クラウド仮想アナライザを設定して不審オブジェクトを適用する

このセクションでは、例を挙げて、不審オブジェクトの分析のためにサンプルをクラウド仮想アナライザに送信するよう設定する方法とクラウド仮想アナライザおよびApex Centralから取得した不審オブジェクトをTMWSaaSでの脅威検索に利用する方法を説明します。

  1. 管理者による設定では、[脅威対策][クラウド仮想アナライザ][不審オブジェクトの処理] を有効にし、それを [クラウドアクセスルール] に適用します。
    1. [ポリシー] > [セキュリティテンプレート] > [脅威対策] に移動し、必要に応じて新しい脅威対策テンプレートを作成するか既存の脅威対策テンプレート (例: Threat Protection Template 1) を編集します。
    2. [高度な脅威検索] セクションでクラウド仮想アナライザを有効にします。
    3. [不審オブジェクトの処理] を有効にし、不審オブジェクトの種類に応じた検出時の処理を設定して、[保存] をクリックします。詳細については、脅威対策テンプレートを設定するを参照してください。

      この処理は、クラウド仮想アナライザによって生成されたかApex Centralから同期された有効な不審オブジェクトそれぞれに適用されます。

    4. [ポリシー] > [クラウドアクセスルール] に移動し、必要に応じて新しいクラウドアクセスルールを作成するか既存のクラウドアクセスルール (例: Cloud Access Rule 1) を編集します。
    5. クラウドアクセスルールを有効にし、[処理] セクションおよび [セキュリティテンプレート] セクションで前の手順で設定した「Threat Protection Template 1」を選択し、[保存] をクリックします。詳細については、クラウドアクセスルールを設定するを参照してください。
    6. [ポリシー] > [不審オブジェクト] の順に選択し、使用する不審オブジェクトを、必要に応じて有効化または無効化することで選択します。
  2. TMWSaaSがサンプルファイルをクラウド仮想アナライザに送信します。これにより、分析後に不審オブジェクトが生成されます。
    1. 「Cloud Access Rule 1」に一致するユーザAが、「Threat Protection Template 1」の条件に一致するファイルをアップロード、オープン、またはダウンロードします。
    2. ファイルがサンプルとしてクラウド仮想アナライザに送信され、分析されます。
    3. このファイルから生成した不審オブジェクトを含むブロックリストがクラウド仮想アナライザで生成され、TMWSaaSに送信されます。これにより、生成した不審オブジェクトが [不審オブジェクト] 画面に表示されます。
  3. Apex Centralは、スケジュールされた時間間隔で自動的に、最新の不審オブジェクトをTMWSaaSと同期します。
  4. TMWSaaSは、不審オブジェクトを含むリクエストされたWebトラフィックへのアクセスを自動的に検出し、このWebアクティビティをブロックまたは監視します。
    1. ユーザBが、[不審オブジェクト] 画面に表示され、有効化されている不審オブジェクトを含むWebトラフィックにアクセスするためにHTTP/HTTPSリクエストを送信します。
    2. ユーザBは、[不審オブジェクトの処理] が設定されている脅威対策テンプレートを使用する有効なクラウドアクセスルールに一致しています。
    3. TMWSaaSは、適用されている脅威対策テンプレートに設定された処理に従って、このWebアクティビティをブロックまたは監視します。
親トピック: 不審オブジェクト