仮想アナライザは、不審なファイルとURLを分析するために設計されたクラウドサンドボックスです。サンドボックスイメージにより、ネットワークを危険にさらすことなく、ネットワーク上のエンドポイントをシミュレートする環境でファイルとURLの動作を監視できます。
仮想アナライザはThreat Connectと連携して脅威についての情報提供を行います。Threat Connectは、脅威への対処に関する実行可能な情報と推奨事項を提供する、トレンドマイクロのグローバルインテリジェンスネットワークです。
Cloud Email and Collaboration Protectionは、ファイルまたはURLが不審な特性を示しており、シグネチャベースの検索技術では既知の脅威を見つけることができない場合に、添付ファイルやアップロードファイルなどの不審ファイルと、ファイルやメール本文に含まれる不審URLを仮想アナライザに送信します。仮想アナライザは、さまざまなランタイム環境で静的な分析および動作シミュレーションを実行して潜在的に不正な特徴を識別します。仮想アナライザは特徴の分析を行い、評価の累計に基づいてサンプルのリスクレベルを割り当てます。
注意不審オブジェクトとは、送信されたサンプルで検出された、不正であることがわかっているか、その可能性があるIPアドレス、ドメイン、URL、SHA-1値、SHA-256値、または送信者アドレスです。トレンドマイクロのThreat
Connectでは、トレンドマイクロ製品の利用環境で検出された不審オブジェクトの解析結果や、Trend Micro Smart Protection Networkなどに蓄積された情報から、脅威への対処に関する実行可能な情報と推奨事項を提供します。
|
仮想アナライザを設定する
手順
- [仮想アナライザ] を選択します。
- 仮想アナライザを有効にします。
- (オプション) [監視およびログのみ (監視モード)] チェックボックスをオンにして、仮想アナライザが監視モードで動作するように設定します。
注意
-
このオプションは、Gmailでは使用できません。
-
監視モードの仮想アナライザは、Cloud Email and Collaboration Protectionから送信される不審URL、メールメッセージ、およびファイルを分析しますが、設定された処理を適用することなく、それらをログに記録するだけでエンドユーザに配信します。この機能により、メール送受信やファイル共有に直接の影響を与えることなく、仮想アナライザの機能を検証することができます。
-
仮想アナライザの監視モードを有効にすると、[処理] で有効にしたセキュリティリスク検出時のCloud Email and Collaboration Protectionから管理者への通知を除くすべての設定が適用されなくなります。
-
- [ルール] を設定します。設定説明次を分析仮想アナライザを適用するオブジェクトの種類を選択します。
-
ファイル
注意
このチェックボックスは初期設定でオンになっており、オフにすることはできません。 -
URL
注意
-
このチェックボックスは、[Webレピュテーション] が有効な場合のみオンにできます。
-
[Webレピュテーション] が無効な場合、このチェックボックスは自動的にオフになります。
-
適用(Exchange OnlineおよびGmailのみ) 仮想アナライザを適用するメールメッセージの範囲を選択します。-
[すべてのメッセージ]: このポリシーが受信メールメッセージ、送信メールメッセージ、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。
-
[受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。
注意
内部ドメインの詳細については、内部ドメインリストを設定するを参照してください。Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織内から外部のアドレスに送信されるメッセージです。(Exchange Onlineのみ) (オプション) [仮想アナライザの検索中はメールメッセージをエンドユーザのメールボックスで非表示にする] チェックボックスをオンにします。初期設定のポリシーおよび新しく追加されたExchange Onlineのポリシーを含め、このオプションは初期設定でオフになっています。このオプションをオンにすると、現在のポリシーに一致するメールメッセージが、仮想アナライザによる検索時に対応するユーザのメールボックスで一時的に非表示になり、検索の完了後、設定された処理に基づいて表示されます。 -
- [承認済み/ブロックリスト] をクリックします。
- (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
- 承認済み送信者リストを有効にします。
- 仮想アナライザの検索から除外する送信メールアドレスまたはドメインを指定し、[追加 >]をクリックします。
注意
ワイルドカード文字 (*) を使用して、メールアドレスまたはドメイン名に含まれる任意の文字を表すことができます。例: *@example.com、name@*.com、*@*.example.com次の形式は無効です。*@*、* - オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
- [承認済みファイルリスト] を設定し、仮想アナライザへの送信から除外するファイルを追加します。
注意
本リリースでは、このオプションはMicrosoft Teams (チャット) では使用できません。- 承認済みファイルリストを有効にします。
- 検索から除外するファイル名を指定し、[追加>] をクリックします。
注意
ワイルドカード文字 (*) を使用して、ファイル名に含まれる任意の文字を表すことができます。例: *.exe、 file*.exe、 file*次の形式は無効です: *.*、*ファイル名の大文字と小文字は区別されません。上限は255文字で、次の文字を含めることはできません。/ \ : ? < > " |最大1,024個のファイル名を指定できます。 - (オプション) [インポート] をクリックして、ファイル名を一括インポートします。
- (オプション) [エクスポート] をクリックして、指定したファイル名を
.txt
ファイルとしてエクスポートします。
- [処理と通知] をクリックします。
- [処理] を設定します。仮想アナライザは、仮想サンドボックスでのファイルの動作に基づいて分析したファイルにリスクレベルを割り当てます。割り当てられたリスクレベルに基づいて処理を選択してください。処理の詳細については、サービスごとに実行可能な処理を参照してください。
注意
[ルール] で [ファイル] と [URL] の両方がオンになっていて、-
メールメッセージにURL (メッセージ本文内) と添付ファイルの両方が含まれる場合、または
-
ファイルにURLが含まれる場合、
Cloud Email and Collaboration Protectionは、URLとファイルの両方の分析結果でより優先度の高い処理をメールメッセージまたはファイルに対して実行します。処理の優先度は高い順から、次のようになります。-
Gmailの場合: [削除]、[メールにラベル付け]、[放置]
-
その他のサービスの場合: [削除]、[隔離]、[件名にタグを挿入]、[放置]
-
- [通知] を設定します。
オプション 説明 管理者に通知する-
受信者グループを選択するか受信者を個別に指定して、通知する管理者を指定します。[受信者グループを管理する] をクリックして、グループのメンバーを編集したり、グループをさらに追加したりできます。
-
セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。
-
通知のしきい値を設定し、送信する通知メッセージの数を制限します。しきい値の設定には次のものがあります。
-
一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。
-
一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。
-
個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。
-
ユーザに通知するExchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。注意
通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークンリストを参照してください。 -
- [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。