本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

脅威インテリジェンスを使用した新たな脅威の検出

脅威インテリジェンス機能は、以前は Connected Threat Defenseと呼ばれていました。以前に Connected Threat Defenseを使用していた場合は、「 Connected Threat Defense から脅威インテリジェンスへの移行への移行」を参照してください。

今日のデータセンターでは、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害が増えています。これらのケースでは、不正プログラム作成者は特定の環境を標的にした不正プログラムを作成することによって、従来の不正プログラムScannerを回避します。Deep Securityは、脅威インテリジェンス機能により、新しい脅威に対する強化された不正プログラム対策を提供します。

FIPSモードが有効な場合、脅威インテリジェンスは使用できません。FIPS 140-2のサポートを参照してください。

このトピックの内容:

不正プログラム対策 モジュールの概要については、 不正プログラム対策について についてを参照してください。

脅威インテリジェンスの仕組み

  1. すべてのコンポーネントが適切に設定されると、 Deep Security Agentはヒューリスティック検出を使用して保護対象コンピュータ上のファイルを分析し、不審なファイルかどうかを判断します。
  2. 必要に応じて、不審なファイルをDeep Securityから Trend Micro Vision One または Deep Discovery Analyzerに手動または自動で送信できます。これにより、不審なファイルがサンドボックス(安全な隔離された仮想環境)で実行され、監視されます。
  3. Deep Security Managerは、 Trend Micro Vision One または Deep Discovery Analyzerからサンドボックス分析結果を取得します。

    サンドボックス分析レポートは保護を提供しません。 Trend Micro Vision One またはDeep Discovery分析に関する情報が提供されるだけです。完全に保護するには、 Trend Micro Vision One またはTrend Micro Apex Centralへの接続が必要です。レポートは、15分ごとに Trend Micro Vision One または Deep Discovery Analyzer から取得されます。

  4. 不審なファイルを他のサービスに送信してさらに分析するようにDeep Securityを設定できます。不審なファイルを Trend Micro Vision Oneに送信すると、分析結果は Trend Micro Vision One 脅威インテリジェンスに転送されます。不審なファイルを Deep Discovery Analyzerに送信すると、分析結果がTrend Micro Apex Centralにプッシュされ、分析に基づいてファイルに対する処理を指定できます。処理が指定されると、「不審オブジェクトリスト」と呼ばれる新しい脅威のリストが作成またはアップデートされます。Deep Discovery InspectorやDeep Discovery Email Inspectorなどの他のトレンドマイクロ製品も、 Trend Micro Vision One またはTrend Micro Apex Central に接続して、リストをアップデートできます。
  5. オプションで、 Trend Micro Vision One またはTrend Micro Apex Central から不審オブジェクトのリストを受信し、不審オブジェクトのリストをDeep Security Agentに送信するようにDeep Security Managerを設定できます。

脅威インテリジェンスの前提条件を確認する

Deep SecurityをDeep Discoveryに接続する前に、環境が次の要件を満たしていることを確認してください。

  • Deep Security Managerがインストールされ、コンピュータを保護するDeep Security Agentが設定されている。

オプション:

  • Trend Micro Vision One (XDR)に接続するには
    • Trend Micro Vision One (XDR)との統合と統合します。
    • Trend Micro Vision Oneに不審なファイルを送信するには、「 Deep Security :Sandbox as a Service」ライセンスを購入してください。
  • Deep Discovery Analyzerに接続するには、 Deep Discovery Analyzer 5.5がインストールされ、サンドボックス仮想マシンが準備されていることを確認します。
  • Trend Micro Apex Centralに接続するには、 Apex Central 2019以降がインストールされている必要があります。
  • Deep Discovery Analyzer をTrend Micro Apex Central 管理下のサーバに追加します。詳細については、Apex Centralのドキュメントを参照してください。

Trend Micro Vision Oneへの接続を設定する

不審ファイルを送信して不審オブジェクトリストを Trend Micro Vision Oneから取得し、保護対象のコンピュータと共有して、ローカルオブジェクトを Trend Micro Vision One 脅威インテリジェンス 不審オブジェクト リストと比較するようにDeep Securityを設定できます。

  1. Deep Security Managerで、[ 管理]> [システム設定]> [脅威インテリジェンス]に移動します。
  2. [ 不審なファイルを送信する]を選択し、次に[ Trend Micro Vision One]を選択します。
  3. [ オブジェクトを 不審オブジェクト リストと比較する]を選択し、次に[ Trend Micro Vision One]を選択します。

Deep Discovery Analyzerへの接続を設定する

Deep Security Managerから不審なファイルを Deep Discovery Analyzer に送信して分析する場合は、接続を設定する必要があります。

Trend Micro Apex Centralへの接続の設定

以下の設定を行うと、Deep Security ManagerでApex Centralから不審オブジェクトリストを取得し、保護されているコンピュータで共有して、ローカルオブジェクトをApex Centralの不審オブジェクトリストと照合できるようになります。

脅威インテリジェンスで使用する不正プログラム検索設定を作成する

次の設定では、 Deep Securityで不審ファイルを検出し、不審ファイルをバックアップして、 サンドボックス分析 に送信して詳細な分析を依頼できます。

  1. Deep Security Managerで、[Policies]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。
  2. 新しい検索設定を作成するか、または既存の設定を編集します。
  3. [一般] タブの [ドキュメントの脆弱性対策] で、[ドキュメントの脆弱性を突いた攻撃コードを検索する] を選択し、次のいずれかのオプションを選択します。
    • 既知の脆弱性に対する攻撃コードのみを検索する: 既知の重大な脆弱性のみを検出します。CVE 攻撃コード 脆弱性タイプがこのオプションに関連付けられています(「 不正プログラム修復処理をカスタマイズする」を参照してください)。
    • 既知の脆弱性に対する攻撃に加え、未知の攻撃コードも積極的に検索する: より多くの問題が検出されますが、誤判定も増えます。不審ファイルを検出して Trend Micro Vision One または Deep Discovery Analyzerに送信する場合は、このオプションを選択する必要があります。アグレッシブ検出ルールの脆弱性タイプはこのオプションに関連付けられています(「 不正プログラム修復処理をカスタマイズする」を参照してください)。
  4. 不正プログラム検索の設定」の説明に従って、その他の不正プログラム検索を設定します。

コンピュータで脅威インテリジェンスを有効にする

脅威インテリジェンスは、ポリシーまたは個々のコンピュータで有効にできます。

  1. コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[不正プログラム対策]→[一般] の順に選択します。
  2. 不正プログラム対策のステータスオン または 継承 (オン) であることを確認します。
  3. [一般] タブには、リアルタイム検索手動検索予約検索 の各セクションがあります。(検索の種類については、「 不正プログラム対策の有効化と設定を有効にして設定する」を参照してください)。該当するセクションで、不正プログラム検索設定 リストから上記の手順で作成した検索設定を選択します。
  4. [ 脅威インテリジェンス ]タブに移動し、必要に応じて次の設定を調整します。
    • Deep Securityから不審なファイルをTrend Micro Vision OneまたはDeep Discovery Analyzerに送信する場合は、[サンドボックス分析] のオプションを [はい] または [継承(はい)] に設定します。
    • Deep SecurityとTrend Micro Apex Central間の接続を設定済みで、Apex Centralの不審オブジェクトリストを使用して不正なファイルを検出する場合は、[不審オブジェクトリスト][不審オブジェクトリストを使用][はい] または [継承(はい)] に設定します。
  5. [ Save]を選択します。

サンドボックス分析にファイルを手動で送信する

[イベントとレポート]→[イベント]→[不正プログラム対策イベント]→[検出ファイル] 画面に表示されるファイルを手動で送信できます。

  1. 送信するファイルを選択し、 [Analyze ]ボタンを選択します。
  2. 表示されるウィザードの手順に従います。
  3. ファイルが送信された後に、[検出ファイル] 画面の [送信ステータス] 列で分析の進捗状況を確認できます。
  4. 分析が完了すると、[送信ステータス] 列が「レポートの準備完了」になります。 Results Ready リンクを選択すると、詳細を表示できます。

誤ったアラームを引き起こしたファイルを許可する

イベント&レポート>イベント> 不正プログラム対策 イベント>識別ファイル ページでファイルがマルウェアとして識別されているが、マルウェアではないことがわかっている場合は、そのファイルを、コンピュータまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。不正プログラム対策 > [詳細] タブにあるドキュメントの脆弱性対策ルール例外 リストに追加できます。

ファイルを許可するには、そのファイルを右クリックして[ Allow]を選択し、表示されるウィザードの手順に従います。

不審なファイルに対する検索処理を設定する

Trend Micro Vision One またはTrend Micro Apex Central コンソールで不審オブジェクトリストを表示し、不審オブジェクトが検出された場合の処理(ログ、ブロック、または隔離)を設定できます。(処理の設定の詳細については、 Trend Micro Vision One または Apex Centralのヘルプを参照してください)。 Trend Micro Vision One または Apex Centralから不審オブジェクトリストを取得するようにDeep Security Managerを設定している場合、不審オブジェクトが検出されると、 Deep Securityは指定された処理を実行します。

Deep Securityでは、ファイルが不審なオブジェクトがサポートされます。Webレピュテーション 保護モジュールがTrend Micro Smart Protection Serverを使用するように設定されている場合、URL不審オブジェクトもサポートされます。IPが不審なオブジェクトとドメインが不審なオブジェクトはサポートされません。

Deep Securityで不審オブジェクトリストをアップデートする

不審オブジェクトの分析が完了し、ファイルに対する処理が Trend Micro Vision One またはTrend Micro Apex Centralで設定されている場合、 Deep Securityでは、 Trend Micro Vision Oneの 不審オブジェクト リストを使用できます。 または Apex Central を使用してコンピュータを保護します。Deep Security Managerで手動で不審ファイルリストをアップデートするには、[管理]→[アップデート]→[セキュリティ] に進み、[不審オブジェクトリストのアップデート] 列の項目を使用して最新のリストを取得し、保護されたコンピュータに送信します。アップデートされたリストがないかを定期的に確認する予約タスクを作成することもできます (Deep Security予約タスクの設定を参照してください)。

Apex Centralにおける不審オブジェクトの初期設定は「ログ」です。この初期設定は、必要に応じて「隔離」または「ブロック」に変更できます。

[ Trend Micro Vision One 脅威インテリジェンス 不審オブジェクト Management]では、右上隅で[Default Settings]を選択し、各リスクレベルでさまざまな種類のオブジェクトに対して実行する初期設定の処理と、オブジェクト。Apex Centralにおける不審オブジェクトの初期設定は「ログ」です。この初期設定は、必要に応じて「隔離」または「ブロック」に変更できます。

Deep Securityで不審オブジェクトリストが更新され、指定された処理でコンピュータポリシーが更新されると、 Deep Security Agentは影響を受けたコンピュータをチェックし、保護されたコンピュータでこのファイルが再び検出されるたびにこの処理を使用します。

マルチテナント環境での脅威インテリジェンスの設定

マルチテナント環境では、プライマリテナント (t0) のDeep Discovery AnalyzerおよびApex Centralの設定を他のテナントと共有するかどうかを選択できます。この動作を制御する設定は、管理>システム設定>テナント>プライマリテナントの不審オブジェクトリストとサンドボックス分析設定の使用をテナントに許可 です。

  • 設定を有効にして、テナントが[ 管理]> [システム設定]> [脅威インテリジェンス]に移動すると、追加の[デフォルトのサーバー設定を使用する ]チェックボックスが表示されます。このチェックボックスをオンにすると、プライマリテナントの設定が使用されます。デフォルトのサーバー設定を使用する が選択されていない場合、テナントは独自の脅威インテリジェンス設定を構成できます。
  • プライマリテナントが Trend Micro Vision One を選択して不審ファイルを送信し、 不審オブジェクト リストに対してオブジェクトを比較すると、テナントは、プライマリテナントのTrend Micro Vision Oneアカウントではなく、独自のTrend Micro Vision Oneアカウントに接続します。テナントが Trend Micro Vision One 登録を完了していることを確認してください。

  • この設定が有効になっていない場合、脅威インテリジェンスを使用するテナントは、独自の Trend Micro Vision One、またはTrend Micro Apex Central と Deep Discovery Analyzerを使用する必要があります。

サポートされているファイルタイプ

Deep Securityでは、次のファイルタイプをDeep Discovery Analyzerに送信できます。

  • doc - Microsoft Word文書
  • docx - Microsoft Office Word 2007文書
  • gul - JungUm Global文書
  • hwp - Hancom Hangul Word Processor (HWP) 文書
  • hwpx - Hancom Hangul Word Processor 2014 (HWPX) 文書
  • jar - JavaアプレットJavaアプリケーション
  • js - JavaScriptファイル
  • jse - JavaScriptエンコード済みスクリプトファイル
  • jtd - JustSystems一太郎ドキュメント
  • lnk - Microsoft Windowsシェルバイナリ形式リンクショートカット
  • mov - Apple QuickTimeメディア
  • pdf - Adobeポータブルドキュメントフォーマット (PDF)
  • ppt - Microsoft PowerPointプレゼンテーション
  • pptx - Microsoft Office PowerPoint 2007プレゼンテーション
  • ps1 - Microsoft Windows PowerShellスクリプトファイル
  • rtf - Microsoftリッチテキスト形式 (RTF) 文書
  • swf - Adobe Shockwave Flashファイル
  • vbe - Visual Basicエンコード済みスクリプトファイル
  • vbs - Visual Basicスクリプトファイル
  • xls - Microsoft Excel表計算ファイル
  • xlsx - Microsoft Office Excel 2007表計算ファイル
  • xml - Microsoft Office 2003 XMLファイル

Connected Threat Defense から脅威インテリジェンスへの移行

脅威インテリジェンスは、 Deep Security Manager 20.0.503(20 LTS Update 2021-09-23)で導入されました。ここでは、 Connected Threat Defense がインストールされた以前のバージョンのDeep Security Managerから脅威インテリジェンスがインストールされた新しいバージョンにアップグレードする方法と、 Trend Micro Vision One (XDR)への接続を設定する方法について説明します。

  1. Deep Security ManagerがにTrend Micro Vision One(XDR)に登録されていることを確認します。
  2. Deep Security Managerで、[ 管理]> [システム設定]> [脅威インテリジェンス]に移動します。
  3. [ 不審なファイルを送信する]を選択し、次に[ Trend Micro Vision One]を選択します。
  4. [ オブジェクトを 不審オブジェクトリストと比較する]を選択し、次に[ Trend Micro Vision One]を選択します。
  5. [ Save]を選択します。 接続ステータス が15分以内に「接続済み」に変わります。

     

  6. Deep Security Managerからファイルサンプルが送信されると、分析の概要が Trend Micro Vision Oneの[ 脅威インテリジェンス]→[ サンドボックス分析]に表示されます。詳細については、 Trend Micro Vision One ヘルプを参照してください。
  7. 不審オブジェクトが検出された場合、生成された不審オブジェクトのリストは、[ Trend Micro Vision One]の[ 脅威インテリジェンス ]→[ 不審オブジェクト Management]で確認できます。詳細については、 Trend Micro Vision One ヘルプを参照してください。

マルチテナントの移行

マルチテナント環境で Connected Threat Defense から脅威インテリジェンスに移行する場合:

  • プライマリテナントでは、 [管理] → [システム設定] → [テナント] → [プライマリテナントの不審オブジェクトリストとサンドボックス分析の設定の使用をテナントに許可] オプションを有効にしないでください。
  • アップグレード後、他のすべてのテナントでDeep Security Managerを開き、に移動します。 [管理]→[システム設定]→Trend Micro Vision Oneをクリックし、 Deep Security ManagerがTrend Micro Vision One (XDR)に登録されていることを確認します。テナントは、 管理>システム設定>脅威インテリジェンスで独自の脅威インテリジェンス設定を構成できます。