隔離

Deep Discovery Email Inspectorは、特定のポリシー条件に一致する不審メールメッセージを隔離します。メールメッセージの詳細を確認してから、メールメッセージを削除するか、隔離解除して本来の受信者に配信するか、または処理を再開するかを決定してください。

実行する処理を決定する前に、隔離されたメールメッセージのクエリを実行します。

次のいずれかの処理を実行します。

  • 隔離されたメッセージをさまざまな条件に基づいて検索する

  • 不正な添付ファイルとURLについて詳しい情報を取得する

  • 隔離されたメッセージを解除する

  • 隔離されたメッセージを削除する

  • スパムメール検出、コンテンツ違反、または情報漏えい対策イベントにより隔離されたメッセージの処理を再開する

  • メッセージ内のパスワード保護されたファイルをロック解除して脅威検索を実行する

隔離されたメッセージを表示する

  1. [検出] > [隔離] の順に選択します。
  2. 検索条件を指定します。

    隔離の検索フィルタを参照してください。

  3. <Enter> キーを押します。

    検索条件に合致するメールメッセージがすべて表示されます。

  4. 結果を表示します。

    ヘッダ

    説明

    メールメッセージを調べて、潜在的な脅威についてさらに詳しい情報を取得します。

    詳細については、隔離されたメールメッセージを調査するを参照してください。

    検出

    不審メールメッセージが最初にDeep Discovery Email Inspectorで検出され隔離された日時を表示します。

    注:

    Deep Discovery Email Inspectorでメールメッセージを受信してから、そのメールメッセージが [隔離] 画面に表示されるまでには多少の時間差があります。

    リスクレベル

    不審メールメッセージに示される潜在的な危険のレベルを表示します。詳細については、検出されたリスクを参照してください。

    受信者

    検出されたメッセージの受信者メールアドレスを表示します。

    メールヘッダ (To)

    メールヘッダのプライマリ受信者のメールアドレスを表示します。

    送信者

    検出されたメッセージの送信者メールアドレスを表示します。

    メールヘッダ (From)

    メールヘッダの作成者のメールアドレスを表示します。

    メールの件名

    不審メールメッセージの件名を表示します。

    不正なリンクが埋め込まれたメールメッセージの件数を表示します。

    ポリシールールにより検出された添付ファイルの数を表示します。

    脅威

    検出された脅威の名前と分類を表示します。詳細については、脅威の種類の分類を参照してください。

    隔離の理由

    メールメッセージの隔離の理由を表示します。

    詳細については、隔離の判定理由を参照してください。

隔離の検索フィルタ

次の表は、隔離されたメールメッセージにクエリを実行するための基本的な検索フィルタについて説明しています。詳細フィルタを適用するには、詳細フィルタを適用するを参照してください。

隔離を表示するには、[検出] > [隔離] の順に選択します。

注:

検索フィルタでは、ワイルドカードを使用できません。Deep Discovery Email Inspectorではファジィ論理を使用して検索条件をメールメッセージデータに照会します。

フィルタ

説明

脅威の種類

[すべて] または脅威の種類をリストから選択します。

詳細については、脅威の種類の分類を参照してください。

リスクレベル

[すべて] またはメールメッセージのリスクレベルを選択します。

隔離の理由

[すべて] または隔離の理由を選択します。

期間

事前に定義した時間範囲を選択するか、カスタム範囲を指定します。

詳細フィルタを適用する

基本的なフィルタに加え、詳細フィルタを適用して不審メッセージのクエリを実行できます。

  1. [詳細フィルタの表示] をクリックします。
  2. フィルタする情報を指定します。

    フィルタ

    説明

    送信者

    送信者のメールアドレスを指定します。

    メールヘッダ (To)

    メールヘッダのプライマリ受信者のメールアドレスを指定します。

    メッセージID

    一意のメッセージIDを指定します。

    例: 20160603021433.F0304120A7A@example.com

    件名

    メールメッセージの件名を指定します。

    方向

    メッセージの方向を指定します。

    ルール

    ルール名を指定します。

    メールヘッダ (From)

    メールヘッダの作成者のメールアドレスを指定します。

    URL

    URLを指定します。

    送信元IP

    メールの送信者に最も近いMTAのIPアドレスを指定します。送信元IPは、攻撃元、感染MTA、またはメールリレー機能を持つボットネットのIPアドレスです。

    感染MTAは通常、攻撃者が使用するサードパーティのオープンメールリレーで、不正なメールメッセージやスパムメールを検出せずに送信します。

    注:

    [送信元IPアドレス] 検索フィルタには、文字列の完全一致が必要です。Deep Discovery Email Inspectorでは、送信元IPアドレスの検索結果の一致にファジィ論理を使用しません。

    ファイル名

    添付ファイルの名前を指定します。

    データ識別子

    データ識別子名を指定します。

    YARAルール名

    YARAルールの名前を指定します。

    受信者

    受信者のメールアドレスを指定します。アドレスは1つのみ指定できます。

    脅威の名前

    トレンドマイクロから提供される脅威名を指定します。ダッシュボードウィジェットと [検出数] タブには脅威名に関する情報が表示されます。

    脅威の検出機能の詳細については、検索と分析を参照してください。

    送信者IPアドレス

    送信者のIPアドレスを指定します。

    Deep Discovery Email InspectorをネットワークのエッジMTAとして配置する場合、送信者のIPアドレスは、そのネットワークに最も近い外部MTAのパブリックIPアドレスとなります。

    Deep Discovery Email InspectorをネットワークのエッジMTAとして配置しない場合、送信者のIPアドレスは、エッジMTAリレーサーバに最も近いMTAのIPアドレスとなります。

    注:

    [送信者IPアドレス] 検索フィルタには、文字列の完全一致が必要です。Deep Discovery Email Inspectorでは、送信者IPアドレスの検索結果の一致にファジィ論理を使用しません。

    ポリシー

    ポリシー名を指定します。

    情報漏えい対策テンプレート

    情報漏えい対策テンプレート名を指定します。

    YARAルールファイル名

    YARAルールファイルの名前を指定します。

    パスワード保護された添付ファイル

    パスワードで保護されたファイルを含むメールメッセージを選択します。

    手動によるメールの送信

    分析のために管理者によってDeep Discovery Email Inspectorに手動で送信されるメールメッセージを選択します。

    詳細については、メールのサブミットを参照してください。

  3. [検索] をクリックします。

隔離の判定理由

次の表は、[隔離] 画面に表示される隔離の判定理由の詳細を示しています。

表 1.

隔離の判定理由

詳細

コンテンツ違反

内容がコンテンツフィルタルールに一致するメッセージ。

情報漏えい対策イベント

情報漏えい対策ポリシー違反が1つ以上あるメッセージ。

不正な形式

開いて処理できないメッセージ。

スパム検出

スパムメール/グレーメールとして検出されたメッセージ。

脅威の検出

不正プログラムを含むことが検出されたメッセージ。

検索不能

検索できないメッセージ。

暗号化失敗

暗号化できないメッセージ。

復号失敗

復号できないメッセージ。

仮想アナライザのエラー

処理のタイムアウトなど、仮想アナライザの予期しないエラーにより分析されなかったメッセージ。

仮想アナライザのタイムアウト

仮想アナライザの処理のタイムアウトにより分析されなかったメッセージ。

隔離されたメールメッセージを調査する

  1. メールメッセージを検索します。

    隔離されたメッセージを表示するを参照してください。

  2. 表内のメールメッセージの横にある矢印をクリックします。

    表の行が展開されて詳細が表示されます。

  3. メールメッセージの詳細を確認します。

    隔離されたメッセージの詳細を参照してください。

  4. 隔離されたメッセージに対して処理を実行します。
    • メッセージを隔離したままにします。

      注:

      隔離されたメッセージは [ストレージの管理] 画面で指定した設定に基づいて削除されます。

      詳細については、ストレージ管理を設定するを参照してください。

    • 隔離からメールメッセージを削除するには、[削除] をクリックします。

    • メールメッセージを配信するには、[隔離解除] をクリックします。

    • 前回の検索チェックポイントからメッセージの検索を続行するようにDeep Discovery Email Inspectorを設定するには、 [プロセスの再開] をクリックします。

      注:

      Deep Discovery Email Inspectorでは、スパムメール検出、コンテンツ違反、または情報漏えい対策イベントにより隔離されたメッセージの処理のみを継続できます。

    • [ファイルパスワード] 画面に指定されたパスワードとエントリを使用して検索不可能メッセージ内のパスワード保護されたファイルを開き、メッセージに脅威検索を実行するには、 [ロック解除して再処理] をクリックします。

隔離されたメッセージの詳細

次の表は、検索結果の展開後に表示できるメールメッセージの詳細を示しています。表示されるフィールドは、検出される脅威の種類に応じて異なります。

フィールド

説明

Threat Connectで表示

[Threat Connectで表示] をクリックすると、環境内で検出された不審オブジェクトやTrend Micro Smart Protection Networkの脅威データに関する情報を取得して、関連のある実行可能なインテリジェンスを確認できます。

仮想アナライザのレポートの表示

分析レポートをHTMLまたはPDF形式で表示するには、[仮想アナライザのレポートの表示] をクリックします。

スクリーンショットの表示

メールメッセージを画像として安全に表示するには、[スクリーンショットの表示] をクリックします。

ダウンロード

さらに詳しく調査するために情報をダウンロードするには、ドロップダウンリストからオプションを選択します。

概要

メールメッセージのメッセージID、受信者、前回の検出時刻、送信者と送信元のIPアドレス、および方向を表示して、メッセージの送信元やその他のトラッキング情報を確認します。

注:

送信者と送信元のIPアドレスで、[不明] は検出されたメッセージの発生元が不明である (位置情報とIPアドレス情報の両方が利用できない) ことを意味し、[データがありません] は位置情報が利用できないことを意味します。

メールメッセージが違反したポリシールールについての情報を取得します。

メッセージ

検索エンジン名と、スパムメールまたはグレーメールとして検出されたメールメッセージのカテゴリを表示します。

添付ファイル

メールメッセージに添付されたファイルについて情報を取得します。この情報にはファイル名、パスワード、ファイルタイプ、リスクレベル、SHA-1およびSHA-256ハッシュ値、脅威を特定した検索エンジン、および検出された脅威の名前などがあります。

YARA検出

関連付けられたYARAルールファイル内の一致するYARAルールに基づいて検出されたファイルについて情報を取得します。

リンク

メールメッセージに埋め込まれた不審URLについて情報を取得します。この情報にはURL、サイトのカテゴリ、リスクレベル、抽出元、脅威を特定した検索エンジン、および検出された脅威の名前などがあります。

内容のキーワード/パターンの一致

メールメッセージ内の一致した内容のキーワードまたはパターンについて情報を取得します。

情報漏えい対策イベント

メールメッセージ内の一致したデータ識別子と情報漏えい対策テンプレートについて情報を取得します。

メールヘッダ

メールメッセージのヘッダの内容を表示します。