目次
このページのトピック
要件
ユーザ定義の不審オブジェクト
不審オブジェクトを追加する
不審オブジェクトをインポートする
不審オブジェクトの処理
Trend Vision Oneへの接続を設定する
不審なファイルに対する検索処理を設定する

Trend Vision One 脅威インテリジェンス - ユーザ定義の不審オブジェクト

脅威インテリジェンスでは、Trend Vision Oneから統合された情報を使用して、ユーザ定義の不審オブジェクト (UDSO) リストを作成し、脅威の検出と対応に役立てることができます。

脅威インテリジェンスの不審オブジェクトリストに統合される情報には、Trend Vision One Sandboxのデータ、Structured Threat Information eXpression (STIX) によるオーダーリスト、およびTrusted Automated eXchange of Intelligence Information (TAXII) が含まれます。

手動操作を使用して不審オブジェクトを定義したり、サードパーティのインテリジェンスから不審オブジェクトを抽出して追加したりできます。さらにサンドボックスは、脅威の可能性があると判断した不審オブジェクトを、統合および同期のために送信します。これらの不審オブジェクトには、分析結果に基づいてサンドボックスによってリスクレベルが割り当てられます。

Workload Security で不審オブジェクトリストがアップデートされ、指定された処理でコンピュータポリシーがアップデートされると、 Deep Security Agentは影響を受けたコンピュータをチェックし、保護対象のコンピュータでオブジェクトが再び検出されるたびにその処理を使用します。

サードパーティのインテリジェンスおよび手動操作によって追加された不審オブジェクトの場合、最大数はオブジェクトの種類ごとに10,000です。サンドボックスからの不審オブジェクトの場合、オブジェクトの種類ごとに最大25,000件までです。不審オブジェクトの数が最大数を超えると、有効期限に最も近いオブジェクトが削除されます。新しく追加またはインポートしたオブジェクトは、 不審オブジェクトリスト 画面でさらに確認できます。

要件

Workload Security をDeep Discoveryに接続する前に、環境が次の要件を満たしていることを確認してください。

ユーザ定義の不審オブジェクト

次の表は、Trend Vision One 不審オブジェクトリスト 画面で使用できる処理の概要を示しています。

処理 説明
オブジェクトデータをフィルタする オブジェクト または 説明 フィールドと以下のドロップダウンリストを使用して、特定のオブジェクトデータを検索します。

  • 最終更新:不審オブジェクトが最後にアップデートされた時間範囲
  • オブジェクトの種類:不審オブジェクトの種類(ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、ドメインなど)
  • ソース:不審オブジェクトが追加されたソース
不審オブジェクトを追加またはインポートする 検出プロセスによってコンピュータがコンピュータリストに追加されました。コンピュータを検出するを参照してください。
オブジェクトの詳細を表示または編集する [追加] をクリックして、[不審オブジェクトの追加]画面を開きます。詳細については次を参照してください。
不審オブジェクトを管理する 1つまたは複数の不審オブジェクトを管理します。次のオプションがあります。

  • オブジェクトの削除: 不要なオブジェクトを選択し、削除をクリックします。
  • 適用する処理の変更:オブジェクトを選択し、 ログ または ブロック/隔離を選択します。
  • 有効期限の設定を変更:オブジェクトを選択し、[有効期限なし]に設定をクリックします。
  • 1つ以上のオブジェクトを除外設定として追加:オブジェクトのオプション[オプション]ボタンをクリックして除外リストに追加を選択するか、複数のオブジェクトを選択して除外リストに追加をクリックします。
  • オブジェクトの検索:オブジェクトの[オプション] [オプション]ボタンをクリックし、新しい検索:一致するフィールドと値を選択します。
初期設定を行う 右上隅にある[ 初期設定 ]をクリックします。[ 初期設定 ]ダイアログボックスで、各リスクレベルでさまざまな種類のオブジェクトに対して実行する初期設定の処理と、オブジェクトの有効期限の設定を指定します。

サンドボックスのオブジェクトには、初期設定の処理が適用されます。他のソースのオブジェクトについては、処理または有効期限の設定を指定しないかぎり、初期設定が適用されます。
オブジェクトデータをエクスポートする 右上隅にあるエクスポート[エクスポート]ボタンをクリックして、オブジェクトデータをCSVファイルにエクスポートします。
オブジェクトデータを更新する 右上隅の更新[更新]ボタン をクリックして、最新のオブジェクトデータを表示します。

不審オブジェクトを追加する

不審オブジェクトリストには、ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、またはURLオブジェクトを追加できます。

  1. Trend Vision Oneで、[ Threat Intelligence]→[不審オブジェクトの管理]の順に選択します。 [不審オブジェクト管理] 画面が表示され、[不審オブジェクトリスト] タブが表示されます。

    不審オブジェクト管理

  2. [追加] をクリックします。 [不審オブジェクトの追加] 画面が表示されます。

    不審オブジェクトの追加

  3. [ Method ]リストから、次のいずれかを選択します。

    • ドメイン:ドメイン名を入力します。
    • ファイルSHA-1:ファイルのSHA-1ハッシュ値を入力します。
    • ファイルSHA-256:ファイルのSHA-256ハッシュ値を入力します。
    • IPアドレス:IPv4またはIPv6アドレスを入力します。
    • 送信者アドレス:メールアドレスを入力します。
    • URL:URLを入力します。

  4. オブジェクトのリスクレベルを選択します。

  5. 接続された製品がオブジェクトを検出した後に適用する処理を指定します。 詳細については、不審オブジェクトの処理を参照してください。

  6. 次のいずれかの有効期限オプションを選択します。

    • 指定した日数でオブジェクトが自動的に期限切れになるように設定します。
    • オブジェクトを無期限に設定します。

  7. 必要に応じて、説明を入力します。

  8. 送信をクリックします。 オブジェクトが 不審オブジェクトリストに表示されます。接続された製品は、次回の同期時にTrend Vision Oneから新しいオブジェクト情報を受信します。

不審オブジェクトをインポートする

不審オブジェクトを追加するには、適切な形式のCSVまたはSTIX(Structured Threat Information Expression)ファイルをインポートします。

  1. Trend Vision Oneで、[ Threat Intelligence]→[不審オブジェクトの管理]の順に選択します。 [不審オブジェクト管理] 画面が表示され、[不審オブジェクトリスト] タブが表示されます。

    不審オブジェクト管理

  2. [追加] をクリックします。 [不審オブジェクトの追加 ] 画面が表示されます。

    不審オブジェクトの追加

  3. [ Method ]リストから、[ Import ]オプションのいずれかを選択します。

    • CSVファイル
    • STIXファイル

  4. 不審オブジェクトの追加メニューで、必要なリスクレベル、処理、および有効期限オプションを設定し、ファイルを選択をクリックしてインポートするファイルを選択します。

    不審オブジェクトのインポート

  5. 送信をクリックしてファイルをインポートします。

STIXファイルをインポートする場合は、次の点に注意してください。

  • STIX 2.0および2.1のみがサポートされます。
  • インポートできるのはインジケータタイプのオブジェクトのみです。これらのオブジェクトは、「異常アクティビティ」、「匿名化」、「良性」、「侵害」、または「不明」のラベルを付けてはならず、失効していないオブジェクトは 不審オブジェクトリストに追加されます。
  • パターンに単一のオブジェクトが含まれる単純なインジケータのみがサポートされます。

不審オブジェクトの処理

次の表は、Trend Cloud One - Endpoint & Workload Securityの脅威インテリジェンスでサポートされるオブジェクトの種類と処理の概要を示しています。

オブジェクトの種類 処理
IPアドレス ログ
ドメイン ログ
ファイルSHA-1 ログ、ブロック/隔離
ファイルSHA-256 ログ、ブロック/隔離

Workload Securityでは、 Deep Security Agentバージョン20.0.0-3964以降の ログ 処理がサポートされます。Workload Security は、 Deep Security Agentバージョン20.0.0-4124以降のログおよびブロック/隔離処理をサポートします。

ブロック/隔離処理は、プロセスオブジェクトにのみ適用されます。エージェントは、実際にはオブジェクトをブロックせず、プロセスの作成後、ファイルハッシュが不審オブジェクトリストのルールに一致する特定のプロセスを終了します。

スクリプトファイル(、sh、ps1、...)は実行可能ファイルではありません。つまり、スクリプトの実行時にはオブジェクトはプロセスオブジェクトではなく、エージェントはスクリプトファイルの実行を終了できません。

Trend Vision Oneへの接続を設定する

不審ファイルを送信してTrend Vision Oneから不審オブジェクトリストを取得し、保護対象のコンピュータと共有し、ローカルオブジェクトをTrend Vision One脅威インテリジェンスの不審オブジェクトリストと比較するようにWorkload Securityを設定できます。

  1. Workload Securityで、[管理]→[システム設定]→[脅威インテリジェンス]の順に選択します。

  2. [ Trend Micro Vision One Suspicious Object Management ]を選択し、[ 保存 ]をクリックします。

    Trend Micro Vision One 脅威インテリジェンス の設定

不審なファイルに対する検索処理を設定する

Trend Vision Oneで不審オブジェクトのリストを表示し、不審オブジェクトが検出されたときに実行する処理 (ログ または 隔離/ブロック) を設定できます。

Trend Vision Oneから不審オブジェクトリストを取得するようにWorkload Securityを設定している場合、不審オブジェクトが検出されると、Workload SecurityはTrend Vision Oneで指定された処理を実行します。

Deep Security Agentバージョン20.0.0-4124以降では、ファイル、ドメイン、SHA-1、およびSHA-256の不審オブジェクトがサポートされます。