Deep Discovery Analyzer 7.1 公開のお知らせ:サポート情報 : トレンドマイクロ
Deep Discovery Analyzer 7.1 を以下のとおり公開いたします。
■公開開始日
2021年12月23日 (木)■主な新機能
Deep Discovery Analyzer 7.1 の主な新機能は以下のとおりです。
- Trend Micro Vision One の統合
- メールでの送信
- 仮想アナライザの機能強化
詳細につきましては付属の Readmeファイル をご覧ください。
■入手方法
最新版ダウンロードページからアップグレード用のモジュールやドキュメントをダウンロードすることができます。
新規インストール用のモジュールにつきましては法人カスタマーサイトからダウンロードをお願いいたします。■導入手順
サポート情報 : トレンドマイクロ
導入手順につきましては最新版ダウンロードページからダウンロードできるインストールガイドや管理者ガイドをご参照ください。
表 1. Deep Discovery Analyzer 7.1の新機能
機能/強化点 詳細 Trend Micro Vision Oneの統合 Service Gatewayを介したTrend Micro Vision Oneとの統合により、ハイブリッド環境における共同でのセキュリティ分析が可能になります。 メールでの送信 メールでの送信機能により、許可された送信者ドメインおよびSMTPサーバからのメールメッセージを受信して分析できるようになります。 仮想アナライザの機能強化 内部仮想アナライザが強化され、次の機能が追加されます。
・Windows 10 October 2020 Updateイメージのサポート
・SHA-256オブジェクトの除外の種類
・分析レポートのTLSH情報監査ログの機能強化 ユーザが次のことを実行すると監査ログが生成されます。
・調査パッケージまたは分析レポートの表示またはダウンロード
・送信のエントリの削除システムログの機能強化 ICAP事前検索のログをSyslogサーバに送信するオプションが提供されます。 運用レポートの機能強化 運用レポートが強化され、ICAP事前検索のログが含まれるようになります。 インタフェース管理の機能強化 インタフェース管理の機能が強化され、トラブルシューティングを容易にするため、インタフェースのMACアドレスが含まれるようになります。 サンプルの送信のフィルタと削除 [送信] 画面に次のものが含まれます。
・選択したサンプルと関連する分析データを削除するオプション ([完了] タブと [失敗] タブ)
・次の詳細検索フィルタ ([完了] タブ):
・MITRE ATT&CK™ Tactics
・MITRE ATT&CK™ Techniques
・著しい特性SNMPクエリの機能強化 SNMPクエリの機能が強化され、リアルタイムのアプリケーションイベントまたは指定した時間範囲内のイベントが含まれるようになります。 YARAルールの機能強化 YARAルールの機能が強化され、4.1.0の公式な仕様がサポートされるようになります。 Deep Discovery Analyzer 6.9および7.0からのインラインでの移行 ハードウェアモデルが1100および1200の場合、Deep Discovery Analyzer 6.9または7.0の設定を7.1に自動的に移行できます。
7. 既知の制限事項
本リリースにおける既知の制限事項は次のとおりです。
- 以前のプライマリアプライアンスのIPアドレスを使用せずに、セカンダリアプライアンスがクラスタの新しいプライマリアプライアンスとして設定されると、次のようになります。
- ライセンスの有効期限が切れるとクラウドサンドボックス設定は自動的に無効になり、ライセンスが更新されても自動的には有効になりません。
- クラスタのプライマリアプライアンスが動作不能になり、セカンダリアプライアンスが新しいプライマリアプライアンスとして設定されると、次のようになります。
- サンプルの処理中にシステム時間が変更されると、[送信] 画面の処理時間とキュー時間が負の値で表示されることがあります。
- Deep Discovery Analyzerを再インストールして同一のIPアドレスで設定すると、Control Managerでは不審オブジェクト情報を受信できません。アプライアンスをControl Managerコンソールで再登録してください。
- アクティブなプライマリアプライアンスとパッシブなプライマリアプライアンスのeth3経由での直接接続が中断されると、高可用性が機能しません。
- パッシブなプライマリアプライアンスをアクティブなプライマリアプライアンスからデタッチした後、両方の電源をオンのままにしておくと、その両方からSyslogサーバやバックアップサーバなどのサーバに重複したデータが送信されます。デタッチしたアプライアンスをスタンドアロンアプライアンスとして使用するには、Deep Discovery Analyzerソフトウェアを再インストールします。
- システム時間を前に戻すと、Deep Discovery Analyzerからメール通知が重複して送信されることがあります。
- システム時間を変更すると、次の問題が発生します。
- システム時間を前に戻すと:
- Deep Discovery Analyzerで予約期間1回分のレポートが自動的に生成されないことがあります。必要に応じてレポートを手動で生成してください。
- 送信ページとウィジェットのイベント件数が一致しないことがあります。
- システム時間を前に進めると、Deep Discovery Analyzerでレポートが重複して生成されます。
- オフラインのパッシブなプライマリアプライアンスをクラスタから削除してスタンドアロンアプライアンスとして使用する場合、そのアプライアンスには他の既存のアプライアンスと同じUUIDが割り当てられます。削除したアプライアンスをスタンドアロンアプライアンスとして使用するには、Deep Discovery Analyzerソフトウェアを再インストールします。
- [ダッシュボード] 画面には次の制限事項があります。
- 仮想アナライザでイメージのインスタンスを設定しているときにアプライアンスが再起動されると、Deep Discovery Analyzerでそのイメージが削除される場合があります。
- 仮想アナライザレポート (PDF) のページ区切りが誤っていることがあります。
- 仮想アナライザへ送信したレコードを [サブミッター] 順で正しくソート表示できません。表示レコードをソートする際に、Deep Discovery Analyzerはデータベース内にストアされた英語のサブミッター名を使用しますが、一部サブミッター名が管理コンソール上では日本語化されているため、ソートした際に管理コンソール上での表示順に不整合が生じます。
クラスタ化されたパッシブなプライマリおよびセカンダリのDeep Discovery Analyzerアプライアンスには、SNMP設定を設定できません。これらの設定は、アクティブなプライマリアプライアンスから自動的に同期され、SNMPサーバはすべてのクラスタノードから同一のデバイス位置情報を受信します。- 管理コンソールでアラートが無効化されている場合は、SNMPトラップメッセージは送信されません。
- より多くのシステムリソースを必要とするWindows 10 Fall Creators Update (RS3) 以降、Windows 10 LTSC、Windows 10 May 2020 Update (20H1)、Windows 10 October 2020 Update (20H2)、Windows Server 2016、またはWindows Server 2019イメージを使用してサンドボックス分析を実行すると、Deep Discovery Analyzerのパフォーマンスに影響することがあります。分析用にWindows 10 Fall Creators Update (RS3) 以降、Windows 10 May 2020 Update (20H1)、Windows 10 October 2020 Update (20H2)、Windows Server 2016、またはWindows Server 2019サンドボックス環境を使用する前に、テクニカルサポートにお問い合わせの上、Deep Discovery Analyzerのシステム負荷許容量を評価することをお勧めします。
- それぞれに異なる認証方法を使用する複数のアカウントが設定されたプロキシサーバを使用すると、そのプロキシサーバに一部のDeep Discovery Analyzerモジュールが接続できないことがあります。
- Deep Discovery Analyzer 5.5からアップグレードをしてきた環境でアラートメッセージを初期値のままお使いの場合、アップグレード後もアラートメッセージおよびSyslogに日本語文字列が使用されます。この日本語文字列は、Syslogでは正しく表示されない場合があります。
- アラートで設定された件名とメッセージはメールだけではなく、SyslogサーバとSNMPサーバへの通知時にも使用されます。
- ICAPクライアントからHTTP圧縮したサンプルが送信され、[ICAP] 画面で [MIMEコンテントタイプの検証を有効にする] オプションが選択されている場合、Deep Discovery AnalyzerではサンプルのICAP事前検索が引き続き実行されます。
- Smart Protection Serverの証明書を失効させる証明書失効リスト (CRL) をDeep Discovery Analyzerにインポートした後、CRLの確認を有効にしても、次の接続テストのステータスが常に成功と表示されます。
- コミュニティファイルレピュテーション
- コミュニティドメイン/IPレピュテーションサービス
- Webレピュテーションサービス
- イメージのグループ名を更新中にDeep Discovery Analyzerを再起動すると、[イメージ] 画面でインスタンス数が「0」と表示されることがあります。実際のインスタンス数を表示するには、イメージの名前を再度変更します。
- Deep Discovery Analyzerのネットワーク共有の検索機能では、SMB (Server Message Block) ファイルサーバ上のUTF-8エンコードされていないファイル名またはフォルダ名がサポートされません。Deep Discovery Analyzerがネットワーク共有上の潜在的に不正なファイルを効果的に検出できるように、SMBファイルサーバではUTF-8エンコードされたファイル名やフォルダ名を使用することをお勧めします。
- クラスタ設定で分析結果のデータバックアップが有効になっており、低速のネットワーク接続や大量のサンプルデータに起因してDeep Discovery Analyzerがデータをリアルタイムにバックアップできない場合、[ストレージ管理] 画面で分析結果の保存場所を変更すると、後続の送信に対してバックアップが失敗することがあります。
この問題を軽減するには、次を実行することをお勧めします。
- [ストレージ管理] 画面で、リスク高のサンプルのみをバックアップしてデータ量を減らすようにDeep Discovery Analyzerを設定します。
- [データのバックアップ] 画面の [前回のバックアップ] 時刻が現在の時刻に近づくまで待機してから、[ストレージ管理] 画面で保存場所の設定を変更します。
- クラスタ内のプライマリノードとセカンダリノードの両方に分析結果を保存するようストレージ管理を設定している場合、[完了] または [失敗] タブでサブミッションエントリを削除しようとすると、次のいずれかの理由でセカンダリノードからサブミッションエントリを削除できません。