ビジネスサポートポータルアカウントでログイン
 

DDI が検出した不審オブジェクトを TXOne Networks 製品(ODC/EdgeIPS)で検知・遮断させるための設定手順

    • 更新日:
    • 2 Sep 2021
    • 製品/バージョン:
    • OS:
    • Appliance
概要

DDI と ODC を連携させることで DDIが検出した不審オブジェクトを ODC に通知し、EdgeIPS の
Suspicious Object Filter で不審オブジェクトのアクティビティを検知・遮断することが可能です。
 

DDIと ODC/EdgeIPS を連携するには、以下のような設定を行う必要があります。

1. DDIとODC,EdgeIPS をそれぞれサポートするバージョンまでアップグレードする
  DDI:version 5.8 SP1 以降
  ODC: version 1.3.6 以降
  EdgeIPS:version 1.2.4 以降

2. ODC 側で以下の設定を行う
  Suspicious Object Pool の設定
  Suspicious Object Operation Mode の設定
  DDI に登録する API KeyとAPI Secretの作成

3. DDI側でのODCとの連携設定
 

詳細
Public

1. DDIとODC,EdgeIPS をそれぞれサポートするバージョンまでアップグレードする

  ODC/EdgeIPS のアップグレード手順については以下の製品FAQをご参考願います
      ODC-VA のファームウェアバージョンアップ手順
      EdgeIPS、EdgeIPS-Pro、EdgeFire のファームウェアバージョンアップ手順

2. ODC 側で以下の設定を行う
  2-1. Suspicious Object Pool の有効化
              Application > Suspicious Object Pool  の Settings タブから
             "Enable service to receive suspicious objects"にチェックを入れます

        001.PNG
      2-2. Node Management > EdgeIPS から Suspicious Objects の設定項目を有効化します
        002.PNG
      2-3. Suspicious Object Operation Mode を有効化します

    Monitor Mode:      SOルール検出時にログ出力のみを行います
          Prevention Mode: SO ルール検出時に遮断設定とログ出力を行います
        003.PNG

    2-4. Suspicious Object Filter の Approval Status を指定します

                 Approved Objects Only:
                     DDI から通知された不審オブジェクトを自動的に SO Filter のルールとして
                     取り込みます

                 Approved and New Objects: 
                      DDI から通知された不審オブジェクトのうち、手動で Approve した
                      不審オブジェクトのみを SO Filter のルールとして取り込みます

        004.PNG

        2-5. Administration > API Key Management の項目から DDI に登録する API Key と
               API Secret を生成します

        005.PNG

3. DDI側でODCとの連携設定

    3-1. DDI の Web コンソールにログインし、Administration > Integrated Products/Services
           を選択し、TXOne OT Defense Console を クリックします

        006.PNG

        3-2. "Distribute object to TXOne OT Defense Console"にチェックを入れ、ODC で生成した
               API Key と API secret を登録します
        007.PNG
        3-3. ODCに通知するDDI が検出した不審オブジェクトの種類とリスクレベルを指定します

        008.PNG
 
4. 連携後の検出動作

    4-1. DDI から通知された不審オブジェクトの Approve
           DDI から通知された不審オブジェクトは ODC の Application > Suspicious Object Pool に
           表示されます
     009.PNG

    4-2. SO Filter の Approved Status を"Approved Objects Only"に指定した場合には
           下記項目で"Approve"した不審オブジェクトのみが SO Filter として EdgeIPS に
           配信されます
                   Approve: SO ルールとして登録
                   Reject: SO ルールとして登録しない
                   Delete: Suspicious Object Pool から削除

            010.PNG

    4-3. ODC から EdgeIPS に配信された SO Filter は EdgeIPS の Webコンソール上から
           Security > Suspicious Objects を選択すると確認可能です

        011.PNG
    4-4. 検出イベントは ODC の Webコンソール Logs > Suspicious Object Logs から確認が可能です

    012.PNG

 
Premium
Internal
Partner
評価:
カテゴリ:
Configure; Deploy
Solution Id:
000288753
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド