概要
Connected Threat Defense(CTD)連携し、InterScan Web Secirity Virtual Appliance で不審オブジェクトを利用した検出をしたいです。設定やテスト方法など教えてください。また、利用する上での注意点なども合わせて教えてください。
詳細
機能概要
Connected Threat Defense(CTD)とは、パターン対応していない未知のマルウエアやURLなどの不審オブジェクトをDeep Discoveryファミリー製品の解析情報から取得し、従来のエンドポイント・サーバ製品で検出・防御できるソリューションです。
従来の対応では、未知の不審オブジェクトが発見された場合にはパターン対応するまで待ったり、運用者が手動でプロキシサーバなどにてアクセス先を遮断する必要がありましたが、発見から検出・防御までを自動で行うことで、工数の削減や対応までの速度向上効果が見込まれます。
CTDでは複数の製品を連携することが可能ですが、本Q&Aでは「InterScan Web Security Virtual Appliance」、「Deep Discovery Analyzer」、「Deep Discovery Inspector」、「Trend Micro Control Manager」間の連携に特化して掲載します。
連携対象製品
不審オブジェクトを生成することができる製品
| 製品名 | 対応 バージョン | 役割 |
|---|---|---|
|
Deep Discovery Inspector
| 3.8 以降 |
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
|
|
Deep Discovery Analyzer
|
5.5 以降
|
不審ファイルを仮想アナライザで解析して、悪意あるファイルであった場合に不審オブジェクトを生成する。
|
不審オブジェクトに対する処理の設定などを管理することができる製品
| 製品名 | 対応 バージョン | 役割 |
|---|---|---|
|
Trend Micro Control Manager
| 6.0 SP3 以降 |
全ての不審オブジェクトの処理設定などの管理や、各製品間の連携や同期を行う。
|
生成されて、同期・連携された不審オブジェクトを処理することができる製品
| 製品名 | 対応 バージョン | 役割 |
|---|---|---|
|
InterScan Web Security Virtual Appliance
| 6.5 SP2 Patch 1 以降 |
不審オブジェクトリストを受け取り、Webアクセスから不審オブジェクトを検出した場合にブロックする。疑わしいファイルを検知した場合、Deep Discovery Analyzerに解析のため送信する。
|
なお、以降は各製品名に以下の略称を用います。
- ・Trend Micro Deep Discovery Inspector ・・・ 「DDI」
-
・Trend Micro Deep Discovery Analyzer ・・・ 「DDAN」
-
・Trend Micro Control Manager ・・・ 「TMCM」
-
・InterScan Web Security Virtual Appliance ・・・ 「IWSVA」
目次
Point A 製品連携
製品間の連携設定については、別途専用の資料をご用意しております。詳細は弊社担当営業等にご相談ください。
Point B 不審オブジェクト連携
不審オブジェクト連携については、別途専用の資料をご用意しております。詳細は弊社担当営業等にご相談ください。
Point C よくある質問や注意事項
1. IWSVAで不審オブジェクトを検出した時の処理はどうなりますか。
[監視](ログの記録と通知のみ)または[ブロック]([監視]の動作に加え、ブロック画面の表示)の動作となります。処理の設定は、IWSVAの管理画面から行います。
2. IWSVAで不審オブジェクトを検出した場合、どのような脅威として分類されますか。
「C&Cコールバック試行」として扱われます。
3. IWSVAがチェックできる不審オブジェクトの種類を教えてください。
仮想アナライザ不審オブジェクト( IPアドレス、ドメイン、URL、ファイル)をチェックできます。ユーザ定義不審オブジェクト(IPアドレス、ドメイン、URL、ファイル)もチェックできますが、TMCMから登録したもののみとなります。
DDANでも"ユーザ指定一致リスト"からユーザ定義不審オブジェクトを登録できますが、こちらはIWSVAではチェックできません。
4. IWSVAで、DDANへ検体ファイルを送信したことを確認する方法はありますか。
IWSVAの管理画面の[管理] - [サポート情報] - [Deep Discovery Analyzerへのサンプル送信サイジング]から確認できます。同画面で"Deep Discovery Analyzerへのサンプル送信サイジングの計算を有効にする"にチェックを入れると、検体ファイル送信状況の集計を開始します。
こちらの画面から、以下の情報を参照できます。
経過時間:
集計開始からの経過時間です。単位は時(Hour)です。「次の時間からX時間経過しています: (現在時刻)」と表示されますが、正しくは「集計開始からX時間経過しています: (現在時刻)」を意味します。
サンプル送信の総数:
集計開始からDDANに送信したファイルの総数。
サンプル送信の平均数/時間:
「サンプル送信の総数」を「経過時間」で割った値(小数値切り捨て)です。
5. IWSVAでCTD連携を行ううえでの注意点を教えてください。
IWSVAの不審オブジェクトの扱いに関する注意点は、こちらのQAも合わせてご参照ください。
