Trend Vision OneにおけるApex One SaaS との不審オブジェクト連携について
Trend Vision Oneでは、Apex One SaaSとの不審オブジェクト連携をサポートしています。
| 製品 | オブジェクトの種類 | 処理 | 機能 |
|---|---|---|---|
| Apex One SaaS | IPアドレス | ログ、ブロック | 不審接続監視 |
| URL | ログ、ブロック | 不審接続監視, Web Reputation | |
| ドメイン | ログ、ブロック | 不審接続監視 | |
| ファイルSHA-1 | ログ、ブロック | アプリケーションコントロール |
Apex One SaaSでIPアドレス、URL、ドメインによる検出を有効にするには、不審接続監視、WRSを有効にする必要があります。
Apex One SaaSでファイルSHA-1による検出を有効にするには、アプリケーションコントロールを有効にする必要があります。
設定方法
Vision OneからApex One SaaSへ不審オブジェクトを連携するには以下の設定を行います。
- Trend Vision One のコンソールにログインし、XDR>Workbenchに移動します。
- 検出されたアラートを選択します。
- 表示されたページのオブジェクトを選択し、右クリックからメニューを表示します。ブロックリストに追加を選択します。
- ブロックリストへの追加画面が表示されます。作成を選択します。
- 作成が成功すると以下のようなメッセージが表示されます。
- Threat Intelligence>Suspicious Object Managementに移動し、不審オブジェクトリストに作成したリストが表示されている事を確認します。
- Apex One SaaS の管理コンソールにログインし、脅威インテリジェンス>ユーザ指定の不審オブジェクトに移動し、上記で作成した不審オブジェクトが登録されている事を確認します。
- Apex One SaaS セキュリティエージェントでアプリケーションコントロールが有効になっている場合、当該ハッシュに合致するアプリの起動が試みられると、設定されたアクションに従った処理が行われます。ここではブロックとなります。
セキュリティエージェントによりブロックされた事が確認できます。
- IPアドレスの場合は以下になります。
C&Cコールバックとして検出されます。
- URLの場合は以下になります。
不正URLとして検出されます。
不審オブジェクトの手動設定方法
Vision OneからApex One SaaSへ不審オブジェクトを連携する際に不審オブジェクトを直接定義する事も可能です。
- Trend Vision One のコンソールにログインし、Threat Intelligence > Suspicious Object Managementへ移動します。
- 不審オブジェクトリストを選択し、追加から追加するオブジェクトを選択します。
- 追加できるオブジェクトは、ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、URLです。
- 選択したオブジェクトによって設定画面が表示されますので入力していきます。
ドメイン
ファイルSHA-1
ファイルSHA-256
IPアドレス
送信者アドレス
URL
- 保存すると不審オブジェクトリストに表示されます。