ソリューション ガイド McAfee Cloud Threat Detection 1.0.0 McAfee ePolicy Orchestrator Cloud 用 著作権 © 2016 Intel Corporation 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 目次 1 5 ソリューションの概要 主な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 ファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2 サポートされる McAfee 製品バージョン . . . . . . . . . . . . . . . . . . . . . . . . . . 7 McAfee CTD の有効化とアカウントの管理 9 McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする . . . . . . . . . . . . . . 9 3 既存のアカウントで McAfee CTD を有効にする . . . . . . . . . . . . . . . . . . . . . . . 10 McAfee CTD ライセンス使用状況に関する情報の表示 . . . . . . . . . . . . . . . . . . . . . 10 McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合 11 McAfee CTD を McAfee Web Gateway で有効にする . . . . . . . . . . . . . . . . . . . . . 11 McAfee Web Gateway のファイル送信条件に関するルールを有効にする . . . . . . . . . . . . . . 12 McAfee CTD を McAfee Web Gateway Cloud Service で有効にする . . . . . . . . . . . . . . . 13 不審なファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 McAfee Network Security Manager との統合 13 15 McAfee CTD を McAfee Network Security Manager で有効にする . . . . . . . . . . . . . . . 15 高度なマルウェア ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 不審なファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 マルウェア統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 統合の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 5 21 クラウドの脅威ワークスペース ダッシュボードでの作業 マルウェア分析レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 送信済みファイルの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 全体的なファイル ステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 A 時間セレクタ フィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 分析サービス ステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 トラブルシューティング 25 索引 27 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 3 目次 4 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 1 ソリューションの概要 ® ® ® McAfee Cloud Threat Detection (McAfee CTD) ソリューションは、クラウド ベース環境の McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) ソフトウェアにより、既存のセキュリティ インフラにサンドボック ス機能を追加します。 ® ® ® ™ ® ® McAfee Web Gateway や McAfee Network Security Manager アプライアンス、McAfee Web Gateway Cloud Service (McAfee WGCS) などの McAfee セキュリティ製品と共に使用できるよう McAfee CTD を設定で きます。 ® これらの製品は、エンドポイントやネットワーク、Web で検出される可能性がある不審なファイルを自動的に分析 できます。その後、McAfee CTD は、詳細レポートを提供します。送信するファイルを選択するために、統合製品か ら統合ポリシーを設定できます。 目次 主な機能 仕組み ファイルの分析方法 サポートされる McAfee 製品バージョン 主な機能 McAfee CTD では、以下の機能を備えたクラウドベースの高度なマルウェア分析が可能です。 機能タイプ 説明 高度なマルウェア検出 不明ファイルを自動的に分析し、早期に脅威を検出します。ファイルは静的 (機能) およ び動的 (振る舞い) 分析の対象になります。STIX 1.1 および可読形式で詳細レポートを 出力します。 サンドボックス クラウドベースのサンドボックス サーバーでファイルを実行し、ファイルの振る舞いを テストします。 クラウドベースの配備 McAfee ePO Cloud に配備し、エンドポイントと統合製品を保護します。 McAfee Network ネットワークに侵入し、センサーによってインターセプトされた不審なファイルを、 Security Manager の統 McAfee Network Security Manager から送信できます。 合 McAfee Web Gateway および McAfee Web Gateway Cloud Service の統合 Web サーバーにインストールされた McAfee Web Gateway のオンプレミス バージョ ンおよびクラウド バージョンから、不審なファイルを送信できます。 ファイル送信の条件 統合セキュリティ製品から、統一されたポリシーを定義できます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 5 1 ソリューションの概要 仕組み 機能タイプ 説明 レポート 以下によってレポートを提供します • [脅威の検出ワークスペース] ダッシュボード — ファイル ステータスの追跡、テナン ト使用の測定、および分散ファイル分析の正常性に関する情報を提供します。 • Indicators of Compromise (IOC) レポート — ただちに使用できるように、機械可 読 STIX 1.1 形式で詳細な分析レポートを提供します。 McAfee Global Threat 結果を McAfee GTI で公開し、使用している McAfee 保護対象デバイスをすべて保護し Intelligence (McAfee ます。 GTI) ® ™ 仕組み McAfee CTD ソリューションは、McAfee ePO Cloud による集中管理クラウドベース配備が可能です。 既存のネットワーク、マルウェア対策検出、保護、修正ツールを McAfee CTD と統合することによって、セキュリ ティ インフラストラクチャを拡大します。 アーキテクチャ この図はソリューションのハイレベルのアーキテクチャを表しており、これは既存のセキュリティ インフラストラク チャに配備されています。 ワークフロー 6 1 管理者は McAfee ePO Cloud ポータルにログオンします。 2 管理者は、McAfee ePO Cloud インターフェースを介して McAfee CTD に登録します。 3 McAfee Web Gateway, McAfee Network Security Manager および McAfee Web Gateway Cloud Service などの McAfee セキュリティ製品は、McAfee CTD と連携するよう統合されます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド ソリューションの概要 ファイルの分析方法 1 4 McAfee 製品のローカル分析と意思決定の設定によって、分析用のファイルが選択され、スキャンのために McAfee ePO Cloud に送信されます。McAfee ePO Cloud では、あらゆるマルウェアに対して McAfee CTD 管 理サービスを使用してファイルを分析します。悪意のあるコンテンツが見つかると、アラートが送信されます。 5 McAfee ePO Cloud ポータルの [クラウドの脅威ワークスペース] ダッシュボードには、送信されたファイルの ステータス、統合された製品の使用方法、分析サービスのステータス、脅威分析の結果などの情報が表示されま す。 ファイルの分析方法 統合セキュリティ製品が高度な分析を必要とするファイルを選択し、それを McAfee CTD に送信すると、そこでフ ァイルに関する詳細な分析が実行され、適切な結果と IOC レポートが生成されます。 1 McAfee Web Gateway や McAfee Network Security Manager などの McAfee セキュリティ製品が、不審な ファイルを McAfee CTD に送信します。 2 ファイルに関する情報がすでに McAfee GTI にある場合は、その結果と IOC レポートがセキュリティ製品に返 送されます。 3 ファイルに関する情報が不明な場合は、McAfee CTD で静的分析によってファイルの詳細が抽出されます。 4 サンドボックス環境でファイルを実行します。アクションはすべて記録、確認、および評価されます。 5 McAfee CTD はビッグ データとマシン ラーニング テクノロジーによる分析を使用し、その動作を既知のマルウ ェアの振る舞いと比較します。 6 その結果に基づき、今後のインスタンスに対応するよう McAfee のセキュリティ製品ポリシーに反映されます。 IOC レポートがユーザーに対して生成されます。McAfee GTI データベースは最新の検出 IOC を反映して更新 されます。 サポートされる McAfee 製品バージョン 以下の製品が McAfee ePO Cloud を介して McAfee CTD と統合されると、McAfee CTD はこれらの McAfee 製品 から送信されるファイルを分析できます。 製品 バージョン McAfee Network Security Manager 8.3.7.44 以降 McAfee Network Security Sensor (NS シリーズ) 8.3.5.22 以降 McAfee Web Gateway 7.7.0 以降 McAfee Web Gateway Cloud Service McAfee ePO Cloud で使用可能な最新バージョン ® 詳細については、各製品のマニュアルを参照してください。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 7 1 ソリューションの概要 サポートされる McAfee 製品バージョン 8 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 2 McAfee CTD の有効化とアカウントの管理 McAfee ePO Cloud に対するアクセス権を取得し、McAfee CTD を有効にしてから McAfee 製品と統合します。 McAfee 製品と McAfee CTD 機能を併用するには、以下のアクションを実行します。 1 McAfee CTD を McAfee ePO Cloud で有効にします。 2 McAfee CTD を McAfee セキュリティ製品インターフェースで有効にして、プロビジョニング キーを取得しま す。 3 プロビジョニング キーを使用して、McAfee ePO Cloud インターフェースでアクティベーション キーを生成し ます。 4 アクティベーション キーを使用して、McAfee セキュリティ製品をアクティブ化します。 プロビジョニング キーの取得と製品のアクティブ化に関する詳細な手順はさまざまです。McAfee CTD をご使用の McAfee 製品と統合する方法について詳しくは、後述のセクションを参照してください。 統合済みの製品が分析を行うためにファイルを McAfee CTD に送信し始めると、McAfee ePO Cloud の [契約情報] ページで使用情報を確認できます。 目次 McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする 既存のアカウントで McAfee CTD を有効にする McAfee CTD ライセンス使用状況に関する情報の表示 McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする McAfee ePO Cloud にサインアップし、McAfee CTD を有効にします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、[今すぐサインアップ] をクリッ クします。 2 製品として、[McAfee Cloud Threat Detection] を選択します。 3 フォームに詳細情報を入力して完成させます。 4 [I accept License Agreement and Privacy Notice] (使用許諾条件とプライバシー通知に同意します) を選択 し、[送信] をクリックします。 [使用許諾条件] と [プライバシー通知] のリンクをクリックし、文書全体を読みます。 5 アクティベーション メールを受信してから、メールに記載されている指示に従って McAfee ePO Cloud アカウ ントをアクティブ化します。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 9 2 McAfee CTD の有効化とアカウントの管理 既存のアカウントで McAfee CTD を有効にする 既存のアカウントで McAfee CTD を有効にする McAfee ePO Cloud ポータルにログオンし、ご使用のアカウントで McAfee CTD を有効にします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、電子メール アドレスとパスワー ドを入力し、[ログオン] をクリックします。 2 [メニュー] で [マイ アカウント] をクリックします。 3 [契約情報] をクリックします。 4 [注文/トライアルの作成] から、[McAfee Cloud Threat Detection] の [トライアルの作成] または [今すぐ購 入] をクリックします。 5 画面の指示に従います。 McAfee CTD ライセンス使用状況に関する情報の表示 1 日に McAfee CTD に送信されたファイル数、およびライセンス契約に基づいてその日に送信できる残りファイル 数がわかります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 10 1 McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、電子メール アドレスとパスワー ドを入力し、[ログオン] をクリックします。 2 [メニュー] から [マイ アカウント] をクリックし、[契約情報] をクリックします。 3 [利用状況の概要] で、次の詳細を表示します。 オプション 定義 [サービス コード] McAfee CTD のサービス コードを表示します ([クラウドの脅威の検出])。 [購入済みのライセンス] 1 日に McAfee CTD に送信できる最大ファイル数。 [使用済みのライセンス] 結果が最終更新された日に McAfee CTD に送信されたファイル数。 [最終更新日] 使用状況に関する情報が最後に更新された日付。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 3 McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合 McAfee Web Gateway のオンプレミス バージョンとクラウド バージョンの両方を有効にすると、不審なファイル を McAfee ePO Cloud に送信し、スキャンすることができます。 McAfee CTD では、受信ファイルをスキャンします。悪意のあるコンテンツが検出されると、McAfee Web Gateway のバージョンに設定した方法に応じて、その後のアクションが実行されます。 ® McAfee Web Gateway は McAfee Web Protection という統合ソリューションの一部です。このソリューション は、ユーザーがローカル ネットワークの内外から Web にアクセスしたときに発生する脅威を阻止します。統合ソリ ューションとして McAfee Web Protection を使用すると、オンプレミス ユーザーとクラウド ユーザーの両方に同 じセキュリティ ポリシーを強制して Web へのアクセスを保護できます。 目次 McAfee CTD を McAfee Web Gateway で有効にする McAfee Web Gateway のファイル送信条件に関するルールを有効にする McAfee CTD を McAfee Web Gateway Cloud Service で有効にする 不審なファイルの分析方法 McAfee CTD を McAfee Web Gateway で有効にする McAfee Web Gateway のオンプレミス版でのみ、またはオンプレミスとクラウド配備のハイブリッド環境で使用で きるよう McAfee CTD を有効にします。 開始する前に McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD を有効にする』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee Web Gateway コンソールにログオンし、[設定] 、 [アプライアンス] を選択します。 2 アプライアンス ツリーで、[クラスター] を展開して [Tenant Info] (テナント情報) をクリックします。 設定ペインに、[Tenant Info] (テナント情報) 設定が表示されます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 11 3 McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合 McAfee Web Gateway のファイル送信条件に関するルールを有効にする 3 [プロビジョニング キーの表示] をクリックし、アクティベーションに必要なプロビジョニング キーをコピーし ます。 このキーは、顧客 ID と現在のタイムスタンプに基づいて、SHA256 と base64 エンコーディングを使用して生 成されます。プロビジョニング キーは McAfee Web Gateway の固有の識別子 で、暗号化されたアクティベー ション キーを McAfee ePO Cloud が生成するときに使用されます。このキーは、アクティベーション キーを生 成するときに必要になるため、メモに取ります。 4 5 プロビジョニング キーを使用して、McAfee ePO Cloud からアクティベーション キーを生成します。 a McAfee ePO Cloud ポータル (https://manage.mcafee.com) にログオンします。 b [メニュー] 、 [設定] 、 [サーバー設定] と選択し、[Cloud Threat Detection Setup] (Cloud Threat Detection のセットアップ) を選択します。 c プロビジョニング キーを入力し、[Generate Activation Key] (アクティベーション キーの生成) をクリッ クします。 d McAfee ePO Cloud からアクティベーション キーをコピーします。 McAfee Web Gateway コンソールの [テナント ID の設定] ページに戻り、アクティベーション キーを貼り付 けて [テナント ID の設定] をクリックします。 McAfee Web Gateway のファイル送信条件に関するルールを有効にする デフォルトの McAfee CTD ルール セットを有効にするか、分析用のファイルを選択するためのルール セットをカス タマイズします。 [クラウドの脅威の検出] ルール セットは事前設定されています。このルール セットを削除または変更した場合、ル ール セット ライブラリからルール セットをインポートします。次の McAfee CTD ルール セットを [ゲートウェイ のマルウェア対策] ライブラリで利用できます。 • [Cloud Threat Detection] • [Cloud Threat Detection - Hybrid] タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee Web Gateway コンソールにログオンします。 2 [ポリシー] 、 [ルール セット] 、 [クラウドの脅威の検出] と選択し、デフォルトのルール セットを有効にする か、必要に応じて設定を変更します。 オプション 説明 [有効] 対象ルール セットを有効にします。 [クラウドで有効にする] ハイブリッドの配備シナリオに関して McAfee Web Gateway Cloud Service の ルール セットを有効にします。 [適用先] ルール セットを処理するタイミングを次から選択します。 • [リクエスト] (ユーザーから) • [応答] (Web サーバーから) • [埋め込みオブジェクト] (リクエストと応答) [編集] 12 ルール設定を変更できるようにします (推奨されていません)。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合 McAfee CTD を McAfee Web Gateway Cloud Service で有効にする オプション 説明 [進行状況ページを有効に する] 送信済みファイルに関する進行状況ページを表示します。 3 [ファイルを CTD にアッ 分析の進行中には、ファイルの処理またはダウンロードをブロックします。 プロードしてスキャン結果 を待機する] 3 マルウェア対策モジュール (エンジン) に構成されているすべての設定を展開し、[スキャン エンジンと動作を選 択する] セクションで [クラウド サービスのみ: サンドボックスで詳細な解析を行うためにクラウドの脅威の検 出サービスにファイルを送信] が選択されていることを確認します。 4 ルール セット内のオプションを変更した場合、[変更の保存] をクリックします。 McAfee CTD を McAfee Web Gateway Cloud Service で有効にする McAfee Web Gateway Cloud Service で McAfee CTD ルール セットを有効にします。 開始する前に McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD を有効にする』を参照してください。 タスク McAfee Web Gateway のクラウド専用配備に関して McAfee CTD を有効にする場合には、プロビジョニング キー もアクティベーション キーも不要です。 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘル プ] をクリックしてください。 1 McAfee ePO Cloud にログオンします。 2 [Web Protection] 、 [ポリシー管理] と選択します。 3 [ポリシー ブラウザー] から [マルウェア対策フィルター] を展開し、[クラウドの脅威の検出] を選択します。 4 画面右側の [ルールの詳細] から、[ルールを有効にする] を選択して [保存] をクリックします。 不審なファイルの分析方法 McAfee Web Gateway が不審なファイルを送信します。McAfee CTD は詳細な分析を行い、ユーザーが設定した 製品バージョンに応じて結果をレポートします。 1 ユーザーは、McAfee Web Gateway のクライアントであるネットワーク内のシステムから、Web オブジェクト (ファイルなど) にアクセスするリクエストを送信します。 2 対象オブジェクトがマルウェア対策フィルタリング ルールに合格すると、McAfee Web Gateway は対象オブジ ェクトを該当する Web サーバーに送信します。 3 ファイルが不審で、McAfee CTD にファイルを送信する条件を満たしている場合、McAfee Web Gateway によ ってファイルは McAfee CTD に送られて分析されます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 13 3 McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合 不審なファイルの分析方法 4 5 14 分析中、次のいずれかのアクションがルール セットに基づいて実行されます。 • オンライン スキャン — 分析中にはファイルの処理またはダウンロードがブロックされます。通常、分析が完 了するまでには最長で 45 分かかります。分析が完了すると、レポートが生成され、設定されているアクショ ンが実行されます。このオプションを利用できるのは、McAfee Web Gateway のオンプレミスまたはハイブ リッドの配備においてのみです。 • オフライン スキャン — 分析中にファイルの処理またはダウンロードが許可されます。分析が完了すると、結 果が公開され、同様のファイルをその後にダウンロードできなくなります。 ファイルの詳細な分析結果は、McAfee ePO Cloud の [クラウドの脅威ワークスペース] ダッシュボードから取 得できます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 4 McAfee Network Security Manager との統 合 McAfee Network Security Manager を有効にすると、不審なファイルを McAfee ePO Cloud に送信し、スキャン することができます。 McAfee CTD では、受信ファイルをスキャンします。悪意のあるコンテンツが検出された場合、McAfee Network Security Manager センサーから McAfee Network Security Manager マネージャーにアラートが送信されます。 目次 McAfee CTD を McAfee Network Security Manager で有効にする 高度なマルウェア ポリシーの設定 不審なファイルの分析方法 マルウェア統計の表示 統合の確認 McAfee CTD を McAfee Network Security Manager で有効にする McAfee CTD を McAfee Network Security Manager と併用できるようにします。 開始する前に McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD を有効にする』を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee Network Security Manager コンソールにログオンし、[Manager (マネージャー)] 、 [<管理ドメイ ン名>] 、 [Integration (統合)] 、 [CTD] と選択します。 2 [Enable CTD Integration] (CTD 統合を有効にする) を選択します。 [Activation Key] (アクティベーション キー) セクションにプロビジョニング キーが表示され、アクティベーシ ョン キーのステータスが [必須] と示されます。McAfee ePO Cloud からアクティベーション キーを生成する にはプロビジョニング キーが必要になります。 3 [Manage Activation Key] (アクティベーション キーの管理) から[Open Cloud ePO Console] (Cloud ePO コンソールを開く) を選択します。 4 McAfee ePO Cloud サーバーの認証情報を入力し、[ログオン] をクリックします。 5 McAfee ePO Cloud インターフェースで、[メニュー] 、 [設定] 、 [サーバー設定] 、 [Cloud Threat Detection Setup (Cloud Threat Detection のセットアップ)] と選択します。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 15 4 McAfee Network Security Manager との統合 高度なマルウェア ポリシーの設定 6 McAfee Network Security Manager からコピーしたプロビジョニング キーを入力し、[Generate Activation Key] (アクティベーション キーの生成) をクリックします。 7 McAfee ePO Cloud からアクティベーション キーをコピーします。 8 McAfee Network Security Manager に戻り、CTD ページで [Manage Activation Key] (アクティベーション キーの管理) を選択してから [Add Activation Key] (アクティベーション キーの追加) をクリックします。 9 [New Activation Key] (新しいアクティベーション キー) ボックスにアクティベーション キーを入力し、[追加] を選択します。 10 アクティベーション キーが完了し、[Activation Key Status] (アクティベーション キーのステータス) が [存 在] に変更されてから、[保存] をクリックします。 高度なマルウェア ポリシーの設定 高度なマルウェア ポリシーを設定し、実行ファイルと PDF ファイルを McAfee CTD に送信します。 ファイルを McAfee CTD に送信するための高度なマルウェア ポリシーを設定するには、以下の手順を実行します。 タスク 1 [ポリシー] 、 [<管理ドメイン名>] 、 [Intrusion Prevention] 、 [ポリシーの種類] 、 [Advanced Malware Policies] (高度なマルウェア ポリシー) ページと移動します。 2 [Advanced Malware Policy] (高度なマルウェア ポリシー) ページで実行可能ファイルと PDF ファイルの [TIE / GTI File Reputation] (TIE / GTI ファイル レピュテーション) を確認して有効にしてから、両方のタイ プの McAfee ePO Cloud オプションを有効にします。 実行可能ファイルと PDF ファイルに関して [TIE / GTI File Reputation] (TIE / GTI ファイル レピュテーシ ョン) を有効にするかどうかを尋ねる確認メッセージが表示されます。 3 [はい] をクリックして継続します。 4 [McAfee Cloud] マルウェア エンジンから、[Executables] (実行可能ファイル) と [PDF Files] (PDF ファイ ル) を選択します。 不審なファイルの分析方法 このシーケンスでは、不審なファイルがネットワークに侵入しようとして、McAfee Network Security Manager セ ンサーにインターセプトされた場合に、McAfee Network Security Manager が McAfee CTD と連携してどのよう に不審なファイルをスキャンするかを示します。 このシーケンスは、マルウェア分析の結果を表示する方法のうちの 1 つです。その他の方法については、McAfee Network Security Manager 管理者ガイドを参照してください。 16 1 不審なファイルがネットワークに侵入しようとすると、McAfee Network Security Manager センサーがファイ ルのハッシュを計算し、詳細なマルウェア スキャンが有効であれば、各種マルウェア エンジンと連携してスキャ ンを行います。 2 マルウェア エンジンの結果が不明、低、または非常に低の場合、McAfee Network Security Manager センサ ーによってこのファイルにフラグが設定され、McAfee Network Security Manager マネージャーに転送されま す。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 4 McAfee Network Security Manager との統合 マルウェア統計の表示 3 McAfee Network Security Manager マネージャーはさらにスキャンするためファイルを McAfee CTD に送信 し、その結果を 5 分ごとにポーリングします。 • McAfee CTD マネージャーでは、[Attack Log] (攻撃ログ) で不審なファイルが送信されたことを示す MALWARE: Unknown File Download Detected and Submitted to McAfee Cloud Service for Analysis (マルウェア: 不明なファイルのダウンロードが検出され、分析のために McAfee Cloud Service に送信されました) というアラートが生成されます。 McAfee CTD から返されるファイル レピュテーションが駆除済みであれば、アラートは [Attack Log] (攻撃ロ グ) から削除されます。ファイル レピュテーションの [Attack Log] (攻撃ログ) が 3 時間以上[保留中] の場 合、アラートは削除されます。 [Advanced Malware Policies] (高度なマルウェア ポリシー) ページで[ファイルを保存]オプションを有効にす ると、[Attack Log] (攻撃ログ) からアラートが削除されたファイルが[ 管理] 、 [メンテナンス] 、 [ファイル] 、 [ Malware Archive (マルウェア アーカイブ)] フォルダーに保存されます。このファイルはスキャンに再送で きます。 4 McAfee CTD から中、高、または非常に高 のファイル レピュテーションが返される場合、McAfee Network Security Manager マネージャーは、[Attack Log] (攻撃ログ) に MALWARE: Malicious File Detected by McAfee Cloud Service (マルウェア: McAfee Cloud Service で悪意のあるファイルが検出されました) というアラートを生成します。その場合、送信アラートは不正ファイル検出の攻撃 ID と置換されます。ファイル が不明または駆除済みとして返されると、送信アラートは削除されます。 5 McAfee CTD へのファイル送信数が 1 日の上限を超えた場合、またはファイル送信率が高すぎる場合、システム エラーが生成されます。1 日のファイル送信の上限と送信率は、McAfee との契約時点で購入したライセンス タ イプによって異なります。システム エラーは、McAfee Network Security Manager インターフェースで確認 できます。ライセンス関連システム エラーを表示するには、[Manager (マネージャー)] 、 [<管理ドメイン>] 、 [トラブルシューティング] 、 [System Faults (システム エラー)] に移動します。 6 アラート詳細を表示するアラートをダブルクリックします。 [Alert Details] (アラート詳細) パネルが開きます。 7 ユーザーの詳細については、[攻撃者] / [脅威対象]のセクションで確認できます。 8 マルウェアの信頼度については、[Malware Files] (マルウェア ファイル) ページで確認できます。 • 検出したマルウェアについては、McAfee CTD の詳細を表示します。 [Malware Files] (マルウェア ファイル) ページで、[McAfee Cloud] の信頼性レベルの横にある します。McAfee CTD でレポートが生成され、ウィンドウで開きます。 をクリック フィールド 説明 [ファイル プロパティ] McAfee CTD コンポーネントから返されたマルウェアの最も高い重大 度、ファイルの MD5 ハッシュ値、ファイル サイズ、最初と最後に検 出されたファイルを表示します。 [別名] [Observed Activities] (監視されてい マルウェアによって実行されているアクティビティ。 るアクティビティ) [システム変更] マルウェア統計の表示 [統計] ページには、スキャンのために McAfee CTD に送信された不審なファイルで確認されたマルウェアの数が示 されます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 17 4 McAfee Network Security Manager との統合 マルウェア統計の表示 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee Network Security Manager コンソールにログオンし、[Manager (マネージャー)] 、 [<管理ドメイ ン名>] 、 [Integration (統合)] 、 [CTD] 、 [統計] の順にクリックします。 2 次の詳細を表示します。 フィールド 説明 [送信済みファイルの合計] カウンターを最後にリセットしてから McAfee CTD に送信されたファイ ルの合計数。 [Very High Malware McAfee CTD に格納されたが、解析のためにあらためて送信されなかった Confidence Files] (マルウェアで ファイルのうち、以下のいずれかのファイル レピュテーション値が含まれ ある確率が非常に高いファイル) ているもの。 [High Malware Confidence Files] (マルウェアである確率が高 いファイル) [Medium Malware Confidence Files] (マルウェアである確率が中 程度のファイル) [Low Malware Confidence Files] (マルウェアである確率が低 いファイル) [Very Low Malware Confidence Files] (マルウェアである確率が非 常に低いファイル) [Clean Malware Confidence Files] (明らかにマルウェアではな いファイル) [Last Submission Time] (最終 送信時刻) ファイルが McAfee CTD に送信された最終時刻。 [Last Submission Request From] (最終要求の送信元) 最後のファイルの送信元管理対象製品。 [Total Submission Errors] (合 計送信エラー) McAfee CTD に送信されたファイルのうち、何らかのエラーが含まれてい たファイルの合計数。 • 最後の送信エラーは、3 番目のグリッド列にエラーとして表示されます (エラーが存在する場合)。 [Save as CSV] (CSV で保存) 詳細な分析に使用できる .csv ファイルとして情報をエクスポートします。 [Reset Counters] (カウンターを すべてのデータ カウンターをゼロにリセットします。 リセット) [保存] カウンターをリセットした後、変更を保存します。 このアイコンをクリックして、表示されたデータを更新することができま す。 18 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド McAfee Network Security Manager との統合 統合の確認 4 統合の確認 McAfee CTD と McAfee Network Security Manager の間の統合が機能しているかどうか確認できます。 確認事項 手順... アクティベーション キーの存 在 アクティベーション キーのステータスが [存在] で、緑色のアイコンになっている ことを確認します。 接続とアクティベーション キ ーの有効性 [テスト接続] オプションを使用します。 送信成功 ファイル送信の前と後にカウンターを確認し、予期していた通りにカウンターが増 えていることを確認してください。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 19 4 McAfee Network Security Manager との統合 統合の確認 20 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 5 クラウドの脅威ワークスペース ダッシュボードでの 作業 [クラウドの脅威ワークスペース] ダッシュボードは、ファイル ステータスの追跡、テナント使用の測定、分散ファ イル分析の正常性の判別などのレポートを提供します。 [クラウドの脅威ワークスペース] ダッシュボードは、以下の情報を提供します。 • 送信されたファイルのリストとその解析ステータスと脅威の詳細を含む分析レポート。 • 各分析ステータスのファイルの数、および送信されたファイルの総数 (分析レポート ページの上部ヘッダーに表 示されます)。ステータスをクリックして、特定のステータスの結果をフィルターにかけることができます。 • 選択した期間の履歴データ。 • 選択したファイルの詳細。 • McAfee ePO Cloud サンドボックス サービスおよびその他のアラートのステータス。 目次 マルウェア分析レポート 送信済みファイルの詳細 全体的なファイル ステータス 時間セレクタ フィルター 分析サービス ステータス マルウェア分析レポート [分析レポート]には、送信されたファイルのリスト、およびその脅威分析ステータスと詳細に関する方法が表示され ます。 このレポートは、分析に送信されたファイルと、その分析結果またはステータスを示します。[リスクのある]ファイ ルについては、さらにアクションを計画できます。結果をフィルタリングし、ファイルとその分析に関する詳細な情 報を表示、またはサンドボックス サービスのステータスを表示できます。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 21 5 クラウドの脅威ワークスペース ダッシュボードでの作業 送信済みファイルの詳細 オプション 定義 [ファイル名] 検出されたファイル名。 [ステータス] ファイル分析のステータス。 [経由] • [危険度高] — ファイルのリスク ステー タスが高く、実行をブロックする必要が あります。 • [失敗] — ファイルの分析に失敗しまし た。 • [不審] — ファイルのリスク ステータス は中レベルで、さらに分析が必要です。 • [監視対象] — ファイルは監視されてい ます。 • [危険度低] — ファイルのリスク ステー タスは低く、実行しても安全です。 • [処理中] — ファイルは分析中です。 ファイルの送信元の製品。 • [ McAfee Network Security Platform] — McAfee Network Security Manager によっ て送信されます • [ McAfee Web Gateway] — McAfee Web Gateway によって送信されます • [ McAfee Web Security] — McAfee Web Gateway Cloud Service によって送信されま す [送信日時] ファイルが送信された日時。 [処理時間] ファイルを分析するためにかかった時間。 ステータスをクリ 結果をフィルタリングし、選択したステータスのファイル リストを表示します。 ック 列をクリック 選択した列でレポートを並べ替えます。 時間セレクタをク リストをフィルタリングする対象期間を選択できます。 リック ファイルをクリッ ファイルの詳細情報とその分析結果を、[クラウドの脅威ワークスペース] ダッシュボードの右 ク 側のペインに表示します。 送信済みファイルの詳細 [分析レポート]のファイルをクリックすると、[クラウドの脅威ワークスペース] ダッシュボードの右ペインに対象フ ァイルとその分析結果について詳細情報が表示されます。 オプション 定義 タイトル バ ー ファイル名とそのステータスがタイトルとして表示されます。 [経由] ファイルの送信元の製品。 • [NSM] — McAfee Network Security Manager が送信しました • [Web ゲートウェイ] — McAfee Web Gateway が送信しました • [Web SaaS] — McAfee Web Gateway Cloud Service が送信しました 22 [送信日時] ファイルが送信された日時。 [処理時間] ファイルを分析するためにかかった時間。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド クラウドの脅威ワークスペース ダッシュボードでの作業 全体的なファイル ステータス オプション 5 定義 [脅威の詳細] ファイル タイプ、署名、認証、ファイルで検出されたマルウェア、マルウェアの追加名 (ある場合) など、対象ファイルに関連する脅威についての情報が表示されます。 [レピュテー ション] ファイルのリスク ステータス、および提案が含まれるファイル レピュテーションが表示されます。 たとえば、ファイルの脅威ステータスが失敗の場合、他のツールを使用して詳細な分析を行うのに役 立つ IOC (Indicator of Compromise) ファイルをダウンロードするようにという提案が表示 される場合があります。 全体的なファイル ステータス [クラウドの脅威ワークスペース] ダッシュボードのヘッダーに、送信したファイルの各ステータスと全体のファイル 数が表示されます。各ステータスは区別できるように色分けして表示されます。 ステータス 色 説明 [危険度高] 赤 ファイルのリスク ステータスが高く、実行をブロックする必要があります。 [不審] オレンジ ファイルのリスク ステータスは中レベルで、さらに分析が必要です。 [危険度低] 薄緑 ファイルのリスク ステータスが低く、実行しても安全です。 [失敗] 黒 ファイルの分析に失敗しました。 [監視対象] 薄黄色 ファイルは監視されています。 時間セレクタ フィルター 結果を[解析ステータス] レポートに表示する時間を選択します。 オプション 定義 [過去 4 時間] 過去 4 時間以内に送信されたファイルのリストを表示します。 [過去 8 時間] 過去 8 時間以内に送信されたファイルのリストを表示します。 [過去 12 時間] 過去 12 時間以内に送信されたファイルのリストを表示します。 [過去 24 時間] 過去 24 時間以内に送信されたファイルのリストを表示します。 [過去 72 時間] 過去 72 時間以内に送信されたファイルのリストを表示します。 [過去 7 日間] 過去 7 日以内に送信されたファイルのリストを表示します。 [過去 14 日間] 過去 14 日以内に送信されたファイルのリストを表示します。 [過去 90 日間] 過去 90 日以内に送信されたファイルのリストを表示します。 [全期間] 特定の日付までに送信されたファイルの全リストを表示します。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 23 5 クラウドの脅威ワークスペース ダッシュボードでの作業 分析サービス ステータス 分析サービス ステータス [クラウドの脅威ワークスペース] ダッシュボードの通知アイコン (ベルのシンボル) をクリックすると、McAfee CTD 分析サービスについての正常性カードが表示されます。 24 オプション 定義 クラウド サンドボックス サ ーバーのステータス McAfee CTD 分析サービスが作動しているかどうかを示すカラー コードが表示さ れます。赤はサーバーがダウンしていることを、緑はサーバーが稼働していることを 示します。 グラフ (送信日別) 日付とステータスごとのファイル送信を表すグラフ。別の時間枠を選択して、結果の 変更状況を表示できます。 [送信済みファイルの合計] 時間選択で定義されている期間に分析のために送信したファイル数。 [使用可能] 分析可能な残りのファイル数。 処理時間 ファイルを分析するためにかかった時間。 ファイル送信の比率 (製品 別) McAfee 製品ごとのファイル送信の比率。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド A トラブルシューティング McAfee CTD での作業中に発生する可能性のある共通の問題を以下に示します。 McAfee Network Security Manager 統合の問題 問題 説明 接続失 McAfee CTD 統合ページの [テスト接続] をクリックすると、接続が失敗します。この問題は、McAfee 敗 Network Security Manager と McAfee CTD の間の接続に失敗する場合に発生します。 • 正しいアクティベーション キーが入力されていることを確認してください。 • [Open Cloud ePO] (クラウド ePO を開く) オプションを使用して、McAfee ePO Cloud に到達できる ことを確認してください。https://login.mcafee.com/v1 • McAfee Network Security Manager データベースの iv_ems.properties テーブルを確認してくださ い。以下の属性に対応する URL にアクセスできることを確認してください。 • iv.malware.CloudPrometheus.gtiSubmitTarget • iv.malware.CloudPrometheus.gtiUsageTarget ライセ 送信されるファイル数が 1 日の制限を超えるか、ファイル送信率が高すぎる場合、システム障害が発生し ンスの ます。これらの問題は、McAfee Network Security Manager インターフェースの「[System Faults] 問題 (システム障害)」ページから確認できます。1 日に送信できるファイルの数は、購入するライセンスの種 類によって決まります。 McAfee CTD で発生する可能性のある問題には、次のものがあります。 • [無効な CTD 契約] — このタイプの障害は、McAfee CTD 統合で使用されるアクティベーション キー が有効な顧客の契約と関連付けられていないために McAfee CTD へのファイル送信試行が拒否される 場合に発生します。 解決方法 — McAfee ePO Cloud の契約を訂正し、新しいアクティベーション キーを McAfee Network Security Manager マネージャーにインポートしてください。 • [期限切れの CTD 契約] — このタイプの障害は、McAfee CTD 統合で使用されるアクティベーション キーが期限切れの契約と関連付けられているために McAfee CTD へのファイル送信試行が拒否される 場合に発生します。 解決方法 — McAfee CTD の契約を訂正し、新しいアクティベーション キーを McAfee Network Security Manager マネージャーにインポートしてください。 • [CTD ファイル送信制限に達した] — このタイプの障害は、1 日の McAfee CTD へのファイル送信制限 に達した場合に発生します。 解決方法 — 別のライセンスを購入する必要がある可能性があります。 • [CTD ファイル送信率が高すぎる] — このタイプの障害は、ファイル送信率が高すぎるために McAfee CTD へのファイル送信試行が拒否される場合に発生します。 解決方法 — 別のライセンスを購入する必要がある可能性があります。 システム障害の詳細は、McAfee Network Security Manager トラブルシューティング ガイドを参 照してください。 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 25 A トラブルシューティング McAfee Web Gateway と McAfee Web Gateway Cloud Service の統合の問題 問題 説明 一般的なエラー: 原因: • 14030 — 通信に失敗しました (タイムアウ • McAfee CTD 機能の使用が許可されていません。 ト、ネットワークの問題、無効データを受信し 解決方法 — オンプレミス配備の場合、アクティベーション た)。 キーを生成してインポートしてください。クラウドのみの配 備の場合、McAfee CTD が McAfee ePO Cloud で登録され • 14031 — ファイルをスキャンできません (ラ ていることを確認してください。 イセンスの欠落、サンプルがサイズ上限を超過 している、送信がサーバーによって拒否された) • McAfee Web Gateway が証明書の検証を行うよう設定され ていません。 • DNS 解決に何らかの問題があります。 • McAfee Web Gateway が、構成されていた時間内に McAfee CTD サーバーに接続しませんでした。 • サンプルの解析に必要な全体時間が、構成されていた値を超過 しました。 26 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 索引 W た Web gateway ダッシュボード 分析ワークフロー 13 Web Gateway クラウドの脅威ワークスペースの概要 21 サービス ステータス 24 ソリューション、有効化 11 時間セレクタ 23 統合の概要 11 ファイル ステータス 23 トラブルシューティング 25 ファイルの詳細 22 ルール、有効化 12 Web Gateway Cloud ソリューション、有効化 13 統合の概要 11 トラブルシューティング 25 分析レポート 21 と 統合 Web Gateway 11 Web Gateway Cloud 11 分析ワークフロー 13 Web Gateway Cloud、有効化 13 あ Web Gateway ルール、有効化 12 Web Gateway、有効化 11 アカウント管理 Cloud Threat Detection、有効化 9 ネットワーク セキュリティ マネージャー 15 新しいユーザー、有効化 9 ネットワーク セキュリティ管理ポリシー、設定 16 既存のユーザー、有効化 10 ネットワーク セキュリティ マネージャー、確認 19 ライセンス使用状況、表示 10 ネットワーク セキュリティ マネージャー、有効化 15 トラブルシューティング 25 か ね 概要 アーキテクチャ 6 ネットワーク セキュリティ マネージャー サポートされる製品 7 ソリューション、有効化 15 仕組み 6 統計、表示 17 ソリューションの機能 5 統合、確認 19 ソリューション ワークフロー 6 統合の概要 15 分析ワークフロー 7 トラブルシューティング 25 分析ワークフロー 16 ポリシー、設定 16 し 紹介 概要 5 McAfee Cloud Threat Detection 1.0.0 ソリューション ガイド 27 0-16
© Copyright 2024 ExpyDoc