で次のアドレスとポートを許可されていることをご確認ください。
- *.xdr.trendmicro.com:443
- *.xdr.trendmicro.co.jp:443
その他お困りの際や確認したいことがある場合は、下記のQ&Aページをご参照ください。
・Deep Discovery Inspector でよくある質問 (製品Q&A)
トラブルシューティングや、仕様・操作方法などの製品ページ/製品Q&Aや、お問合せ窓口を用意しています。