まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

Deep Discovery Analyzer 7.1 公開のお知らせ:サポート情報 : トレンドマイクロ@ VisionOneとの統合、Windows 10 October 2020 Updateの仮想アナライザに対応とのこと

トレンドマイクロ IT

Deep Discovery Analyzer 7.1 公開のお知らせ:サポート情報 : トレンドマイクロ

Deep Discovery Analyzer 7.1 を以下のとおり公開いたします。


■公開開始日
2021年12月23日 (木)

■主な新機能
Deep Discovery Analyzer 7.1 の主な新機能は以下のとおりです。

  • Trend Micro Vision One の統合
  • メールでの送信
  • 仮想アナライザの機能強化

詳細につきましては付属の Readmeファイル をご覧ください。
■入手方法
最新版ダウンロードページからアップグレード用のモジュールやドキュメントをダウンロードすることができます。
新規インストール用のモジュールにつきましては法人カスタマーサイトからダウンロードをお願いいたします。

■導入手順
導入手順につきましては最新版ダウンロードページからダウンロードできるインストールガイドや管理者ガイドをご参照ください。

サポート情報 : トレンドマイクロ

表 1. Deep Discovery Analyzer 7.1の新機能

機能/強化点 詳細
Trend Micro Vision Oneの統合 Service Gatewayを介したTrend Micro Vision Oneとの統合により、ハイブリッド環境における共同でのセキュリティ分析が可能になります。
メールでの送信 メールでの送信機能により、許可された送信者ドメインおよびSMTPサーバからのメールメッセージを受信して分析できるようになります。
仮想アナライザの機能強化 内部仮想アナライザが強化され、次の機能が追加されます。
・Windows 10 October 2020 Updateイメージのサポート
・SHA-256オブジェクトの除外の種類
・分析レポートのTLSH情報
監査ログの機能強化 ユーザが次のことを実行すると監査ログが生成されます。
・調査パッケージまたは分析レポートの表示またはダウンロード
・送信のエントリの削除
システムログの機能強化 ICAP事前検索のログをSyslogサーバに送信するオプションが提供されます。
運用レポートの機能強化 運用レポートが強化され、ICAP事前検索のログが含まれるようになります。
インタフェース管理の機能強化 インタフェース管理の機能が強化され、トラブルシューティングを容易にするため、インタフェースのMACアドレスが含まれるようになります。
サンプルの送信のフィルタと削除 [送信] 画面に次のものが含まれます。
・選択したサンプルと関連する分析データを削除するオプション ([完了] タブと [失敗] タブ)
・次の詳細検索フィルタ ([完了] タブ):
 ・MITRE ATT&CK™ Tactics
 ・MITRE ATT&CK™ Techniques
・著しい特性
SNMPクエリの機能強化 SNMPクエリの機能が強化され、リアルタイムのアプリケーションイベントまたは指定した時間範囲内のイベントが含まれるようになります。
YARAルールの機能強化 YARAルールの機能が強化され、4.1.0の公式な仕様がサポートされるようになります。
Deep Discovery Analyzer 6.9および7.0からのインラインでの移行 ハードウェアモデルが1100および1200の場合、Deep Discovery Analyzer 6.9または7.0の設定を7.1に自動的に移行できます。

7. 既知の制限事項

本リリースにおける既知の制限事項は次のとおりです。

  1. 以前のプライマリアプライアンスのIPアドレスを使用せずに、セカンダリアプライアンスがクラスタの新しいプライマリアプライアンスとして設定されると、次のようになります。
    1. 以前のプライマリアプライアンスがControl Managerサーバに登録されている場合、新しいプライマリアプライアンスは登録されません。
    2. 以前のプライマリアプライアンスに統合されていた製品は、新しいプライマリアプライアンスに統合されません。該当する製品では、サンプルを送信することも、不審オブジェクトのリストを取得することもできません。
    3. クラスタ内のセカンダリアプライアンスは新しいプライマリアプライアンスに登録されません。
  2. ライセンスの有効期限が切れるとクラウドサンドボックス設定は自動的に無効になり、ライセンスが更新されても自動的には有効になりません。
  3. クラスタのプライマリアプライアンスが動作不能になり、セカンダリアプライアンスが新しいプライマリアプライアンスとして設定されると、次のようになります。
    1. プライマリアプライアンスが動作不能になったときに分析が実行されていたすべてのサンプルには、分析結果が表示されません。
    2. 動作不能になった日にプライマリアプライアンスに対して行われた設定変更は、クラスタ内のセカンダリアプライアンスと同期されないことがあります。
  4. サンプルの処理中にシステム時間が変更されると、[送信] 画面の処理時間とキュー時間が負の値で表示されることがあります。
  5. Deep Discovery Analyzerを再インストールして同一のIPアドレスで設定すると、Control Managerでは不審オブジェクト情報を受信できません。アプライアンスをControl Managerコンソールで再登録してください。
  6. アクティブなプライマリアプライアンスとパッシブなプライマリアプライアンスのeth3経由での直接接続が中断されると、高可用性が機能しません。
  7. パッシブなプライマリアプライアンスをアクティブなプライマリアプライアンスからデタッチした後、両方の電源をオンのままにしておくと、その両方からSyslogサーバやバックアップサーバなどのサーバに重複したデータが送信されます。デタッチしたアプライアンスをスタンドアロンアプライアンスとして使用するには、Deep Discovery Analyzerソフトウェアを再インストールします。
  8. システム時間を前に戻すと、Deep Discovery Analyzerからメール通知が重複して送信されることがあります。
  9. システム時間を変更すると、次の問題が発生します。
    1. システム時間を前に戻すと:
        • Deep Discovery Analyzerで予約期間1回分のレポートが自動的に生成されないことがあります。必要に応じてレポートを手動で生成してください。
        • 送信ページとウィジェットのイベント件数が一致しないことがあります。
  10. システム時間を前に進めると、Deep Discovery Analyzerでレポートが重複して生成されます。
  11. オフラインのパッシブなプライマリアプライアンスをクラスタから削除してスタンドアロンアプライアンスとして使用する場合、そのアプライアンスには他の既存のアプライアンスと同じUUIDが割り当てられます。削除したアプライアンスをスタンドアロンアプライアンスとして使用するには、Deep Discovery Analyzerソフトウェアを再インストールします。
  12. [ダッシュボード] 画面には次の制限事項があります。
    1. タブのレイアウトを変更すると、ウィジェットが正しい順序で表示されない場合があります。
    2. 必要に応じてウィジェットの順序を手動で変更してください。
    3. 一部のウィジェットでは自動調整機能がサポートされません。
  13. 仮想アナライザでイメージのインスタンスを設定しているときにアプライアンスが再起動されると、Deep Discovery Analyzerでそのイメージが削除される場合があります。
  14. 仮想アナライザレポート (PDF) のページ区切りが誤っていることがあります。
  15. 仮想アナライザへ送信したレコードを [サブミッター] 順で正しくソート表示できません。表示レコードをソートする際に、Deep Discovery Analyzerはデータベース内にストアされた英語のサブミッター名を使用しますが、一部サブミッター名が管理コンソール上では日本語化されているため、ソートした際に管理コンソール上での表示順に不整合が生じます。
    クラスタ化されたパッシブなプライマリおよびセカンダリのDeep Discovery Analyzerアプライアンスには、SNMP設定を設定できません。これらの設定は、アクティブなプライマリアプライアンスから自動的に同期され、SNMPサーバはすべてのクラスタノードから同一のデバイス位置情報を受信します。
  16. 管理コンソールでアラートが無効化されている場合は、SNMPトラップメッセージは送信されません。
  17. より多くのシステムリソースを必要とするWindows 10 Fall Creators Update (RS3) 以降、Windows 10 LTSC、Windows 10 May 2020 Update (20H1)、Windows 10 October 2020 Update (20H2)、Windows Server 2016、またはWindows Server 2019イメージを使用してサンドボックス分析を実行すると、Deep Discovery Analyzerのパフォーマンスに影響することがあります。分析用にWindows 10 Fall Creators Update (RS3) 以降、Windows 10 May 2020 Update (20H1)、Windows 10 October 2020 Update (20H2)、Windows Server 2016、またはWindows Server 2019サンドボックス環境を使用する前に、テクニカルサポートにお問い合わせの上、Deep Discovery Analyzerのシステム負荷許容量を評価することをお勧めします。
  18. それぞれに異なる認証方法を使用する複数のアカウントが設定されたプロキシサーバを使用すると、そのプロキシサーバに一部のDeep Discovery Analyzerモジュールが接続できないことがあります。
  19. Deep Discovery Analyzer 5.5からアップグレードをしてきた環境でアラートメッセージを初期値のままお使いの場合、アップグレード後もアラートメッセージおよびSyslogに日本語文字列が使用されます。この日本語文字列は、Syslogでは正しく表示されない場合があります。
  20. アラートで設定された件名とメッセージはメールだけではなく、SyslogサーバとSNMPサーバへの通知時にも使用されます。
  21. ICAPクライアントからHTTP圧縮したサンプルが送信され、[ICAP] 画面で [MIMEコンテントタイプの検証を有効にする] オプションが選択されている場合、Deep Discovery AnalyzerではサンプルのICAP事前検索が引き続き実行されます。
  22. Smart Protection Serverの証明書を失効させる証明書失効リスト (CRL) をDeep Discovery Analyzerにインポートした後、CRLの確認を有効にしても、次の接続テストのステータスが常に成功と表示されます。
    1. コミュニティファイルレピュテーション
    2. コミュニティドメイン/IPレピュテーションサービス
    3. Webレピュテーションサービス
  23. イメージのグループ名を更新中にDeep Discovery Analyzerを再起動すると、[イメージ] 画面でインスタンス数が「0」と表示されることがあります。実際のインスタンス数を表示するには、イメージの名前を再度変更します。
  24. Deep Discovery Analyzerのネットワーク共有の検索機能では、SMB (Server Message Block) ファイルサーバ上のUTF-8エンコードされていないファイル名またはフォルダ名がサポートされません。Deep Discovery Analyzerがネットワーク共有上の潜在的に不正なファイルを効果的に検出できるように、SMBファイルサーバではUTF-8エンコードされたファイル名やフォルダ名を使用することをお勧めします。
  25. クラスタ設定で分析結果のデータバックアップが有効になっており、低速のネットワーク接続や大量のサンプルデータに起因してDeep Discovery Analyzerがデータをリアルタイムにバックアップできない場合、[ストレージ管理] 画面で分析結果の保存場所を変更すると、後続の送信に対してバックアップが失敗することがあります。
    この問題を軽減するには、次を実行することをお勧めします。
    1. [ストレージ管理] 画面で、リスク高のサンプルのみをバックアップしてデータ量を減らすようにDeep Discovery Analyzerを設定します。
    2. [データのバックアップ] 画面の [前回のバックアップ] 時刻が現在の時刻に近づくまで待機してから、[ストレージ管理] 画面で保存場所の設定を変更します。
  26. クラスタ内のプライマリノードとセカンダリノードの両方に分析結果を保存するようストレージ管理を設定している場合、[完了] または [失敗] タブでサブミッションエントリを削除しようとすると、次のいずれかの理由でセカンダリノードからサブミッションエントリを削除できません。
    1. サンプルがセカンダリノードで分析されているが、このノードに接続できない。
    2. サンプルが最初にセカンダリノードAで分析された後、別のノードで再分析されている。セカンダリノードAにある関連する分析結果は削除されません。
    3. サンプルがセカンダリノードで分析された後、分析結果をプライマリノードのみに保存するよう設定が変更されている。
    4. セカンダリノードをプライマリノードとして設定すると、サブミッションエントリを手動で削除できます。さらにDeep Discovery Analyzerは、[システムメンテナンス]→[ストレージ管理] タブの設定に従ってログの自動削除を実行します。

ネット・SNSの危険から子どもを守れ! -教師・親のための早わかりbook-

ネット・SNSの危険から子どもを守れ! -教師・親のための早わかりbook-

Amazon