適切な形式のOpenIOCファイル ( *.ioc ) をインポートして、不審ファイルSHA-1、IPアドレス、URL、およびドメインオブジェクトをユーザ指定の不審オブジェクトリストに抽出することにより、ネットワークでまだ確認されていないオブジェクトからネットワークを保護できます。ファイルをアップロードするときは、不審オブジェクトの検出後にサポート対象のトレンドマイクロ製品で実行する検索処理を指定できます。OpenIOCファイルのアップロード後、アップロードしたファイルを事前診断に基づく調査または現状調査の診断条件として選択することもできます。
ユーザ指定の不審オブジェクトリストに不審オブジェクトを直接手動で追加する方法の詳細については、 ユーザ指定の不審オブジェクトリストにオブジェクトを追加する を参照してください。
Apex Central はOpenIOC 1.0のみをサポートしています。
初期設定では、OpenIOCファイルのアップロードが完了した時点で、 Apex Central はユーザ指定の不審オブジェクトリストに不審オブジェクトを自動的に抽出します。
または、最初にOpenIOCをアップロードし、ファイルのアップロードが完了した後に手動で不審オブジェクトを抽出することもできます。
-
[脅威インテリジェンス]
>
[カスタムインテリジェンス]
に移動します。
[カスタムインテリジェンス] 画面が表示されます。
-
[OpenIOC]
タブをクリックします。
OpenIOCファイルリストが表示されます。
- (オプション) ファイルリストに表示されるファイルをフィルタするには、検索ボックスを使用して [ファイル名] 、 [概要] 、または [ソースの追加元] 列に含まれる文字列全体またはその一部を指定します。
-
[追加]
をクリックします。
[OpenIOCファイルの追加] 画面が表示されます。
-
アップロードするOpenIOCファイル (
*.ioc
) を選択します。
- [ファイルを選択] をクリックします。
-
アップロードするファイルを1つ以上選択します。
注:
-
各ファイルの最大ファイルサイズは10MBです。
-
同時にアップロードできるファイル数は最大200ファイルです。
-
ユーザ指定の不審オブジェクトリストでは、不審オブジェクトの種類ごとのオブジェクトの最大数が10,000個を超えないようにしてください。
最大数を超えた場合、その不審オブジェクトの種類に対する抽出するタスクは失敗します。
-
- [開く] をクリックします。
-
(オプション)
[詳細設定]
で次の設定を行います。
-
不審オブジェクトを自動的に抽出せずにファイルをアップロードするには、 [ファイルSHA1ハッシュ、IPアドレス、URL、またはドメインを抽出して、不審オブジェクトをユーザ指定の不審オブジェクトリストに追加する] チェックボックスをオフにします。
注:ファイルのアップロード時の自動抽出を無効にしても、ファイルのアップロードが完了した後にオブジェクトを手動で抽出できます。
-
オブジェクトの検出後にサポート対象製品で実行する検出時の処理を指定します。
-
-
[追加]
をクリックします。
Apex Central は、選択したOpenIOCファイルをOpenIOファイルリストにアップロードます。
注:-
初期設定を選択した場合、 Apex Central は不審オブジェクトをユーザ指定の不審オブジェクトリストに自動的に抽出します。
-
次のシナリオでは、OpenIOCファイルリストの [抽出されたオブジェクト] 列に「N/A」と表示されます。
-
不審オブジェクトを自動的に抽出せずにOpenIOCファイルをアップロードした場合。
-
Apex Central がOpenIOCファイルから不審オブジェクトを抽出できなかった場合。
-
-
-
アップロードしたOpenIOCファイルから不審オブジェクトを手動で抽出するには、次の手順を実行します。
- アップロードしたファイルの ファイル名 の横にあるチェックボックスをオンにします。
-
[抽出]
をクリックします。
[抽出されたオブジェクト] 列に、OpenIOCファイルからユーザ指定の不審オブジェクトリストに抽出された不審オブジェクトの数が表示されます。
-
特定のファイルのコピーをダウンロードするには、 [ファイル名] 列にあるリンクをクリックします。
-
ファイル抽出のステータスを追跡するには、 [コマンド追跡] 画面を使用します。
詳細については、 コマンド追跡 を参照してください。
-
ユーザ指定の不審オブジェクトリストのフィルタ画面で抽出された不審オブジェクトを表示するには、 [抽出されたオブジェクト] 列の数字をクリックします。
-
ファイルを削除するには、1つ以上のファイルの ファイル名 の横にあるチェックボックスをオンにし、 [削除] をクリックします。
注:-
ファイルを削除しても、抽出された不審オブジェクトはユーザ指定の不審オブジェクトリストから削除されません。
-
Apex Central でファイルから不審オブジェクトの抽出が完了するまでは、ファイルを削除できません。
-
-
-
アップロードしたOpenIOCファイルを診断条件として使用して脅威の今すぐ調べるには、次の手順を実行します。
重要:
-
脅威の調査には、有効なEndpoint Sensorライセンスが必要です。有効なEndpoint Sensorライセンスがあることを確認するか、サービスプロバイダに問い合わせてアクティベーションコードを入手してください。
-
Endpoint Sensorライセンスをアクティベートしたら、 [ポリシー管理] 画面 ( [ポリシー] > [ポリシー管理] ) でApex OneセキュリティエージェントポリシーまたはApex One (Mac) ポリシーを作成して、Endpoint Sensor機能を有効にします。
詳細については、ポリシー設定画面のオンラインヘルプをご覧ください。
- アップロードしたファイルの ファイル名 の横にあるチェックボックスをオンにします。
-
次のいずれかの脅威の調査を実行します。
調査
説明
事前診断に基づく調査
事前診断に基づく調査は、サーバメタデータを使用して詳細な分析対象候補のエンドポイントを特定します。
[影響の分析] ボタンにマウスを重ねて [事前診断に基づく調査] をクリックします。
注:事前診断に基づく調査は、 [事前診断に基づく調査] 画面 ( [レスポンス] > [事前診断に基づく調査] ) から実行することもできます。
詳細については、 事前診断に基づく調査にカスタム条件を使用する を参照してください。
1回限りの調査
1回限りの調査はオンデマンドで生成される現状調査です。現在ディスクにあるすべてのファイルと現在メモリで実行されているすべてのプロセスを調査します。
[影響の分析] ボタンにマウスを重ねて [現状調査] > [手動] に移動します。
注:1回限りの調査は、 [現状調査] 画面 ( [レスポンス] > [現状調査] ) の [1回限りの調査] タブから実行することもできます。
詳細については、 1回限りの調査を開始する を参照してください。
予約調査
予約調査は、指定の間隔で自動的に実行される現状調査です。
[影響の分析] ボタンにマウスを重ねて [現状調査] > [自動 (予約)] を選択します。
注:予約調査は、 [現状調査] 画面 ( [レスポンス] > [現状調査] ) の [予約調査] タブから実行することもできます。
詳細については、 予約調査 を参照してください。
-