概要
InterScan Messaging Security Virtual Appliance(以下、IMSVA)9.0で、高度な脅威検索エンジン(以下、ATSE) 9.826.1078 以降を使用する場合、不審なマクロファイルを検出するルールを有効にできます。
このルールを有効にする方法を教えてください。
詳細
ATSE の不審なマクロファイル検出機能は初期設定では有効になっていません。
以下のいずれかの操作を実施することにより、機能を有効にできます。
方法1: ATSE の アグレッシブレベルを変更する
Deep Discovery Analyzer (以下、DDAN) と連携している環境で、この機能を有効にしたい場合は、ATSE のアグレッシブレベル(初期値:3) を 4に変更することで、この機能を利用できます。
※注意
アグレッシブレベル4 を設定した場合、誤検出の可能性も高くなります。このため、DDANと連携していない環境ではこの方法は推奨しません。
有効にするためには、以下の手順に従ってください。
【手順】
1. SSH で IMSVA のシェルに接続した後、次のコマンドでデータベースに接続します。(※)
--------------------
# /opt/trend/imss/PostgreSQL/bin/psql imss sa
--------------------
※IMSSでRed Hat Enterprise Linux 7 をご利用の場合はこちらのFAQを参照し接続してください。
※IMSSでRed Hat Enterprise Linux 7 をご利用の場合はこちらのFAQを参照し接続してください。
2. 以下のSQL文を実行し、アグレッシブレベルを 4に変更します。
--------------------
# update tb_global_setting set value = '4' where name = 'detection_aggressive_level';
--------------------
正常に実行できた場合は、以下のように出力されます。
--------------------
imss=# update tb_global_setting set value = '4' where name = 'detection_aggressive_level';
UPDATE 1
UPDATE 1
--------------------
3. 次のSQL文を実行し、データベースが正常にアップデートされたことを確認します。
--------------------
imss=# select * from tb_global_setting where name='detection_aggressive_level';
section | name | value | inifile | notes
---------+----------------------------+-------+----------+-------
general | detection_aggressive_level | 4 | imss.ini |
---------+----------------------------+-------+----------+-------
general | detection_aggressive_level | 4 | imss.ini |
--------------------
4. 正常にアップデートできたら、データベースへの接続を終了します。
--------------------
imss=# \q
--------------------
5. 変更を有効にするため、以下のコマンドを実行して検索サービスを再起動します。
--------------------
# S99IMSS restart
--------------------
以上で操作は完了です。
方法 2: アグレッシブレベル 3 のまま、マクロファイル検出ルールを有効にする
ATSEのアグレッシブレベル 3 のまま、マクロファイル検出ルール(ヒューリスティックルール)を追加して有効にすることができます。
DDAN 連携をしていない環境では、こちらの方法を選択してください。
アグレッシブレベル 4では、マクロファイル検出ルールだけでなく、他のカテゴリでもより積極的な検出を行うためです。
【手順】
1. SSH で IMSVA のシェルに接続した後、次のコマンドでデータベースに接続します。(※)
2. 次のSQL文を実行し、マクロファイル検出ルールを有効にします。
--------------------
# /opt/trend/imss/PostgreSQL/bin/psql imss sa
--------------------
※IMSSでRed Hat Enterprise Linux 7 をご利用の場合はこちらのFAQを参照し接続してください。2. 次のSQL文を実行し、マクロファイル検出ルールを有効にします。
--------------------
insert into tb_global_setting values('general', 'rules_included', 'HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3', 'imss.ini', NULL);
--------------------
正常に実行できた場合は、以下のように出力されます。
--------------------
imss=# insert into tb_global_setting values('general', 'rules_included', 'HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3', 'imss.ini', NULL);
INSERT 0 1
INSERT 0 1
--------------------
3. 次のSQL文を実行し、データベースが正常にアップデートされたことを確認します。
--------------------
imss=# select * from tb_global_setting where name='rules_included';
section | name | value | inifile | notes
---------+----------------+-----------------------------------------------------------------------+----------+-------
general | rules_included | HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3 | imss.ini |
--------------------
4. 正常にアップデートできたら、データベースへの接続を終了します。
--------------------
imss=# \q
--------------------
5. 変更を有効にするため、以下のコマンドを実行して検索サービスを再起動します。
--------------------
# S99IMSS restart
--------------------
以上で操作は完了です。
