まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

Deep Discovery Email Inspector 3.6 公開のお知らせ:サポート情報 : トレンドマイクロ@ 新バージョン、MITRE ATT&CK™が分析レポートに追加、メッセージの方向は良さそう。

Deep Discovery Email Inspector 3.6 公開のお知らせ:サポート情報 : トレンドマイクロ

Deep Discovery Email Inspector 3.6 を下記にて公開いたします。

■ 公開開始日
2020年5月15日

■主な新機能
主な新機能は以下となります

ポリシーの条件として「メールの方向」が追加されます。これにより、メールの方向 (受信、送信、受信または送信) に基づいたポリシーが設定可能になります。
仮想アナライザが強化され、サンドボックスOSイメージとしてWindows 10 April 2018 Update、October 2018 Update、および Enterprise 2019 LTSCを新たにサポートします。
分析レポートに、MITRE ATT&CK(TM) Framework TacticsとTechniquesの情報が含まれるようになります。
メールファイルを管理画面からアップロードして解析する機能において、.msg(Outlookメールファイル)形式のメールファイルのアップロードも可能となります。
詳細およびその他の新機能につきましては、 付属の Readmeファイルをご覧ください。
■入手方法
本製品は次のページからダウンロードできます。
「 最新版ダウンロードページ : Deep Discovery Email Inspector」
■導入手順
付属の Readmeファイルをご覧ください。

サポート情報 : トレンドマイクロ
機能/強化点 詳細
MITRE ATT&CK™ Framework TacticsとTechniquesの情報 Deep Discovery Email Inspectorの分析レポートに、MITRE ATT&CK™ Framework TacticsとTechniquesの情報が含まれるようになります。
Email Encryption Email Encryptionにより、Deep Discovery Email Inspectorではポリシーの設定に基づいて次のタスクを実行できます。
-トレンドマイクロのIDベース暗号化 (IBE) を使用して暗号化されたメッセージを複合および検索する
-MTAモードでの安全な配信のためにメッセージを暗号化する
注:日本語版ではEmail Encryption機能をご利用いただけません。
メールのサブミット機能の強化 メールのサブミットでMSG形式のサンプルファイルがサポートされるようになります。
ポリシー設定の強化 Deep Discovery Email Inspectorでポリシーを設定し、メッセージの方向 (受信、送信、受信または送信) に基づいてメッセージを検索できます。
ユーザが設定する内部ドメインリストを使用してメッセージの方向が判断されるようになります。
内部ドメインリスト 内部ドメインリストにより、ポリシーを適用するメッセージの方向を判断できるようになります。
Deep Discovery Director 5.1のサポート Deep Discovery Director 5.1との統合により、次のことが可能になります。
-ファイルパスワードとEmail Encryptionの設定の一元管理
-ファイルのSHA-1、ファイルのSHA-256、およびURLの不審オブジェクトの同期
-Deep Discovery Directorへの登録に使用するサーバポートの設定
レポートを一元管理するため、Deep Discovery Directorには、メール暗号化の結果、YARAルール検出情報、およびメッセージの方向に関する情報を含むログも送信されます。
注:日本における本製品のリリースは2020年6月ごろの予定です。最新の提供状況については、以下をご参照ください。
https://downloadcenter.trendmicro.com/index.php?regs=jp&clk=result_page&clkval=drop_list&prodid=1760
仮想アナライザの機能強化 次の機能を含めるように仮想アナライザが強化されています。
-サンドボックス分析の新しいファイルタイプ (.mht、.com、および.ics)
-Windows 10 April 2018 Update、October 2018 Update、および Enterprise 2019 LTSCのイメージのサポート
-仮想アナライザイメージでのMicrosoft Office 2019アプリケーションのサポート
-URLサブミッションフィルタ
YARAルールの機能強化 [検出] 画面でYARAルールに次の機能強化が追加されます。
-YARA検出情報
-YARAルールファイル名とYARAルール名のフィルタ
検出機能の向上 検出機能の向上により保護機能が強化されます。このリリースでは次の機能がサポートされます。
-Microsoft Officeファイルから実行可能オブジェクトを削除するファイルのサニタイズ
-ファイルのSHA-256不審オブジェクトでのメッセージ検索
-脅威ポリシールールでの仮想アナライザへのサブミッションの優先度設定
ファイルパスワードのエクスポート すべてのファイルパスワードをコンピュータにエクスポートできます。
検索不能メッセージに対する新しい処理 隔離された検索不能メッセージについて、パスワード保護された添付ファイルを指定されたパスワードで開き、メッセージに脅威検索を実行するようにDeep Discovery Email Inspectorを設定できます。
新しいアラート通知 メッセージの暗号化および復号の失敗を知らせる新しいアラート通知が提供されます。
管理コンソールのセッションタイムアウト 管理コンソールの初期設定のセッションタイムアウトを設定できます。
インラインでのアップグレードのサポート Deep Discovery Email Inspectorでは、次のバージョンから3.6への設定の自動移行オプションが提供されます。
-Deep Discovery Email Inspector 3.5
-Deep Discovery Email Inspector 3.1

9. 既知の制限事項
9.1. [同じアドレスクラス内のホスト] が有効な場合は他のIPv6サブネットからメールメッセージを受信できない

問題: [管理]→[メール設定]→[制限および除外] 画面で [同じアドレスクラス内のホスト] オプションが有効な場合、Deep Discovery Email Inspectorでは他のIPv6サブネットからメールメッセージを受信できません。

9.2. 夏時間を標準時間に変更するとウィジェットに時間が重複して表示される

問題: Deep Discovery Email Inspectorで夏時間を標準時間に変更すると、ウィジェットに時間が重複して表示されます。

9.3. SPAN/TAPモードではISLでカプセル化されたVLANトラフィックを取得できない

問題: SPAN/TAPモードのDeep Discovery Email Inspectorでは、CiscoのISL (Inter-Switch Link) プロトコルカプセル化されたVLANトラフィックを取得できません。

9.4. アクティブモードのFTPサーバから仮想アナライザのイメージをアップロードできない

問題: Deep Discovery Email Inspectorでは、アクティブモードのFTPサーバから仮想アナライザのイメージをアップロードできません。このような接続は、Deep Discovery Email Inspectorのセキュリティによって許可されません。

解決策: トレンドマイクロでは、パッシブモードのFTPサーバを使用するか、別の方法で仮想アナライザのイメージをインポートすることをお勧めします。

9.5. 一般的でない形式のメールメッセージはサポートされない

問題: Deep Discovery Email Inspectorでは、一般的でない形式のメールメッセージの件名を読み取ることができません。一般的でない形式のメールメッセージとは、RFC2822に準拠していないものを指します。

解決策: トレンドマイクロでは、標準形式のメールメッセージのみルーティングすることをお勧めします。一般的でない形式のメールメッセージは、ほとんどのメールユーザエージェントで読み取ることができません。

9.6. 日時の形式が変更されない

問題: [システム設定]→[時間] 画面で [日時の形式] を変更した場合に、1) [ダッシュボード]→[ウィジェットの追加] の各ウィジェットの [最終更新日] の日時、2) ウィジェットのプレビュースクリーンショットの [前回のアップデート] の日時、3) [検出] の詳細情報のメールスクリーンショットの日時、および4) [検出]→[送信者のフィルタ] の [カスタム範囲] の日時の形式が変更されません。

解決策: 1.各ウィジェットの [最終更新日] の日時については、対応する形式で日時を表示することがDeep Discovery Email Inspectorで使用されるウィジェットフレームワークの制限事項になります。2.ウィジェットのプレビュースクリーンショットの [前回のアップデート] の日時については、プレビュースクリーンショットが画像であるため変更できません。3.メールスクリーンショットに表示される日時はサードパーティのメールクライアントによって作成されます。4.[検出]→[送信者のフィルタ] の [カスタム範囲] については、日時フィールドが情報表示とデータクエリの両方に使用されます。表示される日時の形式は、ユーザ指定ではなくロケールによって決まります。

9.7. 1つのメールに60を超えるURLが含まれている場合の制限事項

問題: 1つのメールに60を超えるURLが含まれていると、同じURLがすでに書き換えられている場合でも、一部の危険性の高いURLがブロックページや警告ページにリダイレクトされるリンクに書き換えられないことがあります。

解決策: Deep Discovery Email Inspectorの初期設定では、1つのメールから最大60のURLが検索用に抽出されます。脅威が検出されたURLは、ブロックページや警告ページにリダイレクトされるリンクに書き換えられます。1つのメールに60を超えるURLが含まれている場合、Deep Discovery Email Inspectorで一部のURLを検出できず、リンクで書き換えることができません。

9.8. パスワード保護されたOffice PowerPoint 2003ファイルの問題

問題: Deep Discovery Email Inspectorではパスワード保護されたOffice PowerPoint 2003ファイルを検索できません。

解決策: Office PowerPoint 2003ファイルの暗号方式はそれ以降のバージョンとは異なるため、この形式は復号できません。

9.9. 設定に基づくクエリの制限事項

問題: [管理]→[検索/分析]→[その他の設定]→[Smart Protection] 画面で [Webレピュテーションサービス用のSmart Protection Serverに接続] を有効にすると、内部仮想アナライザでURLブロックの理由のクエリ、Censusのクエリ、またはCSSS (Certified Safe Software Service) のクエリが実行されません。さらにスマートフィードバック機能も提供されません。

解決策: これは内部仮想アナライザの設定です。ユーザは [管理]→[検索/分析]→[その他の設定]→[Smart Protection] 画面で [Webレピュテーションサービス用のSmart Protection Serverに接続] を無効にすることも、[Webレピュテーションサービス用のSmart Protection Serverに接続] と [Smart Protection Server経由でグローバルサービスに接続] の両方を有効にすることもできます。

9.10. Deep Discovery Analyzerと統合された場合にリスクレベルが一致しない

問題: Deep Discovery Analyzerと統合された場合、不正URLのDeep Discovery Email Inspectorでの最終的なリスクレベルがDeep Discovery Analyzerのリスクレベルと一致しません。

解決策: Deep Discovery Analyzerではリスクレベルの確認に複数の異なる製品がサポートされるため、Deep Discovery Email Inspectorでは、仮想アナライザから返される不正URLのリスクレベルが、内部仮想アナライザまたはDeep Discovery Analyzerのいずれから返される場合でも1レベル低くなります。

9.11. 重複するメール添付ファイルの命名の問題

問題: ファイル名が異なる2つの同じメール添付ファイルをDeep Discovery Analyzerで分析すると、その添付ファイルの分析レポートのファイル名が同じになります。

解決策: Deep Discovery Analyzerの現在の仕様では、同じファイルのキャッシュされた分析結果またはURLがDeep Discovery Email Inspectorに返されます。

9.12. Microsoft IE10とEdgeでアイコンが重複する

問題: Microsoft EdgeとIE10で、[ダッシュボード]→[ウィジェットの追加] 画面の「検索」ボックスの後ろに削除アイコンが2つ表示されます。

解決策: Microsoft IE10とEdgeでは、「検索」ボックス用に初期設定で削除アイコンが作成されます。ただし、ウィジェットフレームワークでも別の削除アイコンが作成されています。

9.13. HTTPプロトコルを使用してTrend Micro Apex Central (以下、Apex Central) WebコンソールにログインするとApex CentralからDeep Discovery Email Inspectorへのシングルサインオンが機能しない

問題: Deep Discovery Email Inspectorの現在の仕様では、HTTPプロトコルを使用したApex Centralからのシングルサインオンはサポートされません。

解決策: HTTPSプロトコルを使用してApex Central Webコンソールにログインします。

9.14. CLISHを使用したゲートウェイの初期設定における表示の問題

問題: CLISHを使用してeth0以外のネットワークインタフェースに初期設定のゲートウェイを設定すると、現在の初期設定のゲートウェイDNS設定が管理コンソールに表示されません。

9.15. デュアルスタックネットワークでのネットワークサービス診断におけるIPアドレスの表示の問題

問題: デュアルスタックネットワークでIPv4アドレスを使用してWebレピュテーションサービスとコミュニティファイルレピュテーションに到達できない場合、[管理]→[システムメンテナンス]→[ネットワークサービス診断] 画面には、それらのサービスに対して最後に解決されたIPv4アドレスが表示されたままになります。

9.16. 仮想アナライザでの分析のパフォーマンスの問題

問題: 最新のシステムリソースを必要とするWindows 10またはWindows Server 2016イメージを使用してサンドボックス分析を行うと、Deep Discovery Email Inspectorのパフォーマンスが低下することがあります。

解決策: Windows 10およびWindows Server 2016環境のシステムリソース要件によるため、 分析にWindows 10またはWindows Server 2016サンドボックス環境を使用する前に、テクニカルサポートに問い合わせてDeep Discovery Email Inspectorでシステムの読み込み容量を評価することをお勧めします。

9.17. 同じSHA-1値を持つ複数の不審添付ファイルを含むメッセージの表示の問題

問題: 1つのメッセージに同じSHA-1値を持つ複数の不審添付ファイルが含まれている場合、[検出] 画面には複数の不審添付ファイルの1つのエントリしか表示されません。

9.18. 複数のHTTP認証方式をサポートするプロキシサーバに接続する際の制限事項

問題: Deep Discovery Email Inspectorが複数のHTTP認証方式をサポートするプロキシサーバに接続する場合、アップデートや製品ライセンス登録を除く一部のサービスが正常に機能しないことがあります。[ネットワークサービス診断] 画面で当該サービスのステータスが [失敗] と表示されます。

9.19. [検出されたメッセージ] およびメール分析レポートにおける、URLまたはホストのリスクレベル表示の問題

問題: 検出されたURLまたはホストがトレンドマイクロによってこれまで評価されていない場合、結果は正しくは未評価となりますが、 [使用不可] と表示されます。

9.20. エンドユーザメール隔離通知の送信の問題

問題: [管理]→[エンドユーザメール隔離]→[エンドユーザメール隔離の設定] 画面の [EUQ認証にSMTPサーバを使用する] オプションと [管理]→[エンドユーザメール隔離]→[エンドユーザメール隔離通知] 画面の [エンドユーザメール隔離 (EUQ) 通知を有効にする] オプションが有効な場合、Deep Discovery Email Inspectorでは受信者個人ではなくメールグループにエンドユーザメール隔離通知が送信されることがあります。Deep Discover Email Inspectorでは、隔離されたメッセージが受信者個人と受信者グループのどちらを対象に送信されたものか判断できません。

解決策: [管理]→[エンドユーザメール隔離]→[エンドユーザメール隔離の設定] 画面で、[EUQ認証にSMTPサーバを使用する] オプションをオンにして、個別のメールアドレスのみを含むドメインを追加します。

9.21. Time-of-Clickの検出ログ数が10,000を超える場合の制限事項

問題: Deep Discovery Email Inspectorに10,000を超えるTime-of-Clickプロテクションログがある場合、ログの検索結果と [Time-of-Clickプロテクション] ウィジェットに表示されるログの数が一致しません。

解決策: 時間範囲を指定してTime-of-Clickプロテクションログのクエリを実行します。

9.22. マクロが有効なパスワード保護されたMicrosoft Officeファイルを分析する場合の制限事項

問題: 高度な脅威検索エンジンではパスワード保護されたMicrosoft Officeファイルにマクロが含まれているかどうかを判断できないため、マクロが有効なパスワード保護されたMicrosoft Officeファイルは、「マクロが有効なOffice文書」ファイルカテゴリに基づいてDeep Discovery Email Inspectorから仮想アナライザに分析のために送信されません。

9.23. Microsoft Edgeを使用してファイルをアップロードする場合の制限事項

問題: Microsoft Edgeを使用してDeep Discovery Email Inspectorアップグレードパッケージをアップロードする場合、アップロードプロセスが完了するまで管理コンソールが応答を停止することがあります。

9.24. Microsoft Internet Explorer 9を使用して管理コンソールにアクセスする場合の制限事項

問題: Microsoft Internet Explorer 9を使用している場合、管理コンソールでIPv6アドレスを使用したユーザログインセッションがサポートされません。

9.25. Email Encryptionのパフォーマンスの問題

問題: Email Encryptionを有効化し、すべての送信メールメッセージを暗号化して復号するようにポリシーを設定すると、Deep Discovery Email Inspectorのパフォーマンスレベルが著しく低下します。

解決策: 送信メールメッセージを暗号化して復号する専用のDeep Discovery Email Inspectorアプライアンスを設定します。
注意: 日本語版ではEmail Encryption機能をご利用いただけません。
9.26. 内部ドメイン設定に基づいてメッセージの方向を判断する場合の制限事項

問題: メールメッセージの送信者および受信者のドメインが内部ドメインリストに含まれている場合、Deep Discovery Email Inspectorではそのメッセージが送信メッセージと見なされ、送信メッセージ用のポリシーが適用されます。

解決策: このような種類のメッセージに適用する適切なポリシーを設定します。

Trend Micro Deep Discovery Email Inspector Readme

稼げるプレゼン

稼げるプレゼン

  • 作者:越川慎司
  • 発売日: 2020/05/15
  • メディア: 単行本