※本ご案内では弊社の製品を以下のように表記させていただきます。
・Deep Discovery Inspector(以下、DDI)
DDIとVision OneのXDR機能で出来ることについて
DDIを運用いただくことにより、サンドボックスによる未知の脅威を発見したり、内部に潜入したアクティビティを早期発見することが出来ます。さらに、よりDDIを強力なものにするものとして、DDIをVision One のXDR機能に接続いただくと、以下のような情報を早期に発見することが可能です。
| セキュリティ業務 | 提供価値 | Vision One のXDR機能 |
|---|---|---|
| 有事 ※インシデント対応時 | 早期検出 | 重大度の高い情報だけを提供 |
| 詳細調査 | 攻撃の全体像の可視化 | |
| 平時 | 傾向把握 | MITRE ATTA&CK情報の提供 |
XDRデモ動画
※本機能はDDI 5.7 SP3以降でのみご利用可能となります。5.7 SP3 以前のバージョンをお使いのお客様はこちら をご参照の上、アップグレードの実施をご検討ください。
ライセンスのご利用手順
本ライセンスのご利用手順について以下にご案内いたします。
【目次】
1. CLPでDDI with XDR用ライセンスの登録
DDI with XDR用ライセンスは、Customer License Portal(CLP)サイトを通じて行います。
なお、XDRご利用にあたりDDI 5.7 SP3以上のバージョンである必要があります。
Deep Discovery Inspector のアップグレード手順は以下です。
https://success.trendmicro.com/jp/solution/1111565
1.1. お客様が取得したライセンスの確認
お客様のご購入されたライセンスにより以下のように弊社よりご提供するライセンスキーが異なります。
以降の作業では、お客様が該当するライセンスキー(RK、もしくはAC)に該当する内容を実施ください。
| ご購入ライセンス | ライセンスキー | 説明 |
|---|---|---|
|
DDI モデル名 with XDR 新規、 |
RK(レジストレーションキー) |
RKを登録することにより、DDI用のライセンスと、XDRに接続するためのライセンスが生成されます。 DDIの場合3種類生成され、DDIVAの場合2種類生成されます。 |
|
DDI モデル名 XDR 移行パック、 DDI モデル名 XDR 移行用更新、 | AC |
XDRに接続するためのライセンスのみご提供します。 DDI用のACは既にご契約済みでご登録のものを継続してご利用ください。(入れ替える必要はございません) |
ライセンスキーのご確認後、以下フローに従ってライセンスの有効化をお願いいたします。
1.2. [CLPアカウント未保有のお客様]CLPにてライセンスキー登録
CLPで、[ソフトウェア製品を登録する、またはサービス/サービスSaaS製品を初めてご利用されるお客さま]を選択します。
上記でご確認いただいたライセンスキーを入力して、[続行ボタン]を押します。
Customer License Portal > ユーザ登録
https://clp.trendmicro.com/Fullregistration
1.3. [CLPアカウント保有済みのお客様] CLPにてライセンスキー登録
https://tm.login.trendmicro.com
でログイン後「+キーの入力」を押下し、証書に記載されたライセンスキーを入力してください。
1.4. [ライセンスキーがRKのお客様]生成されるACの確認
RK入力により複数のACが作成され、確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。
以下は、DDI 4000シリーズの例です。
ご登録されるモデルごとにより差分がございますので、以下表でご確認ください。
| モデル | DDIに登録いただくライセンス名称 | RKご登録時点でCLPに紐づけられているXDR用ライセンス名称 | 登録不要のライセンス |
|---|---|---|---|
| DDI 250シリーズ | DDI Software Appliance 250 | XDR Add-on: Deep Discovery Inspector (JP) | Deep Discovery Inspector 250 Mbps model (Hardware license) * Not for use |
| DDI 1000シリーズ | DDI Software Appliance 1G | Deep Discovery Inspector 1000 (Hardware license) * Not for use | |
| DDI 4000シリーズ | Deep Discovery Inspector 4 Gbps model (Software license) | Deep Discovery Inspector 4000 (Hardware license) * Not for use | |
| DDI 9000シリーズ | Deep Discovery Inspector 10 Gbps model (Software license) | Deep Discovery Inspector 9000 (Hardware license) * Not for use | |
| DDIVA 250 | Deep Discovery (Virtual Appliance model, 250 Mbps) | HWでは無いため表示しません | |
| DDIVA 1000 | Deep Discovery (Virtual Appliance model, 1 Gbps) | HWでは無いため表示しません |
1.5. [ライセンスキーがACのお客様]生成されるACの確認
AC入力後、以下のようにXDR用のライセンスの確認画面が出ますので使用許諾契約書をご確認いただき[続行]を押下してライセンスを有効化ください。
1.6. [CLPアカウント未保有のお客様]会社情報とユーザー情報の入力
会社情報とユーザ情報を入力します。
★注意:
・ユーザ情報にある[アカウント名][パスワード]は、XDRコンソールのログイン情報として利用されます。
1.7. XDR用ライセンスが登録されたことの確認
CLPのメインメニューに戻り、DDI用XDRライセンスである「XDR Add-on: Deep Discovery Inspector」が登録されたことを確認します。
あわせて、XDR機能が統合されているTrend Micro Vision Oneのライセンスが表示されていることを確認ください。
★注意:
・本画面にDDIの表記はありませんが、仕様となります。(2021/12現在、DDIVA 1000のみ表示)・実際にDDIに登録するACは下記項目をご覧ください。
1.8. DDI with XDR用ACの確認
登録が完了すると、CLPで[ユーザ登録情報]として登録したメールアドレス宛てに完了通知が届きます。
★注意:
・この完了通知メールに、実際に利用するDDI用ACが記載されています。
・このACはCLPコンソールから確認できないため、本メールを大切に保管してください。・なお、ACの名称はHWモデルごとに異なります。それぞれの名称は1.4の表をご参照ください。
1.9. DDI with XDR用ACのDDIへの登録
DDIコンソールの[管理]>[ライセンス]にて、DDI用のACを登録します。
既に登録されている場合は、上書き保存します。
2. V1コンソールへのログイン
2.1. V1コンソールへの初回のログイン
製品/サービス一覧の[Trend Micro Vision One]の右端にある[コンソールを開く]をクリックします。
リージョンを選択します。
★注意:
・DDIからV1にアップロードされるデータは選択したリージョンに保管されます。・保管先が日本とする場合は[Japan]を選択します。
[Connect]ボタンを押して、DDIと接続する作業を行います。作業手順については下記「DDIとV1の接続」を参考にしてください。
なお、手順の中で[Connect Network Sensors]を選択する画面が出てきますので[Network Inventory Service]を選択します。
★注意:
・[Deep Discovery Director on-premises version]を選択しないようにしてください。正しく登録が行われません。
V1コンソールへの初回ログイン後の、ログイン方法として次の2つがあります。
・CLPコンソールからのログイン・V1コンソールからのログイン
以下では、それぞれの方法について説明します。
2.2. V1コンソールへの初回以降のログイン(CLPコンソールからのログイン)
「CLPコンソールからの接続」については、次の通りです。
・上述の[V1コンソールへの初回のログイン]と同様の手順となります。
・最初の登録時に設定した[アカウント名]と[パスワード]が、そのままXDRコンソールのアカウント/パスワードとして使用されます。
・このアカウントは、V1のローカルアカウントで[Master Administrator]ロールが割り当てられています。
・このアカウントは、V1のコンソールから削除することは出来ません。
2.3. V1コンソールへの初回以降のログイン(V1コンソールからのログイン)
「V1コンソールからの直接の接続」については、次の通りです。
・アカウントは、[Local Account]と[SAML Account]があります。
・各アカウントの権限管理として、[Role]と[Access Level]を指定します。
・作成されたアカウントを使用して、V1コンソールからログインすることが出来ます。
・各アカウントには、必要に応じてログイン時の多要素認証を設定することが出来ます。
・詳細は、XDRのOnline Helpで確認することができます。→https://docs.trendmicro.com/ja-jp/enterprise/trend-micro-xdr-online-help/administrative-setti/administration/user-accounts.aspx
V1コンソール画面で、アカウントとパスワードを入力してログインします。
3. DDIとV1の接続
3.1. 登録の作業
Vision Oneコンソールにログイン、左メニューの [Invetory Mangaement]> [Invetory Mangaement] をクリックします。
[+ Connect Network Sensor]ボタンをクリックします。
Productで[Deployed Deep Discovery Inspector]を明示的に選択します。(既に選択されているように見えるので注意)
[Sensor versions]で[5.7 Service Pack and above]を選択します。
[Appliance IP address or FQDN]で、V1に登録するDDIのIPアドレスまたはFQDNを入力して、[Go]ボタンを押します。
DDIのWeb管理コンソールが開きます。管理者ログインしていない場合は、管理者アカウントでログインします。
ログインすると、自動的に[Deep Discovery Director]に推移し、V1への登録を行うためのポップアップ画面が表示されます。
[続行]ボタンをクリックすると、登録が完了します。
3.2. 登録の確認
V1コンソールで、登録されたことを確認します([Inventory Management]>[Network Inventory])。
DDIコンソールの、管理 > 製品統合サービス >[Trend Micro Vision One]でも、V1への接続ステータスの確認ができます。
3.3. 動作検証方法
攻撃のシミュレーション
1.Network Sensorの監視対象となっているwindows端末を準備します(Endpoint用のセンサーは不要)
2.wgetをテスト用端末にダウンロードします
3.wgetコマンドを使って以下のようにテストURLに8回ほどアクセスをします。
※それぞれのURLにアクセス後1分ほど待ってから次のアクセスを試行します。
> #wget.exe %URLデモ用URL:
※デモ用URLは以下となります。「hxxp」を「http」に置き換えて入力してください。
- hxxp://ca91-1.winshipway.com/cmd=1
- hxxp://ca91-1.winshipway.com/cmd=2
- hxxp://ca91-1.winshipway.com/cmd=1
- hxxp://ca91-1.winshipway.com/cmd=2
- hxxp://ca91-1.winshipway.com/cmd=1
4.検出イベント確認、ネットワーク分析レポートの確認(ご参考URL)https://www.trendmicro.com/ja_jp/business/tech_blog/visonone_xdr_trial_221007.html#anchor06-tm-anchor
手順は以上となります。
トラブルシューティング
XDR連携が失敗する場合、DDI から以下のURLに通信できるようFirewall等で次のアドレスとポートを許可されていることをご確認ください。
- *.xdr.trendmicro.com:443
- *.xdr.trendmicro.co.jp:443
その他お困りの際や確認したいことがある場合は、下記の製品別サポートページをご参照ください。
・製品サポートページ
トラブルシューティングや、仕様・操作方法などの製品ページ/製品Q&Aや、お問合せ窓口を用意しています。
