McAfee CTD

ソリューションガイド
McAfee Cloud Threat Detection 1.0.0
McAfee ePolicy Orchestrator Cloud 用
著作権
© 2016 Intel Corporation
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィーリブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェアパッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
目次
1
5
ソリューションの概要
主な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
ファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2
サポートされる McAfee 製品バージョン . . . . . . . . . . . . . . . . . . . . . . . . . .
7
McAfee CTD の有効化とアカウントの管理
9
McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする . . . . . . . . . . . . . . 9
3
既存のアカウントで McAfee CTD を有効にする . . . . . . . . . . . . . . . . . . . . . . .
10
McAfee CTD ライセンス使用状況に関する情報の表示 . . . . . . . . . . . . . . . . . . . . .
10
McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合
11
McAfee CTD を McAfee Web Gateway で有効にする . . . . . . . . . . . . . . . . . . . . . 11
McAfee Web Gateway のファイル送信条件に関するルールを有効にする . . . . . . . . . . . . . . 12
McAfee CTD を McAfee Web Gateway Cloud Service で有効にする . . . . . . . . . . . . . . . 13
不審なファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
McAfee Network Security Manager との統合
13
15
McAfee CTD を McAfee Network Security Manager で有効にする . . . . . . . . . . . . . . .
15
高度なマルウェアポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
不審なファイルの分析方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
マルウェア統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
統合の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5
21
クラウドの脅威ワークスペースダッシュボードでの作業
マルウェア分析レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
送信済みファイルの詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
全体的なファイルステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
A
時間セレクタフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
分析サービスステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
トラブルシューティング
25
索引
27
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
3
目次
4
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
1
ソリューションの概要
®
®
®
McAfee Cloud Threat Detection (McAfee CTD) ソリューションは、クラウドベース環境の McAfee ePolicy
Orchestrator Cloud (McAfee ePO Cloud) ソフトウェアにより、既存のセキュリティインフラにサンドボック
ス機能を追加します。
®
®
®
™
®
®
McAfee Web Gateway や McAfee Network Security Manager アプライアンス、McAfee Web Gateway
Cloud Service (McAfee WGCS) などの McAfee セキュリティ製品と共に使用できるよう McAfee CTD を設定で
きます。
®
これらの製品は、エンドポイントやネットワーク、Web で検出される可能性がある不審なファイルを自動的に分析
できます。その後、McAfee CTD は、詳細レポートを提供します。送信するファイルを選択するために、統合製品か
ら統合ポリシーを設定できます。
目次
主な機能
仕組み
ファイルの分析方法
サポートされる McAfee 製品バージョン
主な機能
McAfee CTD では、以下の機能を備えたクラウドベースの高度なマルウェア分析が可能です。
機能タイプ
説明
高度なマルウェア検出
不明ファイルを自動的に分析し、早期に脅威を検出します。ファイルは静的 (機能) およ
び動的 (振る舞い) 分析の対象になります。STIX 1.1 および可読形式で詳細レポートを
出力します。
サンドボックス
クラウドベースのサンドボックスサーバーでファイルを実行し、ファイルの振る舞いを
テストします。
クラウドベースの配備
McAfee ePO Cloud に配備し、エンドポイントと統合製品を保護します。
McAfee Network
ネットワークに侵入し、センサーによってインターセプトされた不審なファイルを、
Security Manager の統 McAfee Network Security Manager から送信できます。
合
McAfee Web Gateway
および McAfee Web
Gateway Cloud
Service の統合
Web サーバーにインストールされた McAfee Web Gateway のオンプレミスバージョ
ンおよびクラウドバージョンから、不審なファイルを送信できます。
ファイル送信の条件
統合セキュリティ製品から、統一されたポリシーを定義できます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
5
1
ソリューションの概要
仕組み
機能タイプ
説明
レポート
以下によってレポートを提供します
• [脅威の検出ワークスペース] ダッシュボード — ファイルステータスの追跡、テナン
ト使用の測定、および分散ファイル分析の正常性に関する情報を提供します。
• Indicators of Compromise (IOC) レポート — ただちに使用できるように、機械可
読 STIX 1.1 形式で詳細な分析レポートを提供します。
McAfee Global Threat 結果を McAfee GTI で公開し、使用している McAfee 保護対象デバイスをすべて保護し
Intelligence (McAfee ます。
GTI)
®
™
仕組み
McAfee CTD ソリューションは、McAfee ePO Cloud による集中管理クラウドベース配備が可能です。
既存のネットワーク、マルウェア対策検出、保護、修正ツールを McAfee CTD と統合することによって、セキュリ
ティインフラストラクチャを拡大します。
アーキテクチャ
この図はソリューションのハイレベルのアーキテクチャを表しており、これは既存のセキュリティインフラストラク
チャに配備されています。
ワークフロー
6
1
管理者は McAfee ePO Cloud ポータルにログオンします。
2
管理者は、McAfee ePO Cloud インターフェースを介して McAfee CTD に登録します。
3
McAfee Web Gateway, McAfee Network Security Manager および McAfee Web Gateway Cloud
Service などの McAfee セキュリティ製品は、McAfee CTD と連携するよう統合されます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
ソリューションの概要
ファイルの分析方法
1
4
McAfee 製品のローカル分析と意思決定の設定によって、分析用のファイルが選択され、スキャンのために
McAfee ePO Cloud に送信されます。McAfee ePO Cloud では、あらゆるマルウェアに対して McAfee CTD 管
理サービスを使用してファイルを分析します。悪意のあるコンテンツが見つかると、アラートが送信されます。
5
McAfee ePO Cloud ポータルの [クラウドの脅威ワークスペース] ダッシュボードには、送信されたファイルの
ステータス、統合された製品の使用方法、分析サービスのステータス、脅威分析の結果などの情報が表示されま
す。
ファイルの分析方法
統合セキュリティ製品が高度な分析を必要とするファイルを選択し、それを McAfee CTD に送信すると、そこでフ
ァイルに関する詳細な分析が実行され、適切な結果と IOC レポートが生成されます。
1
McAfee Web Gateway や McAfee Network Security Manager などの McAfee セキュリティ製品が、不審な
ファイルを McAfee CTD に送信します。
2
ファイルに関する情報がすでに McAfee GTI にある場合は、その結果と IOC レポートがセキュリティ製品に返
送されます。
3
ファイルに関する情報が不明な場合は、McAfee CTD で静的分析によってファイルの詳細が抽出されます。
4
サンドボックス環境でファイルを実行します。アクションはすべて記録、確認、および評価されます。
5
McAfee CTD はビッグデータとマシンラーニングテクノロジーによる分析を使用し、その動作を既知のマルウ
ェアの振る舞いと比較します。
6
その結果に基づき、今後のインスタンスに対応するよう McAfee のセキュリティ製品ポリシーに反映されます。
IOC レポートがユーザーに対して生成されます。McAfee GTI データベースは最新の検出 IOC を反映して更新
されます。
サポートされる McAfee 製品バージョン
以下の製品が McAfee ePO Cloud を介して McAfee CTD と統合されると、McAfee CTD はこれらの McAfee 製品
から送信されるファイルを分析できます。
製品
バージョン
McAfee Network Security Manager
8.3.7.44 以降
McAfee Network Security Sensor (NS シリーズ)
8.3.5.22 以降
McAfee Web Gateway
7.7.0 以降
McAfee Web Gateway Cloud Service
McAfee ePO Cloud で使用可能な最新バージョン
®
詳細については、各製品のマニュアルを参照してください。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
7
1
ソリューションの概要
サポートされる McAfee 製品バージョン
8
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
2
McAfee CTD の有効化とアカウントの管理
McAfee ePO Cloud に対するアクセス権を取得し、McAfee CTD を有効にしてから McAfee 製品と統合します。
McAfee 製品と McAfee CTD 機能を併用するには、以下のアクションを実行します。
1
McAfee CTD を McAfee ePO Cloud で有効にします。
2
McAfee CTD を McAfee セキュリティ製品インターフェースで有効にして、プロビジョニングキーを取得しま
す。
3
プロビジョニングキーを使用して、McAfee ePO Cloud インターフェースでアクティベーションキーを生成し
ます。
4
アクティベーションキーを使用して、McAfee セキュリティ製品をアクティブ化します。
プロビジョニングキーの取得と製品のアクティブ化に関する詳細な手順はさまざまです。McAfee CTD をご使用の
McAfee 製品と統合する方法について詳しくは、後述のセクションを参照してください。
統合済みの製品が分析を行うためにファイルを McAfee CTD に送信し始めると、McAfee ePO Cloud の [契約情報]
ページで使用情報を確認できます。
目次
McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする
既存のアカウントで McAfee CTD を有効にする
McAfee CTD ライセンス使用状況に関する情報の表示
McAfee ePO Cloud にサインアップするときに McAfee CTD を有効にする
McAfee ePO Cloud にサインアップし、McAfee CTD を有効にします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、[今すぐサインアップ] をクリッ
クします。
2
製品として、[McAfee Cloud Threat Detection] を選択します。
3
フォームに詳細情報を入力して完成させます。
4
[I accept License Agreement and Privacy Notice] (使用許諾条件とプライバシー通知に同意します) を選択
し、[送信] をクリックします。
[使用許諾条件] と [プライバシー通知] のリンクをクリックし、文書全体を読みます。
5
アクティベーションメールを受信してから、メールに記載されている指示に従って McAfee ePO Cloud アカウ
ントをアクティブ化します。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
9
2
McAfee CTD の有効化とアカウントの管理
既存のアカウントで McAfee CTD を有効にする
既存のアカウントで McAfee CTD を有効にする
McAfee ePO Cloud ポータルにログオンし、ご使用のアカウントで McAfee CTD を有効にします。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、電子メールアドレスとパスワー
ドを入力し、[ログオン] をクリックします。
2
[メニュー] で [マイアカウント] をクリックします。
3
[契約情報] をクリックします。
4
[注文/トライアルの作成] から、[McAfee Cloud Threat Detection] の [トライアルの作成] または [今すぐ購
入] をクリックします。
5
画面の指示に従います。
McAfee CTD ライセンス使用状況に関する情報の表示
1 日に McAfee CTD に送信されたファイル数、およびライセンス契約に基づいてその日に送信できる残りファイル
数がわかります。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
10
1
McAfee ePO Cloud ポータル (https://manage.mcafee.com) にアクセスし、電子メールアドレスとパスワー
ドを入力し、[ログオン] をクリックします。
2
[メニュー] から [マイアカウント] をクリックし、[契約情報] をクリックします。
3
[利用状況の概要] で、次の詳細を表示します。
オプション
定義
[サービスコード]
McAfee CTD のサービスコードを表示します ([クラウドの脅威の検出])。
[購入済みのライセンス]
1 日に McAfee CTD に送信できる最大ファイル数。
[使用済みのライセンス]
結果が最終更新された日に McAfee CTD に送信されたファイル数。
[最終更新日]
使用状況に関する情報が最後に更新された日付。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
3
McAfee Web Gateway および McAfee Web
Gateway Cloud Service との統合
McAfee Web Gateway のオンプレミスバージョンとクラウドバージョンの両方を有効にすると、不審なファイル
を McAfee ePO Cloud に送信し、スキャンすることができます。
McAfee CTD では、受信ファイルをスキャンします。悪意のあるコンテンツが検出されると、McAfee Web
Gateway のバージョンに設定した方法に応じて、その後のアクションが実行されます。
®
McAfee Web Gateway は McAfee Web Protection という統合ソリューションの一部です。このソリューション
は、ユーザーがローカルネットワークの内外から Web にアクセスしたときに発生する脅威を阻止します。統合ソリ
ューションとして McAfee Web Protection を使用すると、オンプレミスユーザーとクラウドユーザーの両方に同
じセキュリティポリシーを強制して Web へのアクセスを保護できます。
目次
McAfee CTD を McAfee Web Gateway で有効にする
McAfee Web Gateway のファイル送信条件に関するルールを有効にする
McAfee CTD を McAfee Web Gateway Cloud Service で有効にする
不審なファイルの分析方法
McAfee CTD を McAfee Web Gateway で有効にする
McAfee Web Gateway のオンプレミス版でのみ、またはオンプレミスとクラウド配備のハイブリッド環境で使用で
きるよう McAfee CTD を有効にします。
開始する前に
McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD
を有効にする』を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee Web Gateway コンソールにログオンし、[設定] 、 [アプライアンス] を選択します。
2
アプライアンスツリーで、[クラスター] を展開して [Tenant Info] (テナント情報) をクリックします。
設定ペインに、[Tenant Info] (テナント情報) 設定が表示されます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
11
3
McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合
McAfee Web Gateway のファイル送信条件に関するルールを有効にする
3
[プロビジョニングキーの表示] をクリックし、アクティベーションに必要なプロビジョニングキーをコピーし
ます。
このキーは、顧客 ID と現在のタイムスタンプに基づいて、SHA256 と base64 エンコーディングを使用して生
成されます。プロビジョニングキーは McAfee Web Gateway の固有の識別子で、暗号化されたアクティベー
ションキーを McAfee ePO Cloud が生成するときに使用されます。このキーは、アクティベーションキーを生
成するときに必要になるため、メモに取ります。
4
5
プロビジョニングキーを使用して、McAfee ePO Cloud からアクティベーションキーを生成します。
a
McAfee ePO Cloud ポータル (https://manage.mcafee.com) にログオンします。
b
[メニュー] 、 [設定] 、 [サーバー設定] と選択し、[Cloud Threat Detection Setup] (Cloud Threat
Detection のセットアップ) を選択します。
c
プロビジョニングキーを入力し、[Generate Activation Key] (アクティベーションキーの生成) をクリッ
クします。
d
McAfee ePO Cloud からアクティベーションキーをコピーします。
McAfee Web Gateway コンソールの [テナント ID の設定] ページに戻り、アクティベーションキーを貼り付
けて [テナント ID の設定] をクリックします。
McAfee Web Gateway のファイル送信条件に関するルールを有効にする
デフォルトの McAfee CTD ルールセットを有効にするか、分析用のファイルを選択するためのルールセットをカス
タマイズします。
[クラウドの脅威の検出] ルールセットは事前設定されています。このルールセットを削除または変更した場合、ル
ールセットライブラリからルールセットをインポートします。次の McAfee CTD ルールセットを [ゲートウェイ
のマルウェア対策] ライブラリで利用できます。
•
[Cloud Threat Detection]
•
[Cloud Threat Detection - Hybrid]
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee Web Gateway コンソールにログオンします。
2
[ポリシー] 、 [ルールセット] 、 [クラウドの脅威の検出] と選択し、デフォルトのルールセットを有効にする
か、必要に応じて設定を変更します。
オプション
説明
[有効]
対象ルールセットを有効にします。
[クラウドで有効にする]
ハイブリッドの配備シナリオに関して McAfee Web Gateway Cloud Service の
ルールセットを有効にします。
[適用先]
ルールセットを処理するタイミングを次から選択します。
• [リクエスト] (ユーザーから)
• [応答] (Web サーバーから)
• [埋め込みオブジェクト] (リクエストと応答)
[編集]
12
ルール設定を変更できるようにします (推奨されていません)。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合
McAfee CTD を McAfee Web Gateway Cloud Service で有効にする
オプション
説明
[進行状況ページを有効に
する]
送信済みファイルに関する進行状況ページを表示します。
3
[ファイルを CTD にアッ
分析の進行中には、ファイルの処理またはダウンロードをブロックします。
プロードしてスキャン結果
を待機する]
3
マルウェア対策モジュール (エンジン) に構成されているすべての設定を展開し、[スキャンエンジンと動作を選
択する] セクションで [クラウドサービスのみ: サンドボックスで詳細な解析を行うためにクラウドの脅威の検
出サービスにファイルを送信] が選択されていることを確認します。
4
ルールセット内のオプションを変更した場合、[変更の保存] をクリックします。
McAfee CTD を McAfee Web Gateway Cloud Service で有効にする
McAfee Web Gateway Cloud Service で McAfee CTD ルールセットを有効にします。
開始する前に
McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD
を有効にする』を参照してください。
タスク
McAfee Web Gateway のクラウド専用配備に関して McAfee CTD を有効にする場合には、プロビジョニングキー
もアクティベーションキーも不要です。製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘル
プ] をクリックしてください。
1
McAfee ePO Cloud にログオンします。
2
[Web Protection] 、 [ポリシー管理] と選択します。
3
[ポリシーブラウザー] から [マルウェア対策フィルター] を展開し、[クラウドの脅威の検出] を選択します。
4
画面右側の [ルールの詳細] から、[ルールを有効にする] を選択して [保存] をクリックします。
不審なファイルの分析方法
McAfee Web Gateway が不審なファイルを送信します。McAfee CTD は詳細な分析を行い、ユーザーが設定した
製品バージョンに応じて結果をレポートします。
1
ユーザーは、McAfee Web Gateway のクライアントであるネットワーク内のシステムから、Web オブジェクト
(ファイルなど) にアクセスするリクエストを送信します。
2
対象オブジェクトがマルウェア対策フィルタリングルールに合格すると、McAfee Web Gateway は対象オブジ
ェクトを該当する Web サーバーに送信します。
3
ファイルが不審で、McAfee CTD にファイルを送信する条件を満たしている場合、McAfee Web Gateway によ
ってファイルは McAfee CTD に送られて分析されます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
13
3
McAfee Web Gateway および McAfee Web Gateway Cloud Service との統合
不審なファイルの分析方法
4
5
14
分析中、次のいずれかのアクションがルールセットに基づいて実行されます。
•
オンラインスキャン — 分析中にはファイルの処理またはダウンロードがブロックされます。通常、分析が完
了するまでには最長で 45 分かかります。分析が完了すると、レポートが生成され、設定されているアクショ
ンが実行されます。このオプションを利用できるのは、McAfee Web Gateway のオンプレミスまたはハイブ
リッドの配備においてのみです。
•
オフラインスキャン — 分析中にファイルの処理またはダウンロードが許可されます。分析が完了すると、結
果が公開され、同様のファイルをその後にダウンロードできなくなります。
ファイルの詳細な分析結果は、McAfee ePO Cloud の [クラウドの脅威ワークスペース] ダッシュボードから取
得できます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
4
McAfee Network Security Manager との統
合
McAfee Network Security Manager を有効にすると、不審なファイルを McAfee ePO Cloud に送信し、スキャン
することができます。
McAfee CTD では、受信ファイルをスキャンします。悪意のあるコンテンツが検出された場合、McAfee Network
Security Manager センサーから McAfee Network Security Manager マネージャーにアラートが送信されます。
目次
McAfee CTD を McAfee Network Security Manager で有効にする
高度なマルウェアポリシーの設定
不審なファイルの分析方法
マルウェア統計の表示
統合の確認
McAfee CTD を McAfee Network Security Manager で有効にする
McAfee CTD を McAfee Network Security Manager と併用できるようにします。
開始する前に
McAfee ePO Cloud アカウントで McAfee CTD を有効にします。『既存のアカウントで McAfee CTD
を有効にする』を参照してください。
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee Network Security Manager コンソールにログオンし、[Manager (マネージャー)] 、 [<管理ドメイ
ン名>] 、 [Integration (統合)] 、 [CTD] と選択します。
2
[Enable CTD Integration] (CTD 統合を有効にする) を選択します。
[Activation Key] (アクティベーションキー) セクションにプロビジョニングキーが表示され、アクティベーシ
ョンキーのステータスが [必須] と示されます。McAfee ePO Cloud からアクティベーションキーを生成する
にはプロビジョニングキーが必要になります。
3
[Manage Activation Key] (アクティベーションキーの管理) から[Open Cloud ePO Console] (Cloud ePO
コンソールを開く) を選択します。
4
McAfee ePO Cloud サーバーの認証情報を入力し、[ログオン] をクリックします。
5
McAfee ePO Cloud インターフェースで、[メニュー] 、 [設定] 、 [サーバー設定] 、 [Cloud Threat Detection
Setup (Cloud Threat Detection のセットアップ)] と選択します。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
15
4
McAfee Network Security Manager との統合
高度なマルウェアポリシーの設定
6
McAfee Network Security Manager からコピーしたプロビジョニングキーを入力し、[Generate Activation
Key] (アクティベーションキーの生成) をクリックします。
7
McAfee ePO Cloud からアクティベーションキーをコピーします。
8
McAfee Network Security Manager に戻り、CTD ページで [Manage Activation Key] (アクティベーション
キーの管理) を選択してから [Add Activation Key] (アクティベーションキーの追加) をクリックします。
9
[New Activation Key] (新しいアクティベーションキー) ボックスにアクティベーションキーを入力し、[追加]
を選択します。
10 アクティベーションキーが完了し、[Activation Key Status] (アクティベーションキーのステータス) が [存
在] に変更されてから、[保存] をクリックします。
高度なマルウェアポリシーの設定
高度なマルウェアポリシーを設定し、実行ファイルと PDF ファイルを McAfee CTD に送信します。
ファイルを McAfee CTD に送信するための高度なマルウェアポリシーを設定するには、以下の手順を実行します。
タスク
1
[ポリシー] 、 [<管理ドメイン名>] 、 [Intrusion Prevention] 、 [ポリシーの種類] 、 [Advanced Malware
Policies] (高度なマルウェアポリシー) ページと移動します。
2
[Advanced Malware Policy] (高度なマルウェアポリシー) ページで実行可能ファイルと PDF ファイルの
[TIE / GTI File Reputation] (TIE / GTI ファイルレピュテーション) を確認して有効にしてから、両方のタイ
プの McAfee ePO Cloud オプションを有効にします。
実行可能ファイルと PDF ファイルに関して [TIE / GTI File Reputation] (TIE / GTI ファイルレピュテーシ
ョン) を有効にするかどうかを尋ねる確認メッセージが表示されます。
3
[はい] をクリックして継続します。
4
[McAfee Cloud] マルウェアエンジンから、[Executables] (実行可能ファイル) と [PDF Files] (PDF ファイ
ル) を選択します。
不審なファイルの分析方法
このシーケンスでは、不審なファイルがネットワークに侵入しようとして、McAfee Network Security Manager セ
ンサーにインターセプトされた場合に、McAfee Network Security Manager が McAfee CTD と連携してどのよう
に不審なファイルをスキャンするかを示します。
このシーケンスは、マルウェア分析の結果を表示する方法のうちの 1 つです。その他の方法については、McAfee
Network Security Manager 管理者ガイドを参照してください。
16
1
不審なファイルがネットワークに侵入しようとすると、McAfee Network Security Manager センサーがファイ
ルのハッシュを計算し、詳細なマルウェアスキャンが有効であれば、各種マルウェアエンジンと連携してスキャ
ンを行います。
2
マルウェアエンジンの結果が不明、低、または非常に低の場合、McAfee Network Security Manager センサ
ーによってこのファイルにフラグが設定され、McAfee Network Security Manager マネージャーに転送されま
す。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
4
McAfee Network Security Manager との統合
マルウェア統計の表示
3
McAfee Network Security Manager マネージャーはさらにスキャンするためファイルを McAfee CTD に送信
し、その結果を 5 分ごとにポーリングします。
•
McAfee CTD マネージャーでは、[Attack Log] (攻撃ログ) で不審なファイルが送信されたことを示す
MALWARE: Unknown File Download Detected and Submitted to McAfee Cloud Service
for Analysis (マルウェア: 不明なファイルのダウンロードが検出され、分析のために McAfee Cloud
Service に送信されました) というアラートが生成されます。
McAfee CTD から返されるファイルレピュテーションが駆除済みであれば、アラートは [Attack Log] (攻撃ロ
グ) から削除されます。ファイルレピュテーションの [Attack Log] (攻撃ログ) が 3 時間以上[保留中] の場
合、アラートは削除されます。
[Advanced Malware Policies] (高度なマルウェアポリシー) ページで[ファイルを保存]オプションを有効にす
ると、[Attack Log] (攻撃ログ) からアラートが削除されたファイルが[ 管理] 、 [メンテナンス] 、 [ファイル] 、
[ Malware Archive (マルウェアアーカイブ)] フォルダーに保存されます。このファイルはスキャンに再送で
きます。
4
McAfee CTD から中、高、または非常に高のファイルレピュテーションが返される場合、McAfee Network
Security Manager マネージャーは、[Attack Log] (攻撃ログ) に MALWARE: Malicious File Detected
by McAfee Cloud Service (マルウェア: McAfee Cloud Service で悪意のあるファイルが検出されました)
というアラートを生成します。その場合、送信アラートは不正ファイル検出の攻撃 ID と置換されます。ファイル
が不明または駆除済みとして返されると、送信アラートは削除されます。
5
McAfee CTD へのファイル送信数が 1 日の上限を超えた場合、またはファイル送信率が高すぎる場合、システム
エラーが生成されます。1 日のファイル送信の上限と送信率は、McAfee との契約時点で購入したライセンスタ
イプによって異なります。システムエラーは、McAfee Network Security Manager インターフェースで確認
できます。ライセンス関連システムエラーを表示するには、[Manager (マネージャー)] 、 [<管理ドメイン>] 、
[トラブルシューティング] 、 [System Faults (システムエラー)] に移動します。
6
アラート詳細を表示するアラートをダブルクリックします。
[Alert Details] (アラート詳細) パネルが開きます。
7
ユーザーの詳細については、[攻撃者] / [脅威対象]のセクションで確認できます。
8
マルウェアの信頼度については、[Malware Files] (マルウェアファイル) ページで確認できます。
•
検出したマルウェアについては、McAfee CTD の詳細を表示します。
[Malware Files] (マルウェアファイル) ページで、[McAfee Cloud] の信頼性レベルの横にある
します。McAfee CTD でレポートが生成され、ウィンドウで開きます。
をクリック
フィールド
説明
[ファイルプロパティ]
McAfee CTD コンポーネントから返されたマルウェアの最も高い重大
度、ファイルの MD5 ハッシュ値、ファイルサイズ、最初と最後に検
出されたファイルを表示します。
[別名]
[Observed Activities] (監視されていマルウェアによって実行されているアクティビティ。
るアクティビティ)
[システム変更]
マルウェア統計の表示
[統計] ページには、スキャンのために McAfee CTD に送信された不審なファイルで確認されたマルウェアの数が示
されます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
17
4
McAfee Network Security Manager との統合
マルウェア統計の表示
タスク
製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。
1
McAfee Network Security Manager コンソールにログオンし、[Manager (マネージャー)] 、 [<管理ドメイ
ン名>] 、 [Integration (統合)] 、 [CTD] 、 [統計] の順にクリックします。
2
次の詳細を表示します。
フィールド
説明
[送信済みファイルの合計]
カウンターを最後にリセットしてから McAfee CTD に送信されたファイ
ルの合計数。
[Very High Malware
McAfee CTD に格納されたが、解析のためにあらためて送信されなかった
Confidence Files] (マルウェアでファイルのうち、以下のいずれかのファイルレピュテーション値が含まれ
ある確率が非常に高いファイル)
ているもの。
[High Malware Confidence
Files] (マルウェアである確率が高
いファイル)
[Medium Malware Confidence
Files] (マルウェアである確率が中
程度のファイル)
[Low Malware Confidence
Files] (マルウェアである確率が低
いファイル)
[Very Low Malware Confidence
Files] (マルウェアである確率が非
常に低いファイル)
[Clean Malware Confidence
Files] (明らかにマルウェアではな
いファイル)
[Last Submission Time] (最終
送信時刻)
ファイルが McAfee CTD に送信された最終時刻。
[Last Submission Request
From] (最終要求の送信元)
最後のファイルの送信元管理対象製品。
[Total Submission Errors] (合
計送信エラー)
McAfee CTD に送信されたファイルのうち、何らかのエラーが含まれてい
たファイルの合計数。
• 最後の送信エラーは、3 番目のグリッド列にエラーとして表示されます
(エラーが存在する場合)。
[Save as CSV] (CSV で保存)
詳細な分析に使用できる .csv ファイルとして情報をエクスポートします。
[Reset Counters] (カウンターをすべてのデータカウンターをゼロにリセットします。
リセット)
[保存]
カウンターをリセットした後、変更を保存します。
このアイコンをクリックして、表示されたデータを更新することができま
す。
18
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
McAfee Network Security Manager との統合
統合の確認
4
統合の確認
McAfee CTD と McAfee Network Security Manager の間の統合が機能しているかどうか確認できます。
確認事項
手順...
アクティベーションキーの存
在
アクティベーションキーのステータスが [存在] で、緑色のアイコンになっている
ことを確認します。
接続とアクティベーションキ
ーの有効性
[テスト接続] オプションを使用します。
送信成功
ファイル送信の前と後にカウンターを確認し、予期していた通りにカウンターが増
えていることを確認してください。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
19
4
McAfee Network Security Manager との統合
統合の確認
20
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
5
クラウドの脅威ワークスペースダッシュボードでの
作業
[クラウドの脅威ワークスペース] ダッシュボードは、ファイルステータスの追跡、テナント使用の測定、分散ファ
イル分析の正常性の判別などのレポートを提供します。
[クラウドの脅威ワークスペース] ダッシュボードは、以下の情報を提供します。
•
送信されたファイルのリストとその解析ステータスと脅威の詳細を含む分析レポート。
•
各分析ステータスのファイルの数、および送信されたファイルの総数 (分析レポートページの上部ヘッダーに表
示されます)。ステータスをクリックして、特定のステータスの結果をフィルターにかけることができます。
•
選択した期間の履歴データ。
•
選択したファイルの詳細。
•
McAfee ePO Cloud サンドボックスサービスおよびその他のアラートのステータス。
目次
マルウェア分析レポート
送信済みファイルの詳細
全体的なファイルステータス
時間セレクタフィルター
分析サービスステータス
マルウェア分析レポート
[分析レポート]には、送信されたファイルのリスト、およびその脅威分析ステータスと詳細に関する方法が表示され
ます。
このレポートは、分析に送信されたファイルと、その分析結果またはステータスを示します。[リスクのある]ファイ
ルについては、さらにアクションを計画できます。結果をフィルタリングし、ファイルとその分析に関する詳細な情
報を表示、またはサンドボックスサービスのステータスを表示できます。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
21
5
クラウドの脅威ワークスペースダッシュボードでの作業
送信済みファイルの詳細
オプション
定義
[ファイル名]
検出されたファイル名。
[ステータス]
ファイル分析のステータス。
[経由]
• [危険度高] — ファイルのリスクステー
タスが高く、実行をブロックする必要が
あります。
• [失敗] — ファイルの分析に失敗しまし
た。
• [不審] — ファイルのリスクステータス
は中レベルで、さらに分析が必要です。
• [監視対象] — ファイルは監視されてい
ます。
• [危険度低] — ファイルのリスクステー
タスは低く、実行しても安全です。
• [処理中] — ファイルは分析中です。
ファイルの送信元の製品。
• [ McAfee Network Security Platform] — McAfee Network Security Manager によっ
て送信されます
• [ McAfee Web Gateway] — McAfee Web Gateway によって送信されます
• [ McAfee Web Security] — McAfee Web Gateway Cloud Service によって送信されま
す
[送信日時]
ファイルが送信された日時。
[処理時間]
ファイルを分析するためにかかった時間。
ステータスをクリ結果をフィルタリングし、選択したステータスのファイルリストを表示します。
ック
列をクリック
選択した列でレポートを並べ替えます。
時間セレクタをクリストをフィルタリングする対象期間を選択できます。
リック
ファイルをクリッファイルの詳細情報とその分析結果を、[クラウドの脅威ワークスペース] ダッシュボードの右
ク
側のペインに表示します。
送信済みファイルの詳細
[分析レポート]のファイルをクリックすると、[クラウドの脅威ワークスペース] ダッシュボードの右ペインに対象フ
ァイルとその分析結果について詳細情報が表示されます。
オプション
定義
タイトルバ
ー
ファイル名とそのステータスがタイトルとして表示されます。
[経由]
ファイルの送信元の製品。
• [NSM] — McAfee Network Security Manager が送信しました
• [Web ゲートウェイ] — McAfee Web Gateway が送信しました
• [Web SaaS] — McAfee Web Gateway Cloud Service が送信しました
22
[送信日時]
ファイルが送信された日時。
[処理時間]
ファイルを分析するためにかかった時間。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
クラウドの脅威ワークスペースダッシュボードでの作業
全体的なファイルステータス
オプション
5
定義
[脅威の詳細] ファイルタイプ、署名、認証、ファイルで検出されたマルウェア、マルウェアの追加名 (ある場合)
など、対象ファイルに関連する脅威についての情報が表示されます。
[レピュテー
ション]
ファイルのリスクステータス、および提案が含まれるファイルレピュテーションが表示されます。
たとえば、ファイルの脅威ステータスが失敗の場合、他のツールを使用して詳細な分析を行うのに役
立つ IOC (Indicator of Compromise) ファイルをダウンロードするようにという提案が表示
される場合があります。
全体的なファイルステータス
[クラウドの脅威ワークスペース] ダッシュボードのヘッダーに、送信したファイルの各ステータスと全体のファイル
数が表示されます。各ステータスは区別できるように色分けして表示されます。
ステータス
色
説明
[危険度高]
赤
ファイルのリスクステータスが高く、実行をブロックする必要があります。
[不審]
オレンジ
ファイルのリスクステータスは中レベルで、さらに分析が必要です。
[危険度低]
薄緑
ファイルのリスクステータスが低く、実行しても安全です。
[失敗]
黒
ファイルの分析に失敗しました。
[監視対象]
薄黄色
ファイルは監視されています。
時間セレクタフィルター
結果を[解析ステータス] レポートに表示する時間を選択します。
オプション
定義
[過去 4 時間]
過去 4 時間以内に送信されたファイルのリストを表示します。
[過去 8 時間]
過去 8 時間以内に送信されたファイルのリストを表示します。
[過去 12 時間]
過去 12 時間以内に送信されたファイルのリストを表示します。
[過去 24 時間]
過去 24 時間以内に送信されたファイルのリストを表示します。
[過去 72 時間]
過去 72 時間以内に送信されたファイルのリストを表示します。
[過去 7 日間]
過去 7 日以内に送信されたファイルのリストを表示します。
[過去 14 日間]
過去 14 日以内に送信されたファイルのリストを表示します。
[過去 90 日間]
過去 90 日以内に送信されたファイルのリストを表示します。
[全期間]
特定の日付までに送信されたファイルの全リストを表示します。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
23
5
クラウドの脅威ワークスペースダッシュボードでの作業
分析サービスステータス
分析サービスステータス
[クラウドの脅威ワークスペース] ダッシュボードの通知アイコン (ベルのシンボル) をクリックすると、McAfee
CTD 分析サービスについての正常性カードが表示されます。
24
オプション
定義
クラウドサンドボックスサ
ーバーのステータス
McAfee CTD 分析サービスが作動しているかどうかを示すカラーコードが表示さ
れます。赤はサーバーがダウンしていることを、緑はサーバーが稼働していることを
示します。
グラフ (送信日別)
日付とステータスごとのファイル送信を表すグラフ。別の時間枠を選択して、結果の
変更状況を表示できます。
[送信済みファイルの合計]
時間選択で定義されている期間に分析のために送信したファイル数。
[使用可能]
分析可能な残りのファイル数。
処理時間
ファイルを分析するためにかかった時間。
ファイル送信の比率 (製品
別)
McAfee 製品ごとのファイル送信の比率。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
A
トラブルシューティング
McAfee CTD での作業中に発生する可能性のある共通の問題を以下に示します。
McAfee Network Security Manager 統合の問題
問題
説明
接続失 McAfee CTD 統合ページの [テスト接続] をクリックすると、接続が失敗します。この問題は、McAfee
敗
Network Security Manager と McAfee CTD の間の接続に失敗する場合に発生します。
• 正しいアクティベーションキーが入力されていることを確認してください。
• [Open Cloud ePO] (クラウド ePO を開く) オプションを使用して、McAfee ePO Cloud に到達できる
ことを確認してください。https://login.mcafee.com/v1
• McAfee Network Security Manager データベースの iv_ems.properties テーブルを確認してくださ
い。以下の属性に対応する URL にアクセスできることを確認してください。
• iv.malware.CloudPrometheus.gtiSubmitTarget
• iv.malware.CloudPrometheus.gtiUsageTarget
ライセ送信されるファイル数が 1 日の制限を超えるか、ファイル送信率が高すぎる場合、システム障害が発生し
ンスのます。これらの問題は、McAfee Network Security Manager インターフェースの「[System Faults]
問題
(システム障害)」ページから確認できます。1 日に送信できるファイルの数は、購入するライセンスの種
類によって決まります。
McAfee CTD で発生する可能性のある問題には、次のものがあります。
• [無効な CTD 契約] — このタイプの障害は、McAfee CTD 統合で使用されるアクティベーションキー
が有効な顧客の契約と関連付けられていないために McAfee CTD へのファイル送信試行が拒否される
場合に発生します。
解決方法 — McAfee ePO Cloud の契約を訂正し、新しいアクティベーションキーを McAfee
Network Security Manager マネージャーにインポートしてください。
• [期限切れの CTD 契約] — このタイプの障害は、McAfee CTD 統合で使用されるアクティベーション
キーが期限切れの契約と関連付けられているために McAfee CTD へのファイル送信試行が拒否される
場合に発生します。
解決方法 — McAfee CTD の契約を訂正し、新しいアクティベーションキーを McAfee Network
Security Manager マネージャーにインポートしてください。
• [CTD ファイル送信制限に達した] — このタイプの障害は、1 日の McAfee CTD へのファイル送信制限
に達した場合に発生します。
解決方法 — 別のライセンスを購入する必要がある可能性があります。
• [CTD ファイル送信率が高すぎる] — このタイプの障害は、ファイル送信率が高すぎるために McAfee
CTD へのファイル送信試行が拒否される場合に発生します。
解決方法 — 別のライセンスを購入する必要がある可能性があります。
システム障害の詳細は、McAfee Network Security Manager トラブルシューティングガイドを参
照してください。
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
25
A
トラブルシューティング
McAfee Web Gateway と McAfee Web Gateway Cloud Service の統合の問題
問題
説明
一般的なエラー:
原因:
• 14030 — 通信に失敗しました (タイムアウ
• McAfee CTD 機能の使用が許可されていません。
ト、ネットワークの問題、無効データを受信し
解決方法 — オンプレミス配備の場合、アクティベーション
た)。
キーを生成してインポートしてください。クラウドのみの配
備の場合、McAfee CTD が McAfee ePO Cloud で登録され
• 14031 — ファイルをスキャンできません (ラ
ていることを確認してください。
イセンスの欠落、サンプルがサイズ上限を超過
している、送信がサーバーによって拒否された) • McAfee Web Gateway が証明書の検証を行うよう設定され
ていません。
• DNS 解決に何らかの問題があります。
• McAfee Web Gateway が、構成されていた時間内に
McAfee CTD サーバーに接続しませんでした。
• サンプルの解析に必要な全体時間が、構成されていた値を超過
しました。
26
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
索引
W
た
Web gateway
ダッシュボード
分析ワークフロー 13
Web Gateway
クラウドの脅威ワークスペースの概要 21
サービスステータス 24
ソリューション、有効化 11
時間セレクタ 23
統合の概要 11
ファイルステータス 23
トラブルシューティング 25
ファイルの詳細 22
ルール、有効化 12
Web Gateway Cloud
ソリューション、有効化 13
統合の概要 11
トラブルシューティング 25
分析レポート 21
と
統合
Web Gateway 11
Web Gateway Cloud 11
分析ワークフロー 13
Web Gateway Cloud、有効化 13
あ
Web Gateway ルール、有効化 12
Web Gateway、有効化 11
アカウント管理
Cloud Threat Detection、有効化 9
ネットワークセキュリティマネージャー 15
新しいユーザー、有効化 9
ネットワークセキュリティ管理ポリシー、設定 16
既存のユーザー、有効化 10
ネットワークセキュリティマネージャー、確認 19
ライセンス使用状況、表示 10
ネットワークセキュリティマネージャー、有効化 15
トラブルシューティング 25
か
ね
概要
アーキテクチャ 6
ネットワークセキュリティマネージャー
サポートされる製品 7
ソリューション、有効化 15
仕組み 6
統計、表示 17
ソリューションの機能 5
統合、確認 19
ソリューションワークフロー 6
統合の概要 15
分析ワークフロー 7
トラブルシューティング 25
分析ワークフロー 16
ポリシー、設定 16
し
紹介
概要 5
McAfee Cloud Threat Detection 1.0.0
ソリューションガイド
27
0-16

Download Report