ビュー:
注:

ICAPの統合が有効な場合、Deep Discovery Analyzerは自動的に仮想アナライザのスループットを調節して、システムリソースの消費を抑えます。

  1. [管理] > [統合製品/サービス] > [ICAP] の順に選択します。
  2. [ICAPを有効にする] を選択します。
  3. [ICAPポート番号] を入力します。

    初期設定値は1344です。

  4. 安全な接続でICAPクライアントに接続するには、[SSL経由のICAPを有効にする] を選択して、次の情報を指定します。

    • ICAPSポート番号: 初期設定値は11344です

    • 証明書: 証明書にはbase64エンコーディングを使用する必要があります

    • 秘密鍵: 秘密鍵にはbase64エンコーディングを使用する必要があります

      重要:

      暗号化された秘密鍵のみがサポートされます。

    • パスフレーズ

    • パスフレーズの確認入力

  5. (オプション) [ヘッダ設定] セクションで、Deep Discovery AnalyzerでのICAPヘッダの処理方法を指定します。
    1. [Deep Discovery AnalyzerからのICAPヘッダ] で、Deep Discovery AnalyzerからICAPクライアントに送信するICAPヘッダを選択します。

      詳細については、ICAPヘッダの応答を参照してください。

    2. [ICAPクライアントからのICAPヘッダ] で、Deep Discovery AnalyzerがICAPクライアントからヘッダを受信したときに保存するICAPヘッダを選択します。
  6. (オプション) [検索設定] で、次のオプションを1つ以上選択します。

    • RESPMODモードでのURL検索のバイパス

    • YARAルールを使用したサンプルの検索

    • 選択された不審オブジェクトリストを使用したサンプルの検索

      注:

      • 生成された不審オブジェクトリスト内の不審オブジェクトはDeep Discovery Analyzerの内部仮想アナライザによって追加されたものであるのに対し、同期された不審オブジェクトリスト内の不審オブジェクトはTrend Vision OneまたはDeep Discovery Directorから取得されたものです。

      • [同期された不審オブジェクトリスト] を選択した場合は、Deep Discovery AnalyzerをTrend Vision Oneと統合するか、Deep Discovery Directorからの不審オブジェクトの同期を有効にする必要もあります。

        詳細については、Deep Discovery AnalyzerをTrend Vision Oneと統合するを参照してください。

    • ユーザ指定の不審オブジェクトリストを使用したサンプルの検索

    • 機械学習型検索エンジンを使用したサンプルの検索

    • パスワード保護されたサンプルの分類

  7. (オプション) [コンテンツ設定] で次の操作を実行します。
    1. [MIMEコンテントタイプの除外を有効にする] を選択し、選択または指定したMIMEコンテントタイプに基づいて検索からファイルを除外します。
    2. 送信されたサンプルの実際のファイルタイプをDeep Discovery Analyzerで検証するには、[MIMEコンテントタイプの検証を有効にする] を選択します。
      注:

      • [MIMEコンテントタイプの検証を有効にする] の設定は、[MIMEコンテントタイプの除外を有効にする] を選択した場合にのみ適用されます。

      • このオプションを選択しても、Deep Discovery Analyzer では次のいずれかでサンプルのICAP事前検索が引き続き実行されます。

        • HTTP圧縮

        • ICAPプレビューモードでの一部のMIMEコンテントタイプ

        • カスタムMIMEコンテントタイプ

        • 事前定義された一部のMIMEコンテントタイプ

        サポートされていないファイルタイプのサンプルは、ICAP事前検索の実行後、検索のために仮想アナライザに送信されることはありません。

  8. (オプション) [ユーザ通知ページ][次のイベントに対してICAPクライアントがネットワークトラフィックをブロックする場合はユーザ通知ページを使用する] を選択し、ページコンテンツを含むファイルを指定します。
    注:

    この設定により、特定のイベントに対してICAPクライアントがネットワークトラフィックをブロックする場合は常に、Deep Discovery Analyzerでカスタムページを表示できるようになります。ただし、ICAPクライアントがこの設定を上書きする場合があります。設定が有効でもカスタムページが表示されない場合は、ICAPクライアントの設定と競合していないか確認してください。

    Deep Discovery Analyzerでは、次のイベントに対するカスタムページがサポートされます。

    • URLアクセス

    • ファイルのアップロード

    • ファイルのダウンロード

    注:

    任意のテキストエディタを使用してページを作成し、プレーンテキストとして保存します。書式設定にはHTMLタグを使用できます。ファイルは5MB未満となるようにしてください。

  9. (オプション) [ICAPクライアントリスト] で次の操作を実行します。
    1. 許可する [最大接続数] を指定します。

      初期設定値は1000です。

    2. [次のICAPクライアントからのみ検索要求を受け入れる] を選択し、送信を特定のクライアントのみに限定します。

      • 新しいIPアドレスまたはIPアドレス範囲を追加するには、[追加] をクリックします。

      • 既存のエントリを削除するには、エントリを選択して [削除] をクリックします。

      注:

      初期設定では、すべてのICAPクライアントがDeep Discovery Analyzerにサンプルを送信できます。

  10. [保存] をクリックします。
  11. ICAPの統合がDeep Discovery Analyzerで正しく機能していることを確認します。

    リスク高のサンプルの場合:

    • Deep Discovery AnalyzerはICAPクライアントに「HTTP 403 Forbidden」メッセージを返します。

    • [ユーザ通知ページ] 設定が有効な場合、Deep Discovery Analyzerはアップロードされたページをメッセージの一部に含めます。

    • X-Virus-IDヘッダとX-Infection-Found ICAPヘッダが有効な場合、Deep Discovery Analyzerはこれらのヘッダをメッセージ内に含めます。

    リスクのないサンプルの場合:

    • Deep Discovery AnalyzerはICAPクライアントから受信した元のメッセージを返します。

    • ICAPクライアントがICAPの「204 No Content」をサポートしている場合は、元のメッセージを含めずに「204 No Content」応答を返します。

親トピック: [ICAP] タブ