TDR では、APT Blocker サービスを利用して、Host Sensor で特定された新しい不審なファイルが分析されます。WatchGuard APT Blocker サービスでは、最善のフル システム エミュレーション分析を利用して、ネットワーク内に入り込んだファイルの APT マルウェアの特性や動作が特定されます。Firebox により保護されているネットワークにホストが接続されていない場合でも、TDR Host Sensor により不審なファイルがアップロードされ分析されます。サンドボックスの分析結果は、ファイルに割り当てられた APT 脅威レベルとなります。TDR ThreatSync 分析エンジンにより、APT 脅威レベルに基づいて、インジケータに割り当てられた脅威スコアを上げるかどうかが判断されます。
サンドボックスは、クラウドベースのデータセンターにあります。TDR アカウントのサンドボックスは、TDR アカウント データが保存されているのと同じ地域にあります。たとえば、TDR アカウントの地域が欧州の場合は、サンドボックスも欧州にもあります。
APT Blocker を有効にする
APT Blocker 機能により、分析のために Host Sensor でファイルをアップロードすることができます。この機能は、有効化するか無効化するかを選択することができます。この機能を構成するには、TDR アカウントでこれを有効化する必要があります。
TDR で APT Blocker を有効化するには、以下の手順を実行します。
- TDR にログインする.
- 構成 > Threat Detection の順に選択します。
- ThreatSync セクションで、全般 を選択します。
- APT Blocker 機能の横にある 機能オン チェックボックスを選択します。
- 保存 をクリックします。
詳細については、TDR 全般設定 を参照してください。
ファイルのサンドボックス アクション
ファイルのサンドボックス アクションにより、分析のために、Host Sensor から不審なファイルがアップロードされます。このアクションが許可されるように APT Blocker ポリシーを構成すること、または Host Sensor からファイルのサンドボックス アクションが要求された後に手動アクションとしてそれを選択することができます。
コンテンツ インスペクションと証明書検証が有効化された HTTPS プロキシ ポリシーが設定されている Firebox の配下に Host Sensor がインストールされている場合は、HTTPS パケット フィルタ ポリシーを構成して、分析のために Host Sensor からのファイルのアップロードを許可しなければならない場合があります。詳細については、TDR トラフィックのファイアウォール ポリシーを構成する を参照してください。
Host Sensor では、次の条件で、分析のためにファイルが TDR にアップロードされます。
- プロセスまたはレジストリ ヒューリスティックで、ファイルが不審であることが Host Sensor に示されている。
- ファイル サイズが 10 MB 未満である。
- ファイルの MD5 値が以前に分析されたファイルと一致しない。
- ファイルには信頼できるベンダーの署名がない。
- アクティブな TDR APT Blocker ポリシーまたは手動 TDR アクションにより、ファイルのサンドボックス アクションが指定されている。
ファイルのサンドボックス アクションには、最大 20 分を要します。ファイルのサンドボックス アクションの進行中に、以下のイベントが発生します。
- Host Sensor からファイルが TDR クラウドにアップロードされる
- 分析のために、TDR から安全な地域のサンドボックスにファイルが送信される
- 修正が必要な場合に備えて、Host Sensor でファイルの場所のすべてのコピーまたは変更が追跡される
- APT Blocker によりファイルが実行され、ファイルの脅威が分析される
- APT Blocker から TDR に APT 脅威レベル結果が送信される
- TDR で、インジケータに関連付けられている脅威スコアが更新される
Host Sensor から Sandbox分析の要求が発信された場合にのみ、TDR でインジケータの脅威スコアが調整されます。別の Host Sensor から同じファイルに対して Sandbox 分析の要求が発信された場合でも、Host Sensor から Sandbox 分析の要求がない場合は、TDR ではインジケータ脅威スコアが調整されません。
Host Sensor からは、 Host Ransomware Prevention (HRP) イベントのファイルのサンドボックス アクションは要求されません。防止モードで HRP が有効化されている場合は、Host Sensor でランサムウェアが検出されると、自動的にアクションが発生して、ファイルが検疫され、プロセスが終了されます。詳細については、TDR Host Ransomware Prevention について を参照してください。
APT Blocker 脅威レベルおよびインジケータ脅威スコア
不審なファイルが最初に検出されると、TDR ではヒューリスティックに基づいてインジケータ スコアが割り当てられ、ファイルのサンドボックス アクションが要求されます。APT Blocker により、脅威の重大度に基づいて APT アクティビティが分類されます。TDR における APT Blocker 脅威レベルは、Firebox の APT Blocker の APT 脅威レベルと同じです。
高、中、および 低 脅威レベルは、マルウェアの重大度を示しています。この分類は、ファイルが APT Blocker によって分析される際に割り当てられるスコアによって決まります。高、中、低 の 脅威レベルの場合は、TDR によりインジケータ脅威スコアが上昇します。
クリーン 脅威レベルは、ファイルにマルウェアが含まれていないと判断されたことを示すものです。脅威レベルがクリーンの場合は、TDR ではインジケータ脅威スコアが変更されません。
| APT Blocker 脅威レベル | TDR 脅威スコア |
|---|---|
| 高 | 9 (重大) |
| 中 | 8 (深刻) |
| 低 | 7 (高) |
| クリーン | 変更なし |
APT Blocker ポリシーと修正ポリシーの組み合わせを構成して、TDR Host Sensor で新しく発生した脅威が自動的に分析され、それに対応するように設定することができます。修正ポリシーの詳細については、次を参照してください:推奨 TDR ポリシー。
APT Blocker サンドボックス分析ステータスを表示する
インジケータの APT Blocker によるファイルのサンドボックス アクションのステータスを WatchGuard Cloud で表示するには、以下の手順を実行します。
- 監視 > Threat Detection の順に選択します。
- ThreatSync セクションで、インジケータ を選択します。
-
をクリックしてから クリア を選択して、フィルタをクリアします。 - 要求されたアクション 列ヘッダーで、ファイルのサンドボックス アクションを選択します。適用 をクリックします。
インジケータ リストがフィルタされ、Host Sensor からファイルのサンドボックス アクションの要求が発せられたインジケータのみが表示されます。
- 結果 列には、各 Host Sensor のファイルのサンドボックス アクションのステータスが表示されます。
- インジケータの詳細を見るには、インジケータ 列で、追加情報 をクリックします。
サンドボックス分析ステータスは、APT Blocker セクションのインジケータの追加詳細に表示されます。
- ファイルサイズが 10 MB 以上の場合は、APT Blocker ステータスが 不適格 となります。ファイルが大きすぎて分析のために APT Blocker にアップロードできない場合に、このステータスが表示されます。
- ファイルがごみ箱に入っている場合は、APT Blocker のステータスは 不適格 となります。ごみ箱内の実行可能ファイルは、実行時に HRP によって自動的に検疫されるため、分析のために APT Blocker にアップロードされることはありません。
- サンドボックス分析が完了していない場合は、APT Blocker ステータスは 不明 となります。ファイルのサンドボックス アクションが進行中の場合、またはアクションを許可するポリシーが存在しない場合に、このステータスが表示されます。
- サンドボックス分析が完了すると、APT Blocker ステータスに脅威レベルが示されます。必要に応じて、インジケータ スコアもファイル分析に基づいて調整されます。
TDR でインジケータを管理する方法の詳細については、次を参照してください:TDR インジケータを管理する。