目次
このページのトピック
要件
ユーザ定義不審オブジェクト(UDSO)
不審オブジェクトを追加する
不審オブジェクトをインポートする
不審オブジェクトの処理
Trend Micro Vision Oneへの接続を設定する
不審なファイルに対する検索処理を設定する

Trend Micro Vision One (XDR) Threat Intelligence - ユーザ定義 不審オブジェクト (UDSO)

脅威インテリジェンス では、 Trend Micro Vision One から統合された情報を使用して、ユーザ定義の不審オブジェクト(UDSO)リストを作成し、脅威の検出と対応に役立てることができます。

脅威インテリジェンス の不審オブジェクトリストに統合される情報には、 Trend Micro Vision One サンドボックスデータ、Structured Threat Information eXpression(STIX)による順序リスト、およびTrusted Automated eXchange of Intelligence Information(TAXII)があります。

手動操作を使用して不審オブジェクトを定義したり、サードパーティのインテリジェンスから不審オブジェクトを抽出して追加したりできます。さらにサンドボックスは、脅威の可能性があると判断した不審オブジェクトを、統合および同期のために送信します。これらの不審オブジェクトには、分析結果に基づいてサンドボックスによってリスクレベルが割り当てられます。

Workload Security で不審オブジェクトリストがアップデートされ、指定された処理でコンピュータポリシーがアップデートされると、 Deep Security Agentは影響を受けたコンピュータをチェックし、保護対象のコンピュータでオブジェクトが再び検出されるたびにその処理を使用します。

サードパーティのインテリジェンスおよび手動操作によって追加された不審オブジェクトの場合、最大数はオブジェクトの種類ごとに10,000です。サンドボックスからの不審オブジェクトの場合、オブジェクトの種類ごとに最大25,000件までです。不審オブジェクトの数が最大数を超えると、有効期限に最も近いオブジェクトが削除されます。新しく追加またはインポートしたオブジェクトは、 不審オブジェクトリスト 画面でさらに確認できます。

要件

Workload Security をDeep Discoveryに接続する前に、環境が次の要件を満たしていることを確認してください。

ユーザ定義不審オブジェクト(UDSO)

次の表は、 Trend Micro Vision One 不審オブジェクトリスト画面で使用可能な処理を示しています。

処理 説明
オブジェクトデータをフィルタする オブジェクト または 説明 フィールドと以下のドロップダウンリストを使用して、特定のオブジェクトデータを検索します。

  • 最終更新:不審オブジェクトが最後にアップデートされた時間範囲
  • オブジェクトの種類:不審オブジェクトの種類(ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、ドメインなど)
  • ソース:不審オブジェクトが追加されたソース
不審オブジェクトを追加またはインポートする 検出処理によって、コンピュータがコンピュータリストに追加されました。(コンピュータを検出するを参照してください)。
オブジェクトの詳細を表示または編集する [追加] をクリックして、[不審オブジェクトの追加]画面を開きます。詳細については次を参照してください。
不審オブジェクトを管理する 1つまたは複数の不審オブジェクトを管理します。次のオプションがあります。

  • オブジェクトの削除: 不要なオブジェクトを選択し、削除をクリックします。
  • 適用する処理の変更:オブジェクトを選択し、 ログ または ブロック/隔離を選択します。
  • 有効期限の設定を変更:オブジェクトを選択し、[有効期限なし]に設定をクリックします。
  • 1つ以上のオブジェクトを除外設定として追加:オブジェクトのオプション[オプション]ボタンをクリックして除外リストに追加を選択するか、複数のオブジェクトを選択して除外リストに追加をクリックします。
  • オブジェクトの検索:オブジェクトの[オプション] [オプション]ボタンをクリックし、新しい検索:一致するフィールドと値を選択します。
初期設定を行う 右上隅にある[ 初期設定 ]をクリックします。[ 初期設定 ]ダイアログボックスで、各リスクレベルでさまざまな種類のオブジェクトに対して実行する初期設定の処理と、オブジェクトの有効期限の設定を指定します。

サンドボックスのオブジェクトには、初期設定の処理が適用されます。他のソースのオブジェクトについては、処理または有効期限の設定を指定しないかぎり、初期設定が適用されます。
オブジェクトデータをエクスポートする 右上隅にあるエクスポート[エクスポート]ボタンをクリックして、オブジェクトデータをCSVファイルにエクスポートします。
オブジェクトデータを更新する 右上隅の更新[更新]ボタン をクリックして、最新のオブジェクトデータを表示します。

不審オブジェクトを追加する

不審オブジェクトリストには、ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、またはURLオブジェクトを追加できます。

  1. Trend Micro Vision Oneにて、[Threat Intelligence]→[Suspicious Object Management]に移動します。 [Suspicious Object Management]画面が表示され、[ 不審オブジェクトリスト ]タブが表示されます。

    不審オブジェクト管理

  2. [追加] をクリックします。[不審オブジェクトの追加] 画面が表示されます。

    不審オブジェクトの追加

  3. [ 方法 ]ドロップダウンリストから、次のいずれかを選択します。

    • ドメイン:ドメイン名を入力します。
    • ファイルSHA-1:ファイルのSHA-1ハッシュ値を入力します。
    • ファイルSHA-256:ファイルのSHA-256ハッシュ値を入力します。
    • IPアドレス:IPv4またはIPv6アドレスを入力します。
    • 送信者アドレス:メールアドレスを入力します。
    • URL:URLを入力します。

  4. オブジェクトのリスクレベルを選択します。

  5. 接続された製品がオブジェクトを検出した後に適用する処理を指定します。 詳細については、不審オブジェクトの処理を参照してください。

  6. 次のいずれかの有効期限オプションを選択します。

    • 指定した日数でオブジェクトが自動的に期限切れになるように設定します。
    • オブジェクトを無期限に設定します。

  7. (オプション)説明を入力します。

  8. 送信をクリックします。 オブジェクトが不審オブジェクトリストに表示されます。接続された製品は、次回の同期時に Trend Micro Vision One から新しいオブジェクト情報を受信します。

不審オブジェクトをインポートする

不審オブジェクトを追加するには、適切な形式のCSVまたはSTIX(Structured Threat Information Expression)ファイルをインポートします。

  1. Trend Micro Vision Oneから、[Threat Intelligence]→[Suspicious Object Management]に移動します。 [Suspicious Object Management]画面が表示され、[ 不審オブジェクトリスト ]タブが表示されます。

    不審オブジェクト管理

  2. [追加] をクリックします。 [不審オブジェクトの追加] 画面が表示されます。

    不審オブジェクトの追加

  3. [ 方法 ]ドロップダウンリストから、インポートオプションのいずれかを選択します。

    • CSVファイル
    • STIXファイル

  4. 不審オブジェクトの追加メニューで、必要なリスクレベル、処理、および有効期限オプションを設定し、ファイルを選択をクリックしてインポートするファイルを選択します。

    不審オブジェクトのインポート

  5. 送信をクリックしてファイルをインポートします。

STIXファイルをインポートする場合は、次の点に注意してください。

  • STIX 2.0および2.1のみがサポートされます。
  • インポートできるのは「インジケータ」タイプのオブジェクトのみで、「異常活動」、「匿名化」、「無害」、「感染」、または「不明」とラベル付けされていてはならず、取り消されていないオブジェクトは不審オブジェクトリストに追加されます。
  • パターンに単一のオブジェクトが含まれる単純なインジケータのみがサポートされます。

不審オブジェクトの処理

次の表は、 Trend Micro Cloud One - Workload SecurityのThreat Intelligence でサポートされるオブジェクトの種類と処理の概要を示しています。

オブジェクトの種類 処理
IPアドレス ログ
ドメイン ログ
ファイルSHA-1 ログ、ブロック/隔離
ファイルSHA-256 ログ、ブロック/隔離

Workload Securityでは、 Deep Security Agentバージョン20.0.0-3964以降の ログ 処理がサポートされます。Workload Security は、 Deep Security Agentバージョン20.0.0-4124以降のログおよびブロック/隔離処理をサポートします。

ブロック/隔離処理は、プロセスオブジェクトにのみ適用されます。エージェントは、実際にはオブジェクトをブロックせず、プロセスの作成後、ファイルハッシュが不審オブジェクトリストのルールに一致する特定のプロセスを終了します。

スクリプトファイル(、sh、ps1、...)は実行可能ファイルではありません。つまり、スクリプトの実行時にはオブジェクトはプロセスオブジェクトではなく、エージェントはスクリプトファイルの実行を終了できません。

Trend Micro Vision Oneへの接続を設定する

Workload Security を設定して不審ファイルを送信し、不審オブジェクトリストを Trend Micro Vision Oneから取得して、保護されたコンピュータと共有し、ローカルのオブジェクトをTrend Micro Vision One Threat Intelligenceの不審オブジェクトリストと比較できます。

  1. Workload Securityで、[管理]→[システム設定]→[脅威インテリジェンス]の順に選択します。

  2. [ Trend Micro Vision One Suspicious Object Management ]を選択し、[ 保存 ]をクリックします。

    Trend Micro Vision One 脅威インテリジェンス の設定

不審なファイルに対する検索処理を設定する

Trend Micro Vision One で不審オブジェクトのリストを表示し、不審オブジェクトが検出された場合に実行する処理(ログ または ブロック/隔離)を設定できます。

Trend Micro Vision Oneから不審オブジェクトリストを取得するようにWorkload Securityを設定している場合、不審なオブジェクトが検出されると、 Workload SecurityはTrend Micro Vision Oneによって指定された処理を実行します。

Deep Security Agentバージョン20.0.0-4124 +では、ファイル、ドメイン、SHA-1、およびSHA-256の不審オブジェクトがサポートされます。