仮想アナライザ

仮想アナライザは、不審ファイルとURLを分析するために設計されたクラウドサンドボックスです。サンドボックスイメージにより、ネットワークを危険にさらすことなく、ネットワーク上のエンドポイントをシミュレートする環境でファイルとURLの動作を監視できます。

注:

不審オブジェクトとは、送信されたサンプルで検出された、不正であることがわかっているか、その可能性があるIPアドレス、ドメイン、URL、SHA-1値、SHA-256値、または送信者アドレスです。トレンドマイクロのThreat Connectでは、トレンドマイクロ製品の利用環境で検出された不審オブジェクトの解析結果や、Trend Micro Smart Protection Networkなどに蓄積された情報から、脅威への対処に関する実行可能な情報と推奨事項を提供します。

親トピック: 高度な脅威対策ポリシーの追加

仮想アナライザを設定する

  1. [仮想アナライザ] を選択します。
  2. [仮想アナライザを有効にする] をオンにします。
  3. (オプション) [監視およびログのみ (監視モード)] チェックボックスをオンにして、仮想アナライザが監視モードで動作するように設定します。
    注:

    • このオプションは、Gmailでは使用できません。

    • 監視モードの仮想アナライザは、Cloud App Securityから送信される不審URL、メールメッセージ、およびファイルを分析しますが、設定された処理を適用することなく、それらをログに記録するだけでエンドユーザに配信します。この機能により、メール送受信やファイル共有に直接の影響を与えることなく、仮想アナライザの機能を検証することができます。

    • 仮想アナライザの監視モードを有効にすると、[処理] で有効にしたセキュリティリスク検出時のCloud App Securityから管理者への通知を除くすべての設定が適用されなくなります。

  4. [ルール] を設定します。
    オプション 説明

    次を分析

    仮想アナライザを適用するオブジェクトの種類を選択します。

    • ファイル

      注:

      このチェックボックスは初期設定でオンになっており、オフにすることはできません。

    • URL

      注:

      • このチェックボックスは、[Webレピュテーション] が有効な場合のみオンにできます。

      • [Webレピュテーション] が無効な場合、このチェックボックスは自動的にオフになります。

    適用

    (Exchange OnlineおよびGmailのみ) 仮想アナライザを適用するメールメッセージの範囲を選択します。

    • [すべてのメッセージ]: このポリシーが受信、送信、および内部メールメッセージに適用されることを意味します。受信/送信メールメッセージは、内部以外のドメインとの間で送信されます。

    • [受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    注:

    内部ドメインの詳細については、内部ドメインを設定するを参照してください。

    Exchange Online (インラインモード) では、受信保護については [受信メッセージ] に、送信保護については [送信メッセージ] にそれぞれ範囲が固定されています。受信メッセージは組織外から組織内のアドレスに送信されるメッセージで、送信メッセージは組織から外部のアドレスに送信されるメッセージです。

    (Exchange Onlineのみ) (オプション) [仮想アナライザの検索中はメールメッセージをエンドユーザのメールボックスで非表示にする] チェックボックスをオンにします。

    このオプションをオンにすると、現在のポリシーに一致するメールメッセージが、仮想アナライザによる検索時に対応するユーザのメールボックスで一時的に非表示になり、検索の完了後、設定された処理に基づいて表示されます。
  5. (Exchange OnlineおよびGmailのみ) [承認済み送信者リスト] を設定します。
    1. [承認済み送信者リストを有効にする] を選択します。
    2. 検索から除外する送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

    3. オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
  6. [承認済みファイルリスト] を設定し、仮想アナライザへの送信から除外するファイルを追加します。
    注:

    このリリースでは、このオプションはExchange Online、SharePoint Online、OneDrive、およびMicrosoft Teams (チーム) でのみ利用できます。

    1. [承認済みファイルリストを有効にする] を選択します。
    2. 検索から除外する完全なファイル名 (名前と拡張子) を指定し、[追加] をクリックします。

      Cloud App Securityでは、名前と拡張子の両方を含めた、指定したファイル名の完全一致を使用します。たとえば、仮想アナライザの送信対象からfile.txtという名前のファイルを除外する場合は、「file.txt」と入力します。「file」だけを指定しても、目的のファイルには一致しません。

      ファイル名の大文字と小文字は区別されません。

      最大1,024個のファイル名を指定できます。

      ファイル名は255文字以内で指定する必要があります。

      ワイルドカード文字と正規表現はサポートされません。

      ファイル名に次の文字を含めることはできません: / \ : * ? < > " |

    3. (オプション) [インポート] をクリックして、ファイル名を一括インポートします。
    4. (オプション) [エクスポート] をクリックして、指定したファイル名を.txtファイルとしてエクスポートします。
  7. [処理] を設定します。

    割り当てられたリスクレベルに基づいて処理を選択してください。仮想アナライザは、クラウドサンドボックスでのファイルの動作に基づいて分析したファイルにリスクレベルを割り当てます。

    注:

    は、[ルール][ファイル][URL] の両方がオンになっていて、

    • メールメッセージにURL (メッセージ本文内) と添付ファイルの両方が含まれる場合、または

    • ファイルにURLが含まれる場合、

    URLとファイルの両方の分析結果でより優先度の高い処理をメールメッセージまたはファイルに対して実行します。

    処理の優先度は高い順から、次のようになります。

    • Gmailの場合: [削除][メールにラベル付け][放置]

    • その他のサービスの場合: [削除][隔離][件名にタグを挿入][放置]

    • Exchange Online、Exchange Online (インラインモード) - 受信保護、Exchange Online (インラインモード) - 送信保護ポリシー

    オプション 説明

    件名にタグを挿入

    メールメッセージの件名の前にキーワードを追加して (リスクレベル: <件名>)、処理が実行されたことをユーザに知らせます。対象の受信者にはメールメッセージが配信されますが、このタグによって、元のメールにセキュリティリスクが存在することを受信者に通知します。

    削除

    メールメッセージ全体を削除します。

    隔離

    Cloud App Securityは、メールメッセージを専用の隔離場所に移動し、保護対象サービスへのセキュリティリスクを除きます。

    注:

    Exchange Onlineの場合、隔離場所はユーザのメールボックス内のフォルダです。Exchange Online (インラインモード) の場合、隔離場所はCloud App Securityのストレージ内となります。

    放置

    検出をログに記録して、メッセージは変更しません。

    迷惑メールフォルダに移動

    メールメッセージをユーザの迷惑メールフォルダに移動します。

    注:

    • この処理オプションは、添付ファイルが仮想アナライザに送信されて [未評価] と分類された、つまり送信したサンプルが何らかの理由で仮想アナライザによって分析されなかったメールメッセージにのみ使用できます。

    • この処理オプションは、Exchange Online (インラインモード) - 送信保護では使用できません。
    • SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブのポリシー
    オプション 説明

    削除

    ファイルを削除して、通知用のテキストファイルで置換します。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    放置

    検出をログに記録して、ファイルは変更しません。

    詳細設定オプション

    隔離または削除された場合に元のファイルのコンテンツを置き換えるテキストを指定します。
    • Teamsチャットのポリシー
    オプション 説明

    放置

    検出をログに記録して、メッセージは変更しません。

    ブロック

    Cloud App SecurityはMicrosoft Teamsを呼び出して、メッセージを送信者と受信者の両方に対して非表示にします。

    注:

    チャットメッセージ内のファイルがポリシーに違反している場合、そのファイルはプライベートチャットウィンドウ ([チャット] タブ) で非表示になりますが、送信者のOneDriveフォルダには格納されたままであり、[ファイル] タブには表示されます。
    • Gmailのポリシー
    オプション 説明

    メールにラベル付け

    メールボックス内のメールメッセージの先頭に [Risky (by Trend Micro)] というラベルを表示します。

    削除

    メールメッセージ全体を削除します。

    放置

    検出をログに記録して、メッセージは変更しません。

    隔離

    ファイルを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。
  8. [通知] を設定します。
    オプション 説明

    管理者に通知する

    セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    通知のしきい値により、送信するメッセージに制限が設定されます。しきい値には次のものがあります。

    • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

    • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

    • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    Exchange OnlineおよびGmail: セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    SharePoint Online、OneDrive、Microsoft Teams (チーム)、Box、Dropbox、およびGoogleドライブ: セキュリティリスクが検出され、ファイルに対して処理が実行されたことをファイルを更新したユーザに通知するメッセージの詳細を指定します。

    Teamsチャット: このオプションはありません。チャットメッセージがブロックされた場合、Microsoftによる「このメッセージはブロックされました」という通知が、送信者のプライベートチャットウィンドウに表示されます。メッセージの送信者は、[操作項目] をクリックすると、ブロックされたメッセージに関する詳細情報を表示できます。
    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  9. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。