ビジネスサポートポータルアカウントでログイン
Connected Threat Defense(CTD) 設定について(InterScan Messaging Security編)  

Connected Threat Defense(CTD) 設定について(InterScan Messaging Security編)

    • 更新日:
    • 27 Sep 2018
    • 製品/バージョン:
    • Deep Discovery Analyzer 5.5
    • Deep Discovery Analyzer 5.8
    • Deep Discovery Inspector 3.8
    • Deep Discovery Inspector 5.All
    • InterScan Messaging Security Virtual Appliance 9.1
    • Trend Micro Control Manager 6.0
    • Trend Micro Control Manager 7.0
    • Trend Micro Smart Protection Server 3.All
    • OS:
    • Appliance All
概要
Connected Threat Defense(CTD)連携し、InterScan Messaging Secirityで不審オブジェクトを利用した検出をしたいです。設定やテスト方法など教えてください。また、利用する上での注意点なども合わせて教えてください。
詳細
Public

機能概要

 

 Connected Threat Defense(CTD)とは、パターン対応していない未知のマルウエアやURLなどの不審オブジェクトをDeep Discoveryファミリー製品の解析情報から取得し、従来のエンドポイント・サーバ製品で検出・防御できるソリューションです。
 従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。

 CTDでは複数の製品を連携することが可能ですが、本Q&Aでは「InterScan Messaging Security Virtual Appliance」「Deep Discovery Analyzer」「Deep Discovery Inspector」、「Trend Micro Control Manager」、「Smart Protection Server」間の連携に特化して掲載します。
 

 

連携対象製品

 

不審オブジェクトを生成することができる製品

 

製品名対応
バージョン
役割
Deep Discovery Inspector
3.8 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
Deep Discovery Analyzer
5.5 以降
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。

不審オブジェクトに対する処理の設定などを管理することができる製品

 

製品名対応
バージョン
役割
Trend Micro Control Manager
6.0 SP3 以降
全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行なう。

生成されて、同期・連携された不審オブジェクトを処理することができる製品

 

製品名対応
バージョン
役割
Smart Protection Server
3.0 Patch1 以降
TMCMから不審URLオブジェクトリストを受取り、各製品からのWRSクエリ時に不審オブジェクトURLを検出する
InterScan Messaging Security Virtual Appliance
9.1 以降
TMCMから不審オブジェクトリストを受取り、不審ファイル、URLを検出する

なお、以降は各製品名に以下の略称を用います。
  • ・Trend Micro Deep Discovery Inspector ・・・ 「DDI」
  • ・Trend Micro Deep Discovery Analyzer ・・・ 「DDAN」
  • ・Trend Micro Control Manager ・・・ 「TMCM」
  • ・Smart Protection Server ・・・ 「SPS」
  • ・InterScan Messaging Security Virtual Appliance ・・・ 「IMSVA」

目次

 

Point A 製品連携

製品間の連携設定については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point B 不審オブジェクト連携

不審オブジェクト連携については別紙のドキュメントにまとめましたのでこちらから取得ください。

Point C よくある質問や注意事項

IMSVAで不審オブジェクトを検出した時の処理はどうなりますか。

 TMCMの「処理を設定」で「ブロック」の場合IMSVAは「隔離」します。

 TMCMの「処理を設定」で「ログ」の場合IMSVAは「放置」します。

IMSVAで不審オブジェクトを検出した時表示されるルール名は何ですか

 不審オブジェクト(ファイル)を検出した時は「TMCM_不審ファイルの検出」ルールです。

 不審オブジェクト(URL)を検出した時は「TMCM_不審URLの検出」ルールです。

IMSVAで不審オブジェクト(URL)の検出をしたいのですが、SPSは必須ですか

 はい。IMSVAはSPSと連携することにより不審オブジェクト(URL)を検知するため必須となります。

IMSVAで不審オブジェクト(ファイル)の検出をしたいのですが、SPSは必須ですか

 いいえ。不審オブジェクト(ファイル)の検出の場合には、SPSは必須ではございません。

IMSVAでウイルスを検知した場合と仮想アナライザへ送信されて「危険」と判定された場合の 処理を分けたいのですが、可能でしょうか。

IMSVAが仮想アナライザへファイルの解析を送信する条件は以下の3つです。

1)高度な脅威検索エンジンで「HEUR およびEXPL」検出した場合
2)ソーシャルエンジニアリング攻撃からの保護を検出した場合
3)添付ファイル>実ファイルタイプ にて 「ファイルを仮想アナライザに送信」が設定されているおり
該当実ファイルタイプの条件にマッチした場合

上記2), 3)においては個別にポリシーを設定し、その処理を設定することができます。
しかし、上記1) の場合「ウイルス対策」のポリシーの中で判定されその処理が実行される
ため、1台のIMSVAでは処理を分けることができません。
回避策として、2台のIMSVAを多段にすることで回避できます。

前段:Deep Discovery Analyzer連携と高度な脅威検索エンジンを有効化しない
ことにより、ウイルス検知のみを処理する

後段:Deep Discovery Analyzer連携し高度な脅威検索エンジンを有効化する
ことにより、仮想アナライザへ送信されたファイルのみを処理する
Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1120138
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド