Trend Micro - Securing Your Journey to the Cloud ビジネス
サポート
ビジネスサポートポータルアカウントでログイン
 

Deep Discovery Inspector with XDR: Welcome Page

    • 更新日:
    • 4 Dec 2023
    • 製品/バージョン:
    • Deep Discovery Inspector All
    • OS:
概要
image.png
詳細
Public

※本ご案内では弊社の製品を以下のように表記させていただきます。 
・Deep Discovery Inspector(以下、DDI)


DDIとVision OneのXDR機能で出来ることについて

 

DDIを運用いただくことにより、サンドボックスによる未知の脅威を発見したり、内部に潜入したアクティビティを早期発見することが出来ます。さらに、よりDDIを強力なものにするものとしてDDIを Trend Vision One に接続し利用することができます。

Trend Vision Oneは、検知の関連付け、統合された調査、レイヤー間をまたがる対処を可能にする専用のプラットフォームです。 DDI を Trend Vision Oneに接続し、Netowrk Sensorを有効にすると、DDIは検出ログやネットワークアクティビティデータを送信します。

これにより、主に、以下のような機能を利用できます。

詳細すべて確認

1. 検出 (検出モデル/脅威インテリジェンスに基づく脅威の検出)

 

機能場所詳細
検出モデルを使用した脅威の検出XDR THREAT INVESTIGATION > Workbench検出モデル を使用して、データスタッキングや機械学習などのさまざまな分析手法を使用して脅威を検出します。
トレンドマイクロ では、検出モデルとフィルタを定期的に改良して追加することで、脅威の検出機能を強化し、 誤検出 アラートを削減します。
トレンドマイクロ及び外部からの脅威インテリジェンスを使用した検出インテリジェンスレポート はトレンドマイクロ、および外部ソースからの厳選された脅威インテリジェンスや最新の攻撃キャンペーンに関連したIoA, IoCを定義します。
アクティビティデータをインテリジェンスレポートに基づいてスイーピングを実施し、合致するイベントを検出します。
通常と異なるネットワークアクティビティの検出RISK INSIGHTS > Operations Dashboard > 異常検出通常とは異なるネットワークアクティビティを検出します。
※別途ライセンスが必要

2. 調査 (効率的な調査、調査パッケージ/PCAPファイルの収集)

 

機能場所詳細
Workbenchを使用した効率的な調査XDR THREAT INVESTIGATION > Workbenchインシデントビュー の利用により、関連するアラートをグループ化して表示し、ネットワーク環境で発生する可能性のあるシステム違反を迅速に特定することができます。
ネットワーク分析レポートによる攻撃全体の可視化ネットワーク分析レポート により、関連オブジェクトのネットワーク相関を表示し、攻撃全体を可視化することができます。
検出モデルを構成するフィルタレベルに合致するイベント、関連するMITRE情報の表示XDR THREAT INVESTIGATION > Observed Attack TechniquesObserved Attack Techniques 画面では、検出モデルを構成するフィルタレベルに合致するイベントと、それらに関連するMITRE情報を表示します。
DDIの検出ログやネットワークアクティビティデータの検索XDR THREAT INVESTIGATION > SearchSearch アプリ を使用して、DDIの検出ログやネットワークアクティビティデータを検索できます。
ファイル、調査パッケージ、PCAPファイル等の収集XDR THREAT INVESTIGATION > Workbench
Observed Attack Techniques
Search		Workbench や Searchアプリ、Observed Attack Techniques 画面のコンテキストメニューからファイルの収集、調査パッケージ、PCAPファイルの取得が可能です。(対応処理 )
※DDI 6.5 以降でサポート。調査パッケージ、PCAPファイル取得には事前設定が必要

3. レスポンス (ブロックリストへの追加等)

 

機能場所詳細
オブジェクトに対し、ブロックリストへの追加等の処理の実施XDR THREAT INVESTIGATION > Workbench
Observed Attack Techniques
Search		・WorkbenchやSearchアプリ、Observed Attack Techniques画面のコンテキストメニューから、対象の「ブロックリストへの追加」などの対応処理 を実施できます。
・IAMシステムやエンドポイント製品をTrend Vision Oneと連携している場合、ユーザやエンドポイントデバイスに対する各種処理(ユーザアカウントの無効化やエンドポイントの隔離等)が可能です(※別途ライセンスが必要)

4. ネットワーク内のデバイスの可視化

 

機能場所詳細
ネットワーク内のデバイスの可視化RISK INSIGHTS > Attack Surface Discoveryネットワークアクティビティデータ情報を基に、ネットワーク内のデバイスを可視化します。これにより未知のデバイス資産を特定できる可能性があります。
また、デバイスプロファイル 画面からはリスク評価情報、他のアセットへの接続情報等を確認できます。(※別途ライセンスが必要)

5. 中央管理 (Critical Patch適用/仮想アナライザイメージの配布)

 

機能場所詳細
HotfixやCritical Patch適用の集中管理、仮想アナライザイメージの配布NETWORK SECURITY OPERATIONS > Network Inventoryアプライアンスプラン を使用して、ファームウェア、Hotfix, Critical Patchの適用、設定の複製、および仮想アナライザイメージの配布をVision Oneから実施できます。
複数のDDIをVision Oneに接続している場合は適用の工数を削減できます。
※ DDI6.5 Patch1以上が必要
不審オブジェクトの同期THREAT INTELLIGENCE > Suspicious Object ManagementSuspicious Object Management を使用して、Trend Vision Oneに接続されている製品間で不審オブジェクトを同期できます。
※ DDI5.8 SP1以上、および、Service Gateway との連携が必要
 

エンドポイント製品を Trend Vision Oneに接続している環境にネットワークアクティビティデータを提供するDDIを接続することにより、EDRの死角、および、攻撃者のネットワーク上の動きを可視化できます。

Trend Vision One の詳細については、以下のページをご確認ください。
Trend Vision One
ネットワーク上の死角をなくす

 

XDRデモ動画

MicrosoftTeams-image (2).png

※本機能はDDI 5.7 SP3以降でのみご利用可能となります。5.7 SP3 以前のバージョンをお使いのお客様はこちら をご参照の上、アップグレードの実施をご検討ください。


ライセンスのご利用手順


本ライセンスのご利用手順について以下にご案内いたします。

【目次】

 

1. CLPでDDI with XDR用ライセンスの登録

 

DDI with XDR用ライセンスは、Customer License Portal(CLP)サイトを通じて行います。
なお、XDRご利用にあたりDDI 5.7 SP3以上のバージョンである必要があります。

Deep Discovery Inspector のアップグレード手順は以下です。
https://success.trendmicro.com/jp/solution/1111565

 

1.1. お客様が取得したライセンスの確認

お客様のご購入されたライセンスにより以下のように弊社よりご提供するライセンスキーが異なります。
以降の作業では、お客様が該当するライセンスキー(RK、もしくはAC)に該当する内容を実施ください。

ご購入ライセンスライセンスキー説明

DDI モデル名 with XDR 新規、
DDIVA モデル名 with XDR 新規

RK(レジストレーションキー)

RKを登録することにより、DDI用のライセンスと、XDRに接続するためのライセンスが生成されます。

DDIの場合3種類生成され、DDIVAの場合2種類生成されます。

DDI モデル名 XDR 移行パック、
DDIVA モデル名 XDR 移行パック、

DDI モデル名 XDR 移行用更新、
DDIVA モデル名 XDR 移行用更新

AC

XDRに接続するためのライセンスのみご提供します。

DDI用のACは既にご契約済みでご登録のものを継続してご利用ください。(入れ替える必要はございません)

 

ライセンスキーのご確認後、以下フローに従ってライセンスの有効化をお願いいたします。

image.png

1.2. [CLPアカウント未保有のお客様]CLPにてライセンスキー登録

 

CLPで、[ソフトウェア製品を登録する、またはサービス/サービスSaaS製品を初めてご利用されるお客さま]を選択します。
上記でご確認いただいたライセンスキーを入力して、[続行ボタン]を押します。
 

image.png

 

Customer License Portal > ユーザ登録

https://clp.trendmicro.com/Fullregistration

 

1.3. [CLPアカウント保有済みのお客様] CLPにてライセンスキー登録

 

https://tm.login.trendmicro.com
でログイン後「+キーの入力」を押下し、証書に記載されたライセンスキーを入力してください。

image.png

1.4. [ライセンスキーがRKのお客様]生成されるACの確認

 

RK入力により複数のACが作成され、確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。
以下は、DDI 4000シリーズの例です。

image.png

 

ご登録されるモデルごとにより差分がございますので、以下表でご確認ください。

モデルDDIに登録いただくライセンス名称RKご登録時点でCLPに紐づけられているXDR用ライセンス名称登録不要のライセンス
DDI 250シリーズDDI Software Appliance 250XDR Add-on: Deep Discovery Inspector (JP)Deep Discovery Inspector 250 Mbps model (Hardware license) * Not for use
DDI 1000シリーズDDI Software Appliance 1GDeep Discovery Inspector 1000 (Hardware license) * Not for use
DDI 4000シリーズDeep Discovery Inspector 4 Gbps model (Software license)Deep Discovery Inspector 4000 (Hardware license) * Not for use
DDI 9000シリーズDeep Discovery Inspector 10 Gbps model (Software license)Deep Discovery Inspector 9000 (Hardware license) * Not for use
DDIVA 250Deep Discovery (Virtual Appliance model, 250 Mbps)HWでは無いため表示しません
DDIVA 1000Deep Discovery (Virtual Appliance model, 1 Gbps)HWでは無いため表示しません

 

1.5. [ライセンスキーがACのお客様]生成されるACの確認

 

AC入力後、以下のようにXDR用のライセンスの確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。

image.png
 

1.6. [CLPアカウント未保有のお客様]会社情報とユーザー情報の入力

会社情報とユーザ情報を入力します。

image.png 
image.png

★注意:

・ユーザ情報にある[アカウント名][パスワード]は、XDRコンソールのログイン情報として利用されます。

 

1.7. XDR用ライセンスが登録されたことの確認

CLPのメインメニューに戻り、DDI用XDRライセンスである「XDR Add-on: Deep Discovery Inspector」が登録されたことを確認します。
あわせて、XDR機能が統合されているTrend Micro Vision Oneのライセンスが表示されていることを確認ください。

 

image

★注意:

・本画面にDDIの表記はありませんが、仕様となります。(2021/12現在、DDIVA 1000のみ表示)
・実際にDDIに登録するACは下記項目をご覧ください。

 

1.8. DDI with XDR用ACの確認

登録が完了すると、CLPで[ユーザ登録情報]として登録したメールアドレス宛てに完了通知が届きます。

 

image

 

★注意:

・この完了通知メールに、実際に利用するDDI用ACが記載されています。

・このACはCLPコンソールから確認できないため、本メールを大切に保管してください。
・なお、ACの名称はHWモデルごとに異なります。それぞれの名称は1.4の表をご参照ください。

 

1.9. DDI with XDR用ACのDDIへの登録

DDIコンソールの[管理]>[ライセンス]にて、DDI用のACを登録します。

既に登録されている場合は、上書き保存します。

 

 

2. V1コンソールへのログイン

 

2.1. V1コンソールへの初回のログイン

製品/サービス一覧の[Trend Micro Vision One]の右端にある[コンソールを開く]をクリックします。

 

image.png

 

リージョンを選択します。

image.png

注意:

・DDIからV1にアップロードされるデータは選択したリージョンに保管されます。
・保管先が日本とする場合は[Japan]を選択します。

 

image.png

 

[Connect]ボタンを押して、DDIと接続する作業を行います。作業手順については下記「DDIとV1の接続」を参考にしてください。

image.png

 

なお、手順の中で[Connect Network Sensors]を選択する画面が出てきますので[Network Inventory Service]を選択します。

image.png

★注意:

・[Deep Discovery Director on-premises version]を選択しないようにしてください。正しく登録が行われません。

 

V1コンソールへの初回ログイン後の、ログイン方法として次の2つがあります。

・CLPコンソールからのログイン
・V1コンソールからのログイン

 

以下では、それぞれの方法について説明します。

2.2. V1コンソールへの初回以降のログイン(CLPコンソールからのログイン)

「CLPコンソールからの接続」については、次の通りです。

 

・上述の[V1コンソールへの初回のログイン]と同様の手順となります。
・最初の登録時に設定した[アカウント名]と[パスワード]が、そのままXDRコンソールのアカウント/パスワードとして使用されます。
・このアカウントは、V1のローカルアカウントで[Master Administrator]ロールが割り当てられています。
・このアカウントは、V1のコンソールから削除することは出来ません。

 

2.3. V1コンソールへの初回以降のログイン(V1コンソールからのログイン)

「V1コンソールからの直接の接続」については、次の通りです。
 

・V1コンソールで、新規に[アカウント]を作成することができます。
・アカウントは、[Local Account]と[SAML Account]があります。
・各アカウントの権限管理として、[Role]と[Access Level]を指定します。
・作成されたアカウントを使用して、V1コンソールからログインすることが出来ます。
・各アカウントには、必要に応じてログイン時の多要素認証を設定することが出来ます。
・詳細は、XDRのOnline Helpで確認することができます。→https://docs.trendmicro.com/ja-jp/enterprise/trend-micro-xdr-online-help/administrative-setti/administration/user-accounts.aspx

 

V1コンソール画面で、アカウントとパスワードを入力してログインします。

image.png

 

 

3. DDIとV1の接続

 

3.1. 登録の作業

Vision Oneコンソールにログイン、左メニューの [Network Security Operations]> [Network Inventory] > [Deep Discovery Inspectorアプライアンス]タブ に移動し、[アプライアンスを接続]をクリックします。

image.png

 

製品で[Deep Discovery Inspector]を明示的に選択します。

image.png

[Deep Discovery Inspectorのバージョン]で[5.7 Service Pack 3以降]を選択し、[アプライアンスのIPアドレスまたはFQDN]で、V1に登録するDDIのIPアドレスまたはFQDNを入力して、[移動]ボタンを押します。

image

 

DDIのWeb管理コンソールが開きます。管理者ログインしていない場合は、管理者アカウントでログインします。

image.png

 

ログインすると、自動的に[Deep Discovery Inspector]に推移し、V1への登録を行うためのポップアップ画面が表示されます。

image.png

[続行]ボタンをクリックすると、登録が完了します。

image.png

V1コンソールに移動し、DDIが登録されていることを確認します。( [Network Security Operations]> [Network Inventory] > [Deep Discovery Inspectorアプライアンス]タブ)

また、対象のDDIの[Network Sensor]を オン に切り替えます。

image.png

以下の画面にて[有効化]をクリックします。
image.png

有効化が完了するまでしばらく待ちます。
image.png

有効化が完了し、 [Network Sensor]のステータスが オン に切り替わったことを確認します。
10.png

3.2. 登録の確認

DDIコンソールの、管理 > 製品統合サービス >[Trend Micro Vision One]より、V1への接続ステータスの確認ができます。

image.png

3.3. 動作検証方法
攻撃のシミュレーション

1.Network Sensorの監視対象となっているwindows端末を準備します(Endpoint用のセンサーは不要)
2.wgetをテスト用端末にダウンロードします
3.wgetコマンドを使って以下のようにテストURLに8回ほどアクセスをします。
※それぞれのURLにアクセス後1分ほど待ってから次のアクセスを試行します。
> #wget.exe %URLデモ用URL:

※デモ用URLは以下となります。「hxxp」を「http」に置き換えて入力してください。

  • hxxp://ca91-1.winshipway.com/cmd=1
  • hxxp://ca91-1.winshipway.com/cmd=2
  • hxxp://ca91-1.winshipway.com/cmd=1
  • hxxp://ca91-1.winshipway.com/cmd=2
  • hxxp://ca91-1.winshipway.com/cmd=1


4.検出イベント確認、ネットワーク分析レポートの確認(ご参考URL)https://www.trendmicro.com/ja_jp/business/tech_blog/visonone_xdr_trial_221007.html#anchor06-tm-anchor


手順は以上となります。

 

トラブルシューティング

XDR連携が失敗する場合、DDI から以下のURLに通信できるようFirewall等で次のアドレスとポートを許可されていることをご確認ください。

  • *.xdr.trendmicro.com:443
  • *.xdr.trendmicro.co.jp:443

その他お困りの際や確認したいことがある場合は、下記のQ&Aページをご参照ください。

Deep Discovery Inspector でよくある質問 (製品Q&A)


トラブルシューティングや、仕様・操作方法などの製品ページ/製品Q&Aや、お問合せ窓口を用意しています。

ビジネスサポートポータル
 

Vision Oneデモ動画

MicrosoftTeams-image.png
Premium
Internal
Partner
評価:
カテゴリ:
Configure
Solution Id:
000289960
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.

To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.
ユーザーガイド
ユーザーガイド

このウェブサイトは、ウェブサイトの機能性とトラフィックの分析にCookieを利用しています。 Cookie Noticeのページにて詳しい説明、Cookieに同意しない場合の設定変更方法などをご覧いただけます。

詳しくはこちら はい、同意します