ビジネスサポートポータルアカウントでログイン
高度な脅威検索エンジンで、不審なマクロファイル検出ルールを有効にする方法  

高度な脅威検索エンジンで、不審なマクロファイル検出ルールを有効にする方法

    • 更新日:
    • 14 Oct 2020
    • 製品/バージョン:
    • InterScan Messaging Security Suite 9.1
    • InterScan Messaging Security Virtual Appliance 9.1
    • OS:
    • Linux すべて
概要
InterScan Messaging Security Virtual Appliance(以下、IMSVA)9.0で、高度な脅威検索エンジン(以下、ATSE) 9.826.1078 以降を使用する場合、不審なマクロファイルを検出するルールを有効にできます。
 
このルールを有効にする方法を教えてください。
 
詳細
Public
ATSE の不審なマクロファイル検出機能は初期設定では有効になっていません。
以下のいずれかの操作を実施することにより、機能を有効にできます。
 
 
詳細すべて確認
方法1: ATSE の アグレッシブレベルを変更する
 
 
Deep Discovery Analyzer (以下、DDAN) と連携している環境で、この機能を有効にしたい場合は、ATSE のアグレッシブレベル(初期値:3) を 4に変更することで、この機能を利用できます。
 
※注意
アグレッシブレベル4 を設定した場合、誤検出の可能性も高くなります。このため、DDANと連携していない環境ではこの方法は推奨しません。
 
有効にするためには、以下の手順に従ってください。
 
【手順】
1. SSH で IMSVA のシェルに接続した後、次のコマンドでデータベースに接続します。(※)
--------------------
# /opt/trend/imss/PostgreSQL/bin/psql imss sa
--------------------
※IMSSでRed Hat Enterprise Linux 7 をご利用の場合はこちらのFAQを参照し接続してください。
 
2. 以下のSQL文を実行し、アグレッシブレベルを 4に変更します。
--------------------
# update tb_global_setting set value = '4' where name = 'detection_aggressive_level';
--------------------
 
正常に実行できた場合は、以下のように出力されます。
--------------------
imss=# update tb_global_setting set value = '4' where name = 'detection_aggressive_level';
UPDATE 1
--------------------
 
3. 次のSQL文を実行し、データベースが正常にアップデートされたことを確認します。
--------------------
imss=# select * from tb_global_setting where name='detection_aggressive_level';
 
section | name | value | inifile | notes
---------+----------------------------+-------+----------+-------
general | detection_aggressive_level | 4 | imss.ini |
--------------------
 
4. 正常にアップデートできたら、データベースへの接続を終了します。
--------------------
imss=# \q
--------------------
 
5. 変更を有効にするため、以下のコマンドを実行して検索サービスを再起動します。
--------------------
# S99IMSS restart
--------------------
 
以上で操作は完了です。
 
 
方法 2: アグレッシブレベル 3 のまま、マクロファイル検出ルールを有効にする
 
ATSEのアグレッシブレベル 3 のまま、マクロファイル検出ルール(ヒューリスティックルール)を追加して有効にすることができます。
 
DDAN 連携をしていない環境では、こちらの方法を選択してください。
アグレッシブレベル 4では、マクロファイル検出ルールだけでなく、他のカテゴリでもより積極的な検出を行うためです。
 
【手順】
1. SSH で IMSVA のシェルに接続した後、次のコマンドでデータベースに接続します。(※)
--------------------
# /opt/trend/imss/PostgreSQL/bin/psql imss sa
--------------------
※IMSSでRed Hat Enterprise Linux 7 をご利用の場合はこちらのFAQを参照し接続してください。

2. 次のSQL文を実行し、マクロファイル検出ルールを有効にします。
--------------------
insert into tb_global_setting values('general', 'rules_included', 'HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3', 'imss.ini', NULL);
--------------------
 
正常に実行できた場合は、以下のように出力されます。
--------------------
imss=# insert into tb_global_setting values('general', 'rules_included', 'HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3', 'imss.ini', NULL);
 INSERT 0 1
--------------------
 
3. 次のSQL文を実行し、データベースが正常にアップデートされたことを確認します。
--------------------
imss=# select * from tb_global_setting where name='rules_included';

 section |      name      |                                 value                                 | inifile  | notes
---------+----------------+-----------------------------------------------------------------------+----------+-------
 general | rules_included | HEUR_VBA.O1;HEUR_VBA.O2;HEUR_VBA.D;HEUR_VBA.E;HEUR_VBA.E2;HEUR_VBA.E3 | imss.ini |
--------------------
 
4. 正常にアップデートできたら、データベースへの接続を終了します。
--------------------
imss=# \q
--------------------
 
5. 変更を有効にするため、以下のコマンドを実行して検索サービスを再起動します。
--------------------
# S99IMSS restart
--------------------
 
以上で操作は完了です。
 
Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1111127
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド