脅威インテリジェンスでは、Trend Vision Oneから統合された情報を使用して、ユーザ定義の不審オブジェクト (UDSO) リストを作成し、脅威の検出と対応に役立てることができます。
脅威インテリジェンスの不審オブジェクトリストに統合される情報には、Trend Vision One Sandboxのデータ、Structured Threat Information eXpression (STIX) によるオーダーリスト、およびTrusted Automated eXchange of Intelligence Information (TAXII) が含まれます。
手動操作で不審オブジェクトを定義することができるほか、サードパーティのインテリジェンスから不審オブジェクトを抽出して追加することもできます。さらに、Sandboxは脅威の可能性があると判断した不審オブジェクトを統合および同期のために送信します。これらの不審オブジェクトには、分析結果に基づいてSandboxによってリスクレベルが割り当てられます。
Workload Security で不審オブジェクトリストがアップデートされ、指定された処理でコンピュータポリシーがアップデートされると、 Deep Security Agentは影響を受けたコンピュータをチェックし、保護対象のコンピュータでオブジェクトが再び検出されるたびにその処理を使用します。
Third-Party Intelligenceや手動操作で追加された不審オブジェクトの最大制限は、各オブジェクトタイプにつき10,000です。Sandboxからの不審オブジェクトの最大制限は、各オブジェクトタイプにつき25,000です。不審オブジェクトの数が最大を超えると、有効期限に最も近いオブジェクトが削除されます。新しく追加またはインポートされたオブジェクトは[不審オブジェクトリスト]画面でさらに確認できます。

要件

Workload SecurityをDeep Discoveryに接続する前に、環境が以下の要件を満たしていることを確認してください。

ユーザ指定の不審オブジェクト

次の表は、Trend Vision One[不審オブジェクトリスト]画面で利用可能なアクションを示しています。
処理
説明
オブジェクトデータをフィルタする
[オブジェクト]または[説明]フィールドと次のドロップダウンリストを使用して、特定のオブジェクトデータを見つけてください。
  • 最終更新: 不審なオブジェクトが最後に更新された時間範囲
  • オブジェクトの種類: ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、ドメインなどの疑わしいオブジェクトの種類
  • 送信元: 不審なオブジェクトが追加されたソース
不審オブジェクトを追加またはインポートする
コンピュータが検出プロセスを通じてコンピュータリストに追加されました。コンピュータの検出を参照してください。
オブジェクトの詳細を表示または編集する
追加をクリックして、不審オブジェクト追加画面を開きます。詳細については、以下を参照してください。
不審オブジェクトを管理する
1 つまたは複数の不審オブジェクトを管理します。オプションには以下が含まれます:
  • [オブジェクトを削除:]で不要なオブジェクトを選択し、[削除]をクリックしてください。
  • 適用されたアクションを変更: オブジェクトを選択し、次に[ログ]または[隔離 / ブロック]を選択します。
  • 有効期限設定を変更: オブジェクトを選択して[[有効期限なし]に設定]をクリックします。
  • 1つまたは複数のオブジェクトを例外として追加: オブジェクトのオプションをクリックして threat-intelligence-options-button=9ec7b6e8-4f49-4cba-b672-f509af7da376.png[除外リストに追加] を選択するか、複数のオブジェクトを選択して [除外リストに追加] をクリックします。
  • オブジェクトを検索: オブジェクトのthreat-intelligence-options-button=9ec7b6e8-4f49-4cba-b672-f509af7da376.pngオプションをクリックし、[新しい検索: 一致するフィールドと値]を選択します。
初期設定を行う
右上隅の[初期設定]をクリックします。[初期設定]ダイアログで、各リスクレベルで異なる種類のオブジェクトに対して取るデフォルトのアクションと、オブジェクトの有効期限設定を指定します。
サンドボックスのオブジェクトには、初期設定の処理が適用されます。他のソースのオブジェクトについては、処理または有効期限の設定を指定しないかぎり、初期設定が適用されます。
オブジェクトデータをエクスポートする
右上隅のエクスポートthreat-intelligence-export-button=804512c5-3893-44b0-8ed4-2851aed5dacc.pngをクリックして、オブジェクトデータをCSVファイルにエクスポートします。
オブジェクトデータを更新する
右上隅のthreat-intelligence-refresh-button=531bafb5-845c-4792-9769-d768f0c90f44.pngをクリックして最新のオブジェクトデータを表示します。

不審オブジェクトを追加する

不審オブジェクトリストには、ドメイン、ファイルSHA-1、ファイルSHA-256、IPアドレス、送信者アドレス、またはURLオブジェクトを追加できます。
  1. Trend Vision Oneから、[Threat Intelligence][Suspicious Object Management]に移動します。[Suspicious Object Management]画面が表示され、[不審オブジェクトリスト]タブが表示されます。
    vision-one-threat-intelligence-suspicious-object-management=f8071b02-71fb-40d4-8fb6-63d2e591755e.png
  2. [追加]をクリックします。[不審オブジェクトの追加]画面が表示されます。
    vision-one-threat-intelligence-add-suspicious-object=dde4edd1-3fa7-4e72-99d1-6f3749a4284d.png
  3. [方法]リストから次のいずれかを選択してください。
    • ドメイン: ドメイン名を入力してください。
    • ファイルSHA-1: ファイルのSHA-1ハッシュ値を入力してください。
    • ファイルSHA-256: ファイルのSHA-256ハッシュ値を入力してください。
    • IPアドレス: IPv4またはIPv6アドレスを入力してください。
    • 送信者アドレス: メールアドレスを入力してください。
    • URL: URLを入力してください。
  4. オブジェクトのリスクレベルを選択します。
  5. 接続された製品がオブジェクトを検出した後に適用するアクションを指定します。詳細については、不審オブジェクトのアクションを参照してください。
  6. 次のいずれかの有効期限オプションを選択します。
    • 指定した日数でオブジェクトが自動的に期限切れになるように設定します。
    • オブジェクトを無期限に設定します。
  7. 必要に応じて、説明を入力します。
  8. [送信] をクリックします。
オブジェクトは[Suspicious Objects List]に表示されます。接続された製品は、次回の同期時にTrend Vision Oneから新しいオブジェクト情報を受け取ります。

不審オブジェクトをインポートする

不審オブジェクトを追加するには、適切な形式のCSVまたはSTIX(Structured Threat Information Expression)ファイルをインポートします。
  1. Trend Vision Oneから、[Threat Intelligence][Suspicious Object Management]に移動します。
    [Suspicious Object Management]画面が表示され、[不審オブジェクトリスト]タブが表示されます。
    vision-one-threat-intelligence-suspicious-object-management=f8071b02-71fb-40d4-8fb6-63d2e591755e.png
  2. [追加]をクリックして[不審オブジェクトの追加]画面を開きます。
    vision-one-threat-intelligence-add-suspicious-object=dde4edd1-3fa7-4e72-99d1-6f3749a4284d.png
  3. [方法]リストから[インポート]オプションのいずれかを選択してください。
    • CSVファイル
    • STIXファイル
  4. [不審オブジェクトの追加]メニューで希望するリスクレベル、アクション、および有効期限オプションを設定し、[ファイルを選択]をクリックしてインポートしたいファイルを選択します。
    vision-one-threat-intelligence-import-suspicious-objects=dd4cdf6e-3e88-49ef-a433-d7fd3922d987.png
  5. [送信]をクリックしてファイルをインポートします。
STIXファイルをインポートする場合は、次の点に注意してください。
  • STIX 2.0および2.1のみがサポートされます。
  • 痕跡タイプのオブジェクトのみインポートできます。これらのオブジェクトは、異常活動、匿名化、無害、侵害、または不明とラベル付けされておらず、取り消されていないものが[Suspicious Objects List]に追加されます。
  • パターンに単一のオブジェクトが含まれる単純なインジケータのみがサポートされます。

不審オブジェクトの処理

次の表は、Trend Cloud One - Endpoint & Workload Securityで脅威インテリジェンスがサポートするオブジェクトタイプとアクションを示しています。
オブジェクトの種類
処理
IPアドレス
ログ
ドメイン
ログ
ファイルSHA-1
ログ、ブロック/隔離
ファイルSHA-256
ログ、ブロック/隔離
Workload SecurityはDeep Security Agentバージョン20.0.0-3964以降で[LOG]アクションをサポートします。Workload SecurityはDeep Security Agentバージョン20.0.0-4124以降で[ログ]および[隔離 / Block]アクションをサポートします。
注意
注意
[ブロック/隔離]アクションはプロセスオブジェクトにのみ適用されます。エージェントは実際にオブジェクトをブロックするのではなく、プロセスが作成された後に、疑わしいオブジェクトリストのルールに一致するファイルハッシュを持つ特定のプロセスを終了します。
スクリプトファイル (,sh, ps1, ...) は実行可能ファイルではありません。これは、スクリプトを実行する際にプロセスオブジェクトではなく、エージェントがスクリプトファイルの実行を終了できないことを意味します。

Trend Vision Oneへの接続を設定する

不審ファイルを送信してTrend Vision Oneから不審オブジェクトリストを取得し、保護対象のコンピュータと共有し、ローカルオブジェクトをTrend Vision One脅威インテリジェンスの不審オブジェクトリストと比較するようにWorkload Securityを設定できます。
  1. Workload Securityで、[管理 ][システム設定 ][脅威インテリジェンス]に移動します。
  2. [Trend Micro Vision One Suspicious Object Management]を選択し、[保存]をクリックします。
    vision-one-threat-intelligence-setup=0471e84f-1062-437a-a4e7-436ec90572da.png

不審なファイルに対する検索処理を設定する

Trend Vision Oneで不審オブジェクトのリストを表示し、不審オブジェクトが検出された場合に実行するアクション ([ログ] または [隔離 / Block]) を設定できます。
Trend Vision Oneから不審オブジェクトリストを取得するようにWorkload Securityを設定している場合、不審オブジェクトが検出されると、Workload SecurityはTrend Vision Oneで指定された処理を実行します。
Deep Security Agentバージョン20.0.0-4124以降では、ファイル、ドメイン、SHA-1、およびSHA-256の不審オブジェクトがサポートされます。