不審オブジェクトの処理プロセスは、次の段階に分けることができます。
サンプルの送信
次の管理下の製品に組み込みの仮想アナライザが、送信されたサンプルを処理します。
-
Deep Discovery Inspector 3.8: 管理者が設定したファイル送信ルールに基づいて、仮想アナライザに送信するサンプルを決定します。
-
Deep Discovery Analyzer 5.1: 製品管理者がアップロードしたサンプル、または他のトレンドマイクロ製品から送信されたサンプルを受け取ります。
分析
管理下の製品の仮想アナライザは、送信されたサンプルを追跡および分析します。システムを危険にさらしたり、情報漏えいを引き起こす可能性があるオブジェクトが見つかると、不審オブジェクトと診断されます。サポートされるオブジェクトには、ファイル (SHA-1ハッシュ値)、IPアドレス、ドメイン、URLなどがあります。
配信
Control Managerが、不審オブジェクトとそのオブジェクトに対する検出時の処理をまとめ、他の製品に配信します。
|
3.1. 仮想アナライザで検出された不審オブジェクト 仮想アナライザを備えた管理下の製品からControl Managerに不審オブジェクトのリストが送信されます。 Control Managerでは、 の [オブジェクト] タブに不審オブジェクトが表示されます。 |
3.3. ユーザ指定の不審オブジェクト Control Managerの管理者は、 で、仮想アナライザの不審オブジェクトリストに含まれていないオブジェクトを不審オブジェクトとして追加できます。 |
|
3.2. 仮想アナライザで検出された不審オブジェクトの除外設定 Control Manager管理者は、仮想アナライザの不審オブジェクトリスト () から安全と考えられるオブジェクトを選択し、除外リストに追加できます。 除外リストは、[オブジェクト] タブの隣の [除外] タブに表示されます。 Control Managerから仮想アナライザを備えた管理下の製品に除外リストが送信されます。除外リストに含まれるオブジェクトは、管理下の製品で不審オブジェクトと診断されても、以降はControl Managerに送信されなくなります。 |
3.4. 不審オブジェクトの配信 Control Managerは、仮想アナライザで検出された不審オブジェクトとユーザ指定の不審オブジェクト (除外リストのオブジェクトを除く) を統合し、特定の管理下の製品に送信します。管理下の製品は、受け取ったオブジェクトのすべてまたは一部を同期して使用します。 サポートされる管理下の製品と必要な最小バージョンを次に示します。
|
|
3.5. 検出時の処理 エンドポイントに影響する不審オブジェクトに対する処理 (ログへの記録、ブロック、または隔離) を設定します。 ブロックと隔離は「能動的」な処理、ログへの記録は「受身的」な処理と見なされます。製品側で能動的な処理が実行された場合、Control Manager により影響を受けたエンドポイントが「軽減処理済み」と表示されます。受身的な処理が実行された場合は、「危険」と表示されます。 検出時の処理は、仮想アナライザの不審オブジェクトとユーザ指定の不審オブジェクトに対して別々に設定します。 これらの処理は、Control Managerから特定の管理下の製品に自動的に配信されます。 サポートされる管理下の製品と必要な最小バージョンを次に示します。
|
|
影響診断
影響診断は、不審オブジェクトに関連する疑わしいアクティビティがないかどうかエンドポイントを確認します。疑わしいアクティビティが見つかったエンドポイントは、高リスクのエンドポイントと見なされます。
不審オブジェクトに対して製品側で「受身的」な処理が実行されたエンドポイントも高リスクのエンドポイントと見なされます。
|
4.1. 影響診断 の仮想アナライザで検出された不審オブジェクトのリストの中から、影響診断を実行して高リスクのオブジェクトを特定します。 影響診断を実行するには、Deep Discovery Endpoint Sensorが必要です。必要な最小バージョンは1.5です。 この製品では、診断を実行するだけで、高リスクのエンドポイントに対する処理は実行されません。 |
4.3. 検出の照合 Control Managerは、すべての管理下の製品から受け取ったWebレピュテーション、URLフィルタ、ネットワークコンテンツ検査、およびルールベース検出のログも確認し、それらを不審オブジェクトのリストと照合します。特定のエンドポイントで一致するオブジェクトが見つかり、管理下の製品で「受身的」な処理 (ログへの記録、放置、警告して続行など) が実行されている場合、そのエンドポイントも危険性があると見なされます。 |
|
4.2. 「受身的」な検出時の処理 Control Managerで設定してウイルスバスター Corp.クライアントに配信した検出時の処理が「受身的」な処理 (ログへの記録) だった場合、影響を受けたエンドポイントは高リスクのエンドポイントと見なされます。 |
高リスクのエンドポイント 高リスクのエンドポイントの数を確認するには、 に移動し、[高リスクのエンドポイント] 列を参照します。 高リスクのエンドポイントの詳細な情報を確認するには、[オブジェクト] 列で、不審オブジェクトの名前の前にある矢印のアイコン (表示されている場合) をクリックします。画面が展開され、不審オブジェクトと高リスクのエンドポイントに関する詳細が表の形式で表示されます。 |
軽減
ウイルスバスター Corp.クライアントおよびその他の管理下の製品が、不審オブジェクトに対して「能動的」な検出時の処理を実行します。
|
5.1. Control Manager の検出時の処理 Control Managerからウイルスバスター Corp.クライアントに「能動的」な検出時の処理 (ブロックまたは隔離) を配信した場合、影響を受けたエンドポイントへの脅威は軽減処理済みと見なされます。 |
エンドポイントの隔離 高リスクのエンドポイントを隔離するという方法もあります。詳細な調査を実行するときは、この処理を実行します。 隔離できるのは、ウイルスバスター Corp.クライアントがインストールされたエンドポイントだけです。必要な最小バージョンは11 Service Pack 1です。クライアントのファイアウォールを有効にする必要があります。 詳細については、エンドポイントの隔離と接続の復元を参照してください。 |
|
5.2. 管理下の製品の検出時の処理 管理下の製品は、検出された脅威に対して製品独自の処理 (ブロック、削除、隔離、またはオーバーライドしてブロック) を実行できます。管理下の製品のログ (Webレピュテーション、URL フィルタ、ネットワークコンテンツ検査、およびルールベース検出) に含まれる不審オブジェクトがControl Managerのリストと一致した場合、脅威に対して診断が実施されます。不審オブジェクトに対して管理下の製品で「能動的」な処理が実行された場合、エンドポイントへの脅威はすべて軽減処理済みと見なされます。 注: 検出された脅威に対して管理下の製品で実行可能な処理の種類については、該当する製品の管理者ガイドを参照してください。
|
