ビジネスサポートポータルアカウントでログイン
過検出を抑止する方法  

過検出を抑止する方法

    • 更新日:
    • 11 Jan 2019
    • 製品/バージョン:
    • Deep Discovery Inspector All.All
    • OS:
    • Appliance すべて
概要
不正ではない通信が Deep Discovery Inspector(以下、DDI) で検出されてしまいます。どのようにして過検出を抑止すればよいか教えてください。
詳細
Public
過検出を抑止する手段として以下の方法があります。

検出ルールの無効化

過検出が発生している検出ルールを無効化します。

本当に不正な通信が発生した際に該当の検出ルールで検出できなくなるリスクがあります。

設定画面

[管理]→[監視/検索]→[検出ルール]

許可リストへの登録

過検出されているファイルのハッシュ値(SHA-1)や URL などを許可リストに登録します。

設定画面

[管理]→[監視/検索]→[拒否リスト/許可リスト]

許可リストに登録できるオブジェクトの種類と用途

許可リストに登録するオブジェクトにより検出を抑止できるパターンが異なります。
各オブジェクトで抑止できる検出ルールについては こちら をご参照ください。

■SHA-1

ファイルのハッシュ値(SHA-1)を登録することで検索エンジンによるファイルの検出などを抑止することができます。

■URL

URL を登録することで C&Cサーバへの通信や Webレピュテーションサービスによる該当 URL の検出を抑止することができます。

URL の評価による検出は抑止できますが、該当 URL からダウンロードできるファイルの内容を検索エンジンが検出する場合があります。この場合、ファイルのハッシュ値(SHA-1)を許可リストに登録する必要があります。

■IPアドレス

IPアドレス を登録することで不正な IPアドレスへのアクセス(C&Cサーバへの通信など)に起因する検出を抑止することができます。

■ドメイン

ドメイン名 を登録することで不正なドメインへのアクセス(DNSクエリなど)に起因する検出を抑止することができます。

除外設定

過検出されている通信の送信元/送信先IPアドレスやプロトコルなどを指定し、検出の対象外とします。

設定画面

■DDI 5.0 以前

[管理]→[監視/検索]→[除外]

■DDI 5.1 以降

[管理]→[監視/検索]→[検出の除外設定]

動作仕様

■DDI 5.0 以前

設定した IPアドレスが通信の送信元IPアドレスまたは送信先IPアドレスのどちらかに一致するすべての検出が除外されます。除外対象のプロトコルを指定し、除外の範囲を限定することも可能です。

■DDI 5.1 以降

検出ルールやファイル名、URL など様々な条件と組み合わせて検出を除外することが可能です。DDI 5.0 以前では設定した IPアドレスが送信元または送信先に一致する全ての通信が除外されていたため影響範囲が大きいというデメリットがありましたが、DDI 5.1 以降は除外対象を柔軟に制御できるようになっています。

<除外条件として指定できる項目>

  • ホスト名(送信元または送信先のいずれかに該当)
  • 送信元ホスト名
  • 送信先ホスト名
  • ホストのIPアドレス(送信元または送信先のいずれかに該当)
  • 送信元IPアドレス
  • 送信先IPアドレス
  • プロトコル
  • ポート(送信元または送信先のいずれかに該当)
  • 送信元ポート
  • 送信先ポート
  • 方向
  • ファイルパス
  • SHA-1
  • SHA-256
  • ドメイン
  • URL
  • メールアドレス(送信者または受信者のいずれかに該当)
  • 送信者
  • 受信者
  • メールの件名
  • 検出ルールID
  • 検出の種類
  • 脅威の詳細

※上記は DDI 5.1(build 2035)において指定できる除外条件の項目一覧です

仮想アナライザのファイル送信ルールの設定

仮想アナライザによるファイルの過検出が多発する場合、ファイル送信ルールの設定により仮想アナライザの解析対象外とすることで過検出を抑止できます。

設定画面

[管理]→[仮想アナライザ]→[ファイル送信]

設定例

どのファイル送信ルールにより仮想アナライザで過検出が発生しているかにより、設定すべき内容が異なります。

■特定 URL のファイルが高度な脅威検索エンジンのヒューリスティック解析により検出され、仮想アナライザに送信されている場合

<過検出の元となっているファイル送信ルール>

条件処理
ヒューリスティック検出 / 極めて不審なファイルファイルを送信する

<仮想アナライザによる解析を除外するためのファイル送信ルール>

条件処理
ヒューリスティック検出 およびファイルを送信しない
[解析対象外としたいURL]

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

■特定のファイル共有サーバからダウンロードする不特定多数の exe ファイルがいずれの検出ルールにも該当せずに仮想アナライザに送信されている場合

<過検出の元となっているファイル送信ルール>

条件処理
検出ルールに一致しない およびファイルを送信する
WIN_EXE

<仮想アナライザによる解析を除外するためのファイル送信ルール>

条件処理
検出ルールに一致しない およびファイルを送信しない
WIN_EXE および
送信元IPアドレス: [ファイル共有サーバのIPアドレス]

※過検出の元となっている既存のファイル送信ルールよりも優先度を高く設定してください。

上記はあくまで設定の例であり、お客様が設定されているファイル送信ルールや検出の内容によって、解析対象外とするためのファイル送信ルールは異なります。ご不明な点がございましたら、設定されているファイル送信ルールと検出ログを添えて弊社サポートまでお問い合わせください。

また、仮想アナライザのファイル送信ルールについてはこちらの Q&A も併せてご参照ください。

Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1121359
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド