概要
Deep Discovery Inspector 5.0 について
詳細
目次
======================================================
1. はじめに
2. 新機能
3. ドキュメント
4. システム要件
5. インストール/アンインストール
6. インストール後の設定
7. 既知の制限事項
8. 本製品が生成するレポートに関する注意事項
======================================================
1. はじめに
===========
Deep Discovery Inspectorは、トレンドマイクロの第3世代の脅威管理ソリューショ
ンで、APTや標的型攻撃の可視性、洞察、および制御を強化するよう設計されていま
す。
世界中の標的型攻撃を徹底的に調査し、主なお客さまからの聞き取りを重ね、主要な
1,000の組織と政府機関で構成される特殊製品諮問委員会に参加してきた結果、トレ
ンドマイクロは、Deep Discovery Inspectorを新たに発表することになりました。
Deep Discovery Inspectorは、重要なセキュリティ情報、警告、およびレポートをIT
管理者に提供します。
Deep Discovery Inspectorは、オフライン監視モードで設置できます。スイッチのミ
ラーポートに接続することで、ネットワークの切断を最低限または、発生させること
なく、ネットワークトラフィックを監視できます。
2. 新機能
=========
本製品リリースには、次の新しい機能が用意されています。
脅威検出時のネットワークPCAP
----------------------------
Deep Discovery InspectorがPCAPで取得する全てのネットワークアクティビティの
情報により、調査担当者は攻撃時やその前後における手がかりや関係性を調査するこ
とができます。
仮想アナライザの機能強化
------------------------
次の機能強化が含まれます。
* トレンドマイクロの機械学習型検索エンジンとの統合による機械学習機能
* Trend Micro Smart Protection Networkの接続でのTLS 1.2のサポート
* Windows 10 (バージョン1703) (Creators Update) を実行するサンドボックス環
境のサポート
* メールプロトコルを使用する検出における次の新しいファイルタイプのサポート
- HTML
- HTM
脅威インテリジェンス共有によるサードパーティの不審オブジェクトリストの共有
の強化
--------------------------------------------------------------------------
サードパーティ製品が使用する不審オブジェクトのリストを提供します。
新しいイベントとレポートの形式
------------------------------
レポートとイベントログの形式が改良され、複雑なインシデントの調査をより効率的
に行うことが可能になります。
Active Directoryの統合によるアカウント管理
------------------------------------------
Microsoft Active DirectoryをDeep Discovery Inspectorのアカウントや役割と関
連付けてサポートすることで、企業レベルのセキュリティを実現します。
セキュリティ向上のためのTLS 1.2のサポート
-----------------------------------------
TLS 1.2を適用することで、転送中のデータのコンプライアンスとセキュリティを保
証します。
SHA-256のサポート
-----------------
感染ファイルのSHA-256を表示することで、正確性と信頼性に優れたセキュリティ情
報の共有を実現します。
HTTP/2のサポート
----------------
最新のHTTP標準に対応しています。
Trend Micro Control Manager 7.0の統合強化
-----------------------------------------
役割ベースのマッピングを使用したControl Manager からのシングルサインオンが
可能になります。さらに、Control Managerで不審オブジェクトの手動同期を実行
できます。
Control Manager 7.0は、2018年2月現在、日本においてはリリースされておりま
せん。最新のリリース状況については、最新版ダウンロードページをご参照ください。
http://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=all_download®s=jp
Deep Discovery Director 2.0のサポートの強化
-------------------------------------------
Deep Discovery Director 2.0でDeep Discovery Inspectorの検出ログを集約できる
ようになります。Deep Discovery Inspectorの管理コンソールでは、直感的に使用
できるさまざまな方法で脅威をリアルタイムに視認して分析できます。このため、
セキュリティ担当者は、実際のリスクに集中してフォレンジック分析を詳細に行
い、封じ込めや修正の措置をただちにとることができます。
Deep Discovery Directorは、Trend Micro Premium Support契約のお客様に提供
しています。
Threat Investigation Centerの統合
---------------------------------
Threat Investigation Centerは、ビッグデータの収集、集約、形式化、および関連
付けを行うスケーラブルなサービスです。Deep Discovery InspectorからThreat
Investigation Centerに接続して利用するには、別途監視サービスのご契約が必要と
なります。
3. ドキュメント
===============
本製品には、次のドキュメントが付属しています。
o Readme - 基本的なインストール方法と既知の制限事項に関する説明
(本ドキュメント)
o オンラインヘルプ - 各種作業を実行するための詳細な手順の説明
o インストールガイド - 製品の概要、インストール計画、インストール、
設定、起動方法に関する説明
o 管理者ガイド - 製品の概要、インストール計画、インストール、設定、
および製品環境を管理するために必要な詳細情報の説明
o Syslogコンテンツマッピングガイド - ログの管理基準や、Deep Discovery
InspectorのSyslogイベントを実装するための構文に関する情報を提供
o クイックスタートガイド - Deep Discovery Inspectorをネットワークに接続して
初期設定を実行するための手順をわかりやすく説明
ドキュメントは、弊社の「最新版ダウンロード」サイトから入手することも可能で
す。
http://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=all_download®s=jp
4. システム要件
===============
--------------------
ホストアプライアンス
--------------------
* CPU: Intel Core2 Quadプロセッサを2つ (推奨)
* RAM: 8GB以上
* ハードディスク空き容量: 100GB以上
注意: 追加のログ記憶領域用に300~500GBを推奨。
* ネットワークインタフェースカード (NIC): 2つ以上
注意: Deep Discovery Inspectorをインストールする際のパフォーマンスを向上
させるため、データポートにはオンボードのNICではなく、プラグインの
NICを使用します。
ESXi 5.x/6.x
------------------
事前設定コンソール
------------------
* VGA接続の場合:
― VGAポートを備えたモニタ
― VGAケーブル
* シリアル接続の場合:
― シリアルポートを備えたコンピュータ
― RS232シリアルケーブル
― シリアル通信アプリケーション (HyperTerminalなど)
--------------
管理コンソール
--------------
* Google Chrome
* Mozilla Firefox
* Microsoft Internet Explorer 11.0
* Microsoft Edge
* Adobe Flash Player 8.0以降
推奨される解像度:1280 x 800以上
注意: システム要件に記載されているOSの種類やハードディスク容量などは、OSのサ
ポート終了、弊社製品の改良などの理由により、予告なく変更される場合があり
ます。最新の情報については弊社の「最新版ダウンロード」サイトにある最新の
Readmeをご参照ください。
5. インストール/アンインストール
================================
インストールの手順については、インストールガイドの第4章を参照してください。
アップグレードの手順については、管理者ガイドの第6章を参照してください。
6. インストール後の設定
=======================
以前のバージョンからアップグレードする場合、または画面表示に不具合が
発生した場合は、アップグレード後、Deep Discovery Inspector管理コンソールに
ログオンする前にブラウザのキャッシュをクリアしてください。
ブラウザのキャッシュをクリアする方法
1. Google Chromeの場合:
1. [設定] に移動します。
2. [詳細設定を表示...] をクリックします。
3. [プライバシー] の [閲覧履歴データの消去...] をクリックします。
4. [Cookie と他のサイトやプラグインのデータ] と [キャッシュされた画像と
ファイル] を選択します。
5. [閲覧履歴データを消去する] をクリックします。
2. Microsoft Internet Explorerの場合:
1. [ツール]→[インターネット オプション]→[全般] の順に選択します。
2. [閲覧の履歴] で [削除] をクリックします。[閲覧の履歴の削除] 画面が表示
されます。
3. [インターネット一時ファイルおよび Web サイトのファイル] と [クッキーと
Web サイト データ] を選択します。
4. [削除] をクリックします。
[閲覧の履歴の削除] 画面が閉じます。
5. [インターネット オプション] 画面で [OK] をクリックします。
3. Mozilla Firefoxの場合:
1. [オプション]→[プライバシー] の順に選択します。
2. [最近の履歴を消去] をクリックします。
3. [キャッシュ] と [Cookie] を選択します。
4. [今すぐ消去] をクリックします。
4.Microsoft Edgeの場合:
1. 「ハブ」アイコンをクリックします。
2. 「履歴」アイコンをクリックします。
3. [すべての履歴をクリア] をクリックします。
4. [クッキーと保存済みの Web サイト データ] と [キャッシュされたデータと
ファイル] を選択します。
5. [クリア] をクリックします。
注意: 製品のインストールが完了したら、パターンファイルや検索エンジンを最新版
にアップデートすることをお勧めします。
7. 既知の制限事項
=================
本リリースにおける既知の制限事項は次のとおりです。
1. Deep Discovery Inspector 5.0ではバージョン3.2以前のSmart Protection
Serverと通信できません。この問題を回避するには、Smart Protection Server
をバージョン3.3にアップグレードするか、[管理]→[監視/検索]→[Webレピュ
テーション] でSmart Protectionソースに「Trend Micro Smart Protection
Network」を設定します。
2. セキュアプロトコルのTLS 1.2の適用が有効な場合、Deep Discovery Inspector
5.0では次の製品またはサービスと通信できません。
* 5.5より前のバージョンのDeep Discovery Analyzer
* 3.5 Service Pack 3より前のバージョンのNetwork VirusWall Enforcer
* 3.3より前のバージョンのSmart Protection Server
* Threat Management Services Portal
* 7.0より前のバージョンのTrend Micro Control Manager
* 4.4より前のバージョンのTippingPoint Security Management System (SMS)
* R77.30より前のバージョンのCheck Point Open Platform for Security
(OPSEC)
* 5.2より前のバージョンのIBM Security Network Protection (XGS)
* 7.0より前のバージョンのPalo Alto PAN-OS
* 7.0より前のバージョンのPalo Alto Panorama
* 2008 R2より前のバージョンのMicrosoft Windows Server
3. シングルサインオンを使用してControl ManagerからDeep Discovery Inspectorの
管理コンソールを開くと、移行、HotFixの適用、設定のインポートなどファイル
のアップロードが関係する機能が動作しません。
4. 3.8 Service Pack 3以前のDeep Discovery Inspectorから移行した場合、新しい
事前定義されたタグのカテゴリで無効なユーザ指定TippingPoint SMSタグカテゴ
リを使用してもエラーメッセージが送信されません。この問題を回避するには、
事前定義されたタグのカテゴリがTippingPoint SMSクライアントの
[Tag Categories] リストに含まれていることを確認します。
5. より多くのシステムリソースを必要とするWindows 10イメージを使用してサンド
ボックス分析を行うと、Deep Discovery Inspectorのパフォーマンスが低下する
ことがあります。分析にWindows 10サンドボックス環境を使用する前に、Deep
Discovery Inspectorでシステムの読み込み容量を評価することをお勧めしま
す。
6. 統合Check Pointアプライアンスでワンタイムパスワードをリセットすると、
Check Pointアプライアンスに不審オブジェクトとC&Cコールバックアドレスが配
信されず、Deep Discovery Inspectorのシステムログに「不審オブジェクトを
Check Point OPSECに配信できません。Check Point OPSECの設定が正しいこと
と、ネットワークエラーが発生していないことを確認してください。」という
メッセージが生成されます。この問題を回避するには、Deep Discovery
Inspectorに新しいSICワンタイムパスワード入力して保存します。
7. 複数のファイルダウンロードやログエクスポートを同時に行うと、管理コンソー
ルが予期しない動作をすることがあります。この問題を回避するには、1つの
ファイルダウンロードまたはログエクスポートが完了してから次を実行します。
8. 移行後、一部の画面に情報が表示されないことがあります。情報を表示するに
は、ブラウザのキャッシュをクリアして画面表示を更新します。
9. エクスポートしたCSVファイルを欧州版のWindowsプラットフォームで開くと、す
べてのデータが最初の列に表示されることがあります。各フィールドを個別の列
に表示するには、CSVファイルの先頭に新しい行で「sep=,」と挿入し、CSVファ
イルをExcelで開きます。
10. 移行して再起動した直後にアップグレードまたはファームウェアアップグレード
を実行すると、内部仮想アナライザでエラーが発生します。この問題を回避する
には、移行して再起動した後、アップグレードまたはファームウェアアップグ
レードを実行する前に、[管理]→[仮想アナライザ]→[内部仮想アナライザ]→
[ステータス] 画面に移動してステータスが [実行中] であることを確認しま
す。
11. Deep Discovery Inspector 3.8以前のリリースから移行した後、[管理]→[システ
ム設定]→[時刻] でタイムゾーンの地域/市区町村の情報が誤って表示されること
があります。[タイムゾーン] で正しい地域/市区町村を選択してください。
12. [システムログ] 画面で、選択した期間に標準時間からサマータイムまたはその逆
の時間変更が含まれている場合は、時間が変更された後、タイムスタンプの情報
が変更されます。
13. 管理コンソールをFirefoxで開き、[検出]→[すべての検出] でログを読み込んで
いるときに [エクスポート] ボタンをクリックすると、読み込みが中断されま
す。読み込みを中断しないようにするには、ChromeまたはInternet Explorerを使
用してください。
14. 以前のリリースから移行した後、ダッシュボードのカスタマイズ設定とレイアウ
ト変更はすべて初期設定に復元されます。
15. [タブ設定] 画面でタブのウィジェットのレイアウトオプションを選択した際、選
択したレイアウトが正しく表示されないことがあります。
16. [ダッシュボード]→[概要] タブを表示してすぐ別のタブに移動すると、タブのレ
イアウトが正しく表示されないことがあります。
17. [影響を受けたホスト] および [すべての検出] 画面で詳細フィルタを編集してい
るときにシステムが設定されたセッションタイムアウトに達すると、管理コン
ソールが突然ログオフされ、保存していない変更内容が破棄されます。この問題
を回避するには、保存を頻繁に実行し、[管理]→[システム設定]→[セッションタ
イムアウト] でセッションタイムアウトの時間を長くします。
18. Deep Discovery Inspector 3.7から移行されたデータセットにサマータイム期間
が含まれている場合、Deep Discovery Inspector 3.8以降ではサマータイム期間
のタイムスタンプが標準時に変更されます。
19. NTLMv2認証を使用してプロキシサーバを設定すると、コンポーネントのアップ
デートとライセンスアップデートが動作しません。この問題を回避するには、
NTLMv1認証を使用してプロキシサーバを設定してください。
20. IPv6アドレス形式は、プロキシサーバのIP設定や、Deep Discovery Inspector統
合製品およびサービスのIP設定には使用できません。代わりにIPv4アドレスを使
用してください。
21. [脅威の概要] および [ウォッチリスト] ウィジェットで、期間に [過去24時間]
を選択しており、そこに標準時間からサマータイムまたはその逆の時間変更が含
まれる場合、ウィジェットに誤った情報が表示されます。季節による時間変更を
含む期間を選択している場合、正しい情報を表示するには、[過去7日間] または
[過去30日間] を選択してください。
22. [影響を受けたホストの上位] ウィジェットとすべての [傾向の上位] ウィジェッ
トで、期間に [過去1時間] または [過去24時間] を選択しており、そこに標準時
間からサマータイムまたはその逆の時間変更が含まれる場合、ウィジェットに
誤った情報が表示されます。季節による時間変更を含む期間を選択している場
合、正しい情報を表示するには、[過去7日間] または [過去30日間] を選択して
ください。
23. エクスポートした.csvファイルをMacプラットフォームで開くと、Deep
Discovery Inspector 3.8以上では一部のフィールドが正常に表示されません。
エクスポートしたログファイルはWindowsプラットフォームでのみ開いてくださ
い。
24. ログおよび手動レポートのクエリでは、[カスタム範囲] カレンダが、Deep
Discovery Inspectorのシステム時刻ではなくブラウザの時刻で表示されます。表
示を統一するには、ブラウザのタイムゾーンをDeep Discovery Inspectorのシス
テムタイムゾーンに設定します。
25. 通知メールに表示される、検出された「不審URL」のURLはアクティブなリンクで
す。このリンクをクリックして、検出されたURLにアクセスしないようにしてくだ
さい。
26. 手動による「コンポーネントのアップデート」処理は、一度処理を開始すると中
止できません。
27. Deep Discovery Inspectorの一部の画面の日付と時刻の形式は国際標準に従った
ものではありません。
28. 大量のネットワークトラフィックがある場合、リアルタイムのウィジェットデー
タの表示に遅延が生じることがあります。
29. Auto-fit機能を有効にした場合にウィジェットの高さを一致させるには、[タブ設
定] で、フィールドごとにウィジェットが1つになるようにウィジェットの配置を
選択します。
30. 管理コンソールの各ユーザアカウントには、部分的に独立したダッシュボードが
表示されます。あるユーザアカウントでダッシュボードを変更すると、他のユー
ザアカウントのダッシュボードも変更されます。
31. FTPサーバから仮想アナライザのイメージをアップロードする場合は、次のように
してください。
- FTPサーバでアクティブモードとパッシブモードの両方を有効にする
- ファイルのパスや名前に2バイト文字が含まれる場合はUTF-8を有効にする
32. [管理]→[仮想アナライザ]→[内部仮想アナライザ] 画面の [アーカイブファイ
ルのパスワード] 機能は暗号化の最初の階層のみに適用されます。SMTPの添付
ファイルの復号はサポートされません。
33. Deep Discovery Inspectorアプライアンスの再起動後、[検索された不正なネット
ワークトラフィック] ウィジェットに、表示された統計の履歴データが含まれま
せん。正しいデータは数分後に表示されます。
34. 一部のウィジェットのトラフィックデータは管理コンソールで削除できません。
[管理]→[システムのメンテナンス]→[ストレージ管理] 画面でログを削除した後
も、[検索されたプロトコル別トラフィック] ウィジェットにはデータが表示され
ます。
35. 生成されるレポート内のURL表記が、PDFビューアアプリケーションによって
該当箇所以外の文字列も含めリンク化され、正しいサイトを参照できない場合が
あります。
36. Microsoft Internet Explorerを利用し、管理コンソールのアドレスを
Microsoft Internet Explorerのローカルイントラネットゾーンへ追加すると、
一部画面が正しく表示されません。
次の設定を行うことでこの問題を回避できます。
1.Internet Explorerの [ツール] メニューから [互換表示設定] を選択
2.[互換表示設定] 画面で、[イントラネット サイトを互換表示で表示する] の
チェックを外す
37. [拒否リストの検出] ログおよび [不審オブジェクトの検出] ログから詳細情報
を表示した場合、ホストのNICカード製造元社名が正しく表示されません。
38. Deep Discovery Inspector 3.5から3.8にアップグレードすると、管理者アカ
ウントのパスワードが初期設定のパスワードにリセットされます。
39. Deep Discovery Inspectorから送信されるメール通知がフィッシングURLとしてブ
ロックされないよう、使用しているネットワークセキュリティ製品のホワイトリ
ストにDeep Discovery Inspectorを追加してください。
40. 拒否/許可リストにエントリをインポートする際に、ファイルに非ASCII文字が含
まれる場合、インポートされるファイルではUTF-8エンコードを使用する必要があ
ります。
41. 非英語版で、一部の検出ログの記載が英語で表示されます。
42. ファイル送信ルールの [送信元/送信先IP] 条件において指定IPアドレスを
[すべて] に指定した場合、管理コンソール上に「All」と表示されます。
43. メール通知の受信者を複数指定し、メールアドレスおよび区切り文字の使用合計
数が83文字以上になると、レポートのスケジュールの設定画面において、
入力したメールアドレスが一部表示されない、または画面上のボタンが隠れて
しまう問題があります。
44. レポート通知メール内に記載される、監視対象範囲の初期設定のフィルタ条件が
英語で表示される問題があります。
45. 生成されるPDFレポート内において、文字切れやレイアウトのずれが発生したり、
罫線や背景色が正しく表示されない場合があります。
46. 不正プログラムの脅威関連情報がPDF形式レポートおよび管理コンソール上に
おいて英語で表示される問題があります。
この問題は、[管理]→[アップデート]→[手動] 画面で、[アップデート]ボタンを
クリックしコンポーネントをアップデートすることで問題は解決します。
47. Deep Discovery Inspector3.7からバージョン3.8以降にアップグレードする場
合、[管理]→[ネットワークグループとエンドポイント]→[ネットワークグルー
プ]→[監視対象ネットワーク] に初期設定グループが2つ作成されます (IPv4アド
レスの「初期設定」グループ、およびIPv6アドレスの「Default」グループ)。
48. Deep Discovery Inspector 3.8 Service Pack 3からバージョンアップした後に
表示されるアプライアンス再起動のメッセージで、製品名が正しく表示されません。
8. 本製品が生成するレポートに関する注意事項
===========================================
PDFレポート内に記載される不審URLに対して弊社Site Safety Centerへ誘導
するようリンクの埋め込みをしておりますが、一部URLではリンクが埋め込まれていない
場合があります。レポートを表示するビューアによりこれら一部のURLに対して不審URL
のリンクが埋め込まれる場合があります。リンクをクリックして不審URLをブラウザで
開かないよう、お使いのビューアの設定を変更することをお勧めします。
詳細はAdobe社の以下のURLをご参照ください。
http://help.adobe.com/ja_JP/acrobat/standard/using/WS396794562021d52e6349d54412b33e3cd1c-8000.html
