適切な形式のOpenIOCファイル (*.ioc) をインポートして、不審ファイルSHA-1、IPアドレス、URL、およびドメインオブジェクトをユーザ指定の不審オブジェクトリストに抽出することにより、ネットワークでまだ確認されていないオブジェクトからネットワークを保護できます。ファイルをアップロードするときは、不審オブジェクトの検出後にサポート対象のトレンドマイクロ製品で実行する検索処理を指定できます。OpenIOCファイルのアップロード後、アップロードしたファイルを履歴調査またはライブ調査の診断条件として選択することもできます。
ユーザ指定の不審オブジェクトリストに不審オブジェクトを直接手動で追加する方法の詳細については、ユーザ指定の不審オブジェクトリストにオブジェクトを追加するを参照してください。
Apex CentralはOpenIOC 1.0のみをサポートしています。
初期設定では、OpenIOCファイルのアップロードが完了した時点で、Apex Centralはユーザ指定の不審オブジェクトリストに不審オブジェクトを自動的に抽出します。
または、最初にOpenIOCをアップロードし、ファイルのアップロードが完了した後に手動で不審オブジェクトを抽出することもできます。
- [脅威インテリジェンス] > [カスタムインテリジェンス]に移動します。
[カスタムインテリジェンス] 画面が表示されます。
- [OpenIOC] タブをクリックします。
OpenIOCファイルリストが表示されます。
- (オプション) ファイルリストに表示されるファイルをフィルタするには、検索ボックスを使用して [ファイル名]、[概要]、または [ソースの追加元] 列に含まれる文字列全体またはその一部を指定します。
- [追加] をクリックします。
[OpenIOCファイルの追加] 画面が表示されます。
-
アップロードするOpenIOCファイル (*.ioc) を選択します。
- [ファイルを選択] をクリックします。
-
アップロードするファイルを1つ以上選択します。
注:
各ファイルの最大ファイルサイズは10MBです。
同時にアップロードできるファイル数は最大200ファイルです。
ユーザ指定の不審オブジェクトリストでは、不審オブジェクトの種類ごとのオブジェクトの最大数が10,000個を超えないようにしてください。
最大数を超えた場合、その不審オブジェクトの種類に対する抽出するタスクは失敗します。
- [開く] をクリックします。
-
(オプション) [詳細設定] で次の設定を行います。
-
不審オブジェクトを自動的に抽出せずにファイルをアップロードするには、[ファイルSHA1ハッシュ、IPアドレス、URL、またはドメインを抽出して、不審オブジェクトをユーザ指定の不審オブジェクトリストに追加する] チェックボックスをオフにします。
注:ファイルのアップロード時の自動抽出を無効にしても、ファイルのアップロードが完了した後にオブジェクトを手動で抽出できます。
-
オブジェクトの検出後にサポート対象製品で実行する検出時の処理を指定します。
-
- [追加] をクリックします。
ヒント:
ファイルのアップロードステータスを追跡するには、ログの種類に [ユーザのアクセス] を使用してログクエリを実行します。
詳細については、ログクエリを使用するを参照してください。
不審オブジェクトの抽出ステータスを追跡するには、[コマンド追跡] 画面を使用します。
詳細については、コマンド追跡を参照してください。
Apex Centralは、選択したOpenIOCファイルをOpenIOファイルリストにアップロードます。
注:-
初期設定を選択した場合、Apex Centralは不審オブジェクトをユーザ指定の不審オブジェクトリストに自動的に抽出します。
-
次のシナリオでは、OpenIOCファイルリストの [抽出されたオブジェクト] 列に「N/A」と表示されます。
-
不審オブジェクトを自動的に抽出せずにOpenIOCファイルをアップロードした場合。
-
Apex CentralがOpenIOCファイルから不審オブジェクトを抽出できなかった場合。
-
-
アップロードしたOpenIOCファイルから不審オブジェクトを手動で抽出するには、次の手順を実行します。
- アップロードしたファイルのファイル名の横にあるチェックボックスをオンにします。
-
[抽出] をクリックします。
[抽出されたオブジェクト] 列に、OpenIOCファイルからユーザ指定の不審オブジェクトリストに抽出された不審オブジェクトの数が表示されます。
-
特定のファイルのコピーをダウンロードするには、[ファイル名] 列にあるリンクをクリックします。
-
ファイル抽出のステータスを追跡するには、[コマンド追跡] 画面を使用します。
詳細については、コマンド追跡を参照してください。
-
ユーザ指定の不審オブジェクトリストのフィルタ画面で抽出された不審オブジェクトを表示するには、[抽出されたオブジェクト] 列の数字をクリックします。
-
ファイルを削除するには、1つ以上のファイルのファイル名の横にあるチェックボックスをオンにし、[削除] をクリックします。
注:-
ファイルを削除しても、抽出された不審オブジェクトはユーザ指定の不審オブジェクトリストから削除されません。
-
Apex Centralでファイルから不審オブジェクトの抽出が完了するまでは、ファイルを削除できません。
-
-
-
アップロードしたOpenIOCファイルを診断条件として使用して脅威の今すぐ調べるには、次の手順を実行します。
重要:
脅威の調査には、有効なEndpoint Sensorライセンスが必要です。有効なEndpoint Sensorライセンスがあることを確認するか、サービスプロバイダに問い合わせてアクティベーションコードを入手してください。
Endpoint Sensorライセンスをアクティベートしたら、[ポリシー管理] 画面 ([ポリシー] > [ポリシー管理]) でApex OneセキュリティエージェントポリシーまたはApex One (Mac) ポリシーを作成して、Endpoint Sensor機能を有効にします。
詳細については、ポリシー設定画面のオンラインヘルプをご覧ください。
- アップロードしたファイルのファイル名の横にあるチェックボックスをオンにします。
-
次のいずれかの脅威の調査を実行します。
調査
説明
履歴調査
履歴調査は、サーバメタデータを使用して詳細な分析対象候補のエンドポイントを特定します。
[影響の分析] ボタンにマウスを重ねて [履歴調査] をクリックします。
注:履歴調査画面 ([レスポンス] > [履歴調査]) から履歴調査を実行することもできます。
詳細については、履歴調査に対するユーザ定義の条件の使用を参照してください。
履歴調査に使用されるサーバメタデータに関する具体的な情報については、Endpoint Sensorのメタデータを参照してください。
1回限りの調査
1回限りの調査はオンデマンドで生成されるライブ調査です。現在ディスクにあるすべてのファイルと現在メモリで実行されているすべてのプロセスを調査します。
[影響の分析] ボタンにマウスを重ねて [ライブ調査] > [手動] に移動します。
注:1回限りの調査は、ライブ調査画面 ([レスポンス] > [ライブ調査]) の [1回限りの調査] タブから実行することもできます。
詳細については、1回限りの調査を開始するを参照してください。
予約調査
予約調査は、指定の間隔で自動的に実行されるライブ調査です。
[影響の分析] ボタンにマウスを重ねて [ライブ調査] > [自動 (予約)] を選択します。
注:予約調査は、ライブ調査画面 ([レスポンス] > [ライブ調査]) の [予約調査] タブから実行することもできます。
詳細については、予約調査を参照してください。