Trend Micro Apex OneTM 機能説明資料...12 Copyright © 2019 Trend Micro Incorporated. All rights reserved. Apex One 新機能と主な変更点新機能概要 1 別エージェントとして提供して

Trend Micro Apex OneTM

機能説明資料

トレンドマイクロ株式会社

2019年7月31日

2 Copyright © 2019 Trend Micro Incorporated. All rights reserved.

はじめに

• 本資料について

– 本資料は、ウイルスバスターコーポレートエディション XG の後継となる Trend Micro Apex One (以下Apex One)の機能説明資料です。VDIオプション以外のプラグイン機能の詳細は別途資料を参照してください。

– 本資料では Apex One の基本機能や運用に役立つ機能などについて解説しています。すべての機能や制限事項を記載した資料ではありませんので、あらかじめご了承ください。

– システム要件や制限事項などは、トレンドマイクロの最新版ダウンロードページに公開されている各種資料を参照してください。具体的な操作方法に関しては、Readme、インストールガイド、管理者ガイドも併せてご確認ください。プラグイン機能やサイジングデータについても別資料を併せてご確認ください。

– また、本資料は2019年7月時点で公開されている製品を元に作成されております。今後のバージョンアップや機能追加などによって内容は予告なく変更される場合がありますので、あらかじめご了承ください。

• 本資料で用いられる略称

– Trend Micro Apex One ・・・ Apex One

– Trend Micro Apex Central ・・・ Apex Cental

– ウイルスバスターコーポレートエディション・・・ウイルスバスターCorp. または Corp.

– Trend Micro Control Manager ・・・ TMCM


改訂履歴

版数改訂日内容

第1版 2019/7/31 第1版として公開


目次

1. Apex One 製品コンセプト

2. 新機能・ウイルスバスター Corp. XG からの強化ポイント

3. Apex One のサーバ構成

4. Apex One エージェントが提供する脅威からの保護機能

5. Apex One エージェントに統合された新機能

6. 運用管理機能

7. プラグイン製品について

8. ウイルスバスター Corp. からのマイグレーション

9. Appendix

Copyright © 2019 Trend Micro Incorporated. All rights reserved. 5

第1章Apex One 製品コンセプト


法人組織を取り巻くサイバーセキュリティの課題

課題①攻撃の高度化

課題②対処の難しさ

「正規」を隠れ蓑にしたサイバー攻撃の台頭

迅速な被害状況把握や発生原因調査が困難

• 攻撃のファイルレス化

• 正規ツールの悪用

• とりあえずOSリストア

• 定義ファイルまでの待ち時間

• フォレンジックコスト


課題① 攻撃の高度化(ファイルレスなど)

見かけはドキュメントだが・・・

攻撃ペイロードをダウンロードし不正活動を開始

Powershellなどの正規コマンドを含んだ

ショートカットリンク(.lnk)

【Point】実行ファイルベースの

従来型のアンチウイルス技術では検知でいない

国内外でブロックしたファイルレス攻撃数出典：トレンドマイクロ「2018年年間セキュリティラウンドアップ」

300%増


A社ネットワークセキュリティ機器

B社アンチウイルスソフト(従来から継続利用)

【A社のアラートやSOC】端末Xから不審な通信を検出、ウイルス感染の疑いが報告される

端末X

端末Xを最新パターンに更新してフルスキャンしたが何も検出しない…A社の過検出？B社の検出力の問題？とりあえずOSのリカバリで対応

管理者

発生した”グレー”なイベントの調査・分析ができず、

根本的なインシデント対応ができていない

(実際に当社に寄せられているお悩みごと)

課題② インシデント対応における課題


事前予防事後対処

Trend Micro Apex One™ のコンセプト

先進的な技術と実績ある技術の融合- パターンマッチング- 挙動監視によるファイルレス検出- 機械学習型検索

クラウド型技術基盤を活用した新しい脅威に対する迅速な防御

- ファイルレピュテーション

- Webレピュテーション

侵入プロセスの可視化

潜在的な脅威の可視化

サイバー攻撃の事前予防と事後対処を統合し、簡単かつ迅速なインシデント対応を実現

リモート端末の調査エンドポイントに必要な更なる対策

- 脆弱性対策（仮想パッチ）- アプリケーションコントロール

統合管理


シングルエージェントで複数技術を組み合わせ、多層防御を提供します

脅威の侵攻

脅威が侵入

コンピュータに感染

C&Cサーバと通信

侵入後

Apex One が提供する機能

通信制御

ファイアウォール

Webレピュテーション

仮想パッチ(IPS)

未然防止デバイスコントロール

アプリケーションコントロール

既知の脅威対策パターンマッチング・スマートスキャン

スパイウェア対策

未知の脅威対策・ファイル特性・ふるまい検知

機械学習型検索(ファイル)

挙動監視・イベント監視・ランサムウェア対策

機械学習型検索(プロセス)

サンドボックス(Deep Discovery)連携

通信検知Webレピュテーション

不審接続監視

横感染防止仮想パッチ(IPS)

EDREndpoint Sensor: Attack Discovery による痕跡の検出(EDR※)

Endpoint Sensor: データレコーディングによる侵害調査(EDR※)

復旧ダメージクリーンナップエンジン

※EDR = Endpoint Detection and Response


第2章ウイルスバスター Corp. XG からの強化ポイントと新機能


Apex One 新機能と主な変更点新機能概要

1

別エージェントとして提供していた当社製品を新機能としてシングルエージェントに統合※

詳細は第5章をご確認ください

下記3製品を統合し、Apex Oneの1機能として提供します。Trend Micro Endpoint Sensor → インシデントの影響範囲や発生原因の調査(EDR)Trend Micro Virtual Patch for Endpoint → 脆弱性を攻撃する通信を防御するIPS機能Trend Micro Application Control → 任意のアプリケーションを制御できる機能

2 機械学習型検索：オフライン環境のサポートインターネット接続が必須だった機械学習型検索機能が、インターネット非接続環境でも動作するように強化されます。

3 挙動監視：ファイルレス攻撃対策の強化ウイルスパターンでは検知が難しいとされる、正規プロセスを用いたファイルレス攻撃をより効果的に検出できる様、挙動監視機能が強化されます。

4 エッジリレーサーバの機能強化エッジリレーサーバを経由して外部のエージェントに設定の配信ができるようになります。

5 Macのセキュリティ対策機能を強化Mac OSのセキュリティ対策で、機械学習型検索およびデバイスコントロール、EDRの機能を追加しました。※EDR機能はサーバへアップロードされたメタデータの検索のみ利用可能で、Root Cause Analysys (原因分析)は実行できません。

変更点概要

1 使用できるデータベースがMicrosoft SQLに限定これまではHTTPDBというウイルスバスターCorp.サーバのインストーラに同梱されるデータベースを使用し、SQLの利用は任意でしたが、Apex OneからはSQLの利用が必須となります(Express版が同梱されます)。

2

エージェントとのシステム要件としてWindows XP/2003/Vista/7(SP1未適用)/2008(R2を除く)がサポート対象外に

詳細はシステム要件をご確認ください。

3Windows Server OSにおけるセルフプロテクションのデフォルト有効化

サーバOSでパフォーマンス影響を最小限にしつつ、プロセスとレジストリを保護するセルフプロテクション機能を搭載。

4エンドポイントの位置でVPN/ダイヤルアップ接続を除外可能に

VPN/ダイヤルアップで社内へ接続されたエンドポイントを、外部エージェントとして認識できるようオプションを追加。

※ライセンスによって利用可能な機能が異なります。詳細はAppendixをご参照ください。(Endpoint Sensor は別途追加のライセンスが必要になります)


エージェントの機能統合と管理イメージ

ウイルスバスターコーポレートエディション

XG同等の機能Endpoint Sensor仮想パッチ

（IPS）アプリケーション

コントロール

従来型+次世代型ウイルス対策

EDR機能脆弱性対策アプリ制御

Trend Micro Apex One エージェント

Apex One サーバ

Apex Central

Apex One で統合される3つの新機能(利用にはApex Central が必要となります)

※統合された下記の新機能をいずれも利用しない場合、Apex Centralは必須ではありません。

Client Server Suite Premium ライセンスで利用可能 Apex One Endpoint Sensorの追加ライセンスが必要

※ライセンスによる利用機能の違いについてはAppendixをご参照ください。


• Apex Oneではインターネットに接続できないオフライン環境でも、機械学習の技術を使ったウイルス検索が可能になります。– エージェント側で学習を継続するのではなく、当社の機械学習モデルの一部を切り出してローカルにダウン

ロードし、侵入ファイルの特性を検索します。

・安全なコンテンツ・不正なコンテンツ

Trend Micro Smart Protection Network

ウイルスバスターCorp. XG



Trend Micro Apex One

ファイルの特性を抽出しインターネットに問い合わせ

エージェントがインターネットへ接続できない場合はローカルモデルを

参照してスキャンを実行

機械学習型検索(オフライン型)


挙動監視：ファイルレス攻撃対策の強化

※WMI は、Windows 管理業務の主要なコンポーネントで、自動化スクリプトの配置、日時を指定したプロセス／プログラムの実行、インストール済みアプリケーションおよびハードウェアに関する情報取得、フォルダの変更監視、ディスク領域の監視などに利用されます。これを応用した攻撃の一部をブロックできるようになります。

https://blog.trendmicro.co.jp/archives/15754

WMIスクリプトを悪用した攻撃例

• WMI(※)やレジストリを応用したファイルレス攻撃を検知できるように機能が強化されました。

• メモリスキャンの強化により、一見正常とみられるプロセスの監視が行えるようになりました。

– 疑わしい動作をする正規プログラム（オブジェクト）の生成を契機として、検索を行います。

– これまでは特定のバッファまたは不正イベントの際にメモリスキャンを行っていましたが、これに加えシステムが用意している正当なプログラムや一般に利用が多いプログラムに起因した不正な動作を監視の対象とすることができるようになります。

https://blog.trendmicro.co.jp/archives/15754


第3章Apex One のサーバ構成


従来型スキャンを利用する場合の基本構成

従来型パターンファイル検索エンジンなどの各種アップデートプログラム配信

設定情報の配信と管理

Apex One

エージェントApex One

サーバ

トレンドマイクロのアップデートサーバ

パターンファイルコンポーネントアップデート

• 従来型スキャンを利用する際の基本的なサーバ構成となります。

• Apex Oneサーバはエージェントの一元管理やパターンファイル/コンポーネントの配信を行うため、スキャン方式に関係なく必要となるサーバです。

• Apex Oneサーバのデータベースは製品同梱のSQLサーバ(Express版)をインストールするか、管理するエージェント数が多い場合にはスタンドアロンでSQLサーバを別に用意いただくことを推奨します。


スマートスキャンやWebレピュテーションを利用する構成

スマートスキャンパターン検索エンジンなどの各種アップデートプログラム配信

設定情報の配信と管理

WRS問合せ

スマートスキャン問合せ

スマートクエリフィルタ更新

機械学習型検索問合せ

パターンファイルコンポーネントアップデート

Apex One

エージェント

Apex Oneサーバ

(統合SPS)

スタンドアロンSPS or 統合SPS


• スマートスキャン、Webレピュテーション(以下、WRS)を利用する際の基本的なサーバ構成となります。

• スタンドアロンSPS※1はスマートスキャンおよびWRS利用時に必要となります。スマートスキャン／WRS／機械学習型検索の問い合わせ処理やスマートクエリフィルタ※2の更新を行います。エージェント数が少ない場合には、統合SPS※1でも処理が可能なため、不要な場合があります。

• Apex Oneサーバのデータベースは製品同梱のSQLサーバをインストールするか、管理するエージェント数が多い場合にはスタンドアロンでSQLサーバを別に用意いただくことを推奨します。

※1 SPS=Smart Protection Serverはスマートスキャン、Webレピュテーションの問い合わせを処理するサーバプログラム。仮想アプライアンスで独立して構築するものをスタンドアロンSPS、Apex Oneサーバに内包されるものを統合SPSと呼びます。

※2 スマートクエリフィルタは、エージェントがスマートスキャンの問合せが必要かどうかを判定するために利用されます。問合せを行った際などに内容が更新されます。


新機能(仮想パッチ・アプリケーションコントロール)を利用する構成(スマートスキャンおよびWRS利用あり、Endpoint Sensor利用なし)

Apex One

エージェント

Apex Oneサーバ

(統合SPS)

スタンドアロンSPS or

統合SPS

トレンドマイクロのアップデートサーバApex Central

パターンファイル/コンポーネントアップデート

• 仮想パッチ及びアプリケーションコントロールを利用する際の基本的なサーバ構成となります。

• 仮想パッチ及びアプリケーションコントロールを利用する際は、Apex Centralの管理コンソールにて各ポリシーを設定/配信し、それぞれのパターンファイルやコンポーネントのアップデートを行うため、Apex Centralが必要となります。

• Apex Oneサーバ/Apex Centralのデータベースは製品同梱のSQLサーバをインストールするか、管理するエージェント数が多い場合にはスタンドアロンでSQLサーバを別に用意いただくことを推奨します。

仮想パッチ・アプリケーションコントロールのアクティベーションや設定の配信、ログ

の確認等を行う

※Apex Centralを経由せず、直接トレンドマイクロのアップデートサーバからアップデートすることも可能


Apex One

エージェント

スタンドアロンSPS or

統合SPS


Apex Central

パターンファイル/コンポーネントアップデート

新機能(Endpoint Sensor)を利用する構成(スマートスキャン・WRS利用あり)

• Endpoint Sensorを利用する際の基本的なサーバ構成となります。

• Endpoint Sensorを利用する際は、Apex Centralの管理コンソールにてポリシーを設定/配信し、パターンファイルやコンポーネントのアップデートを行うため、 Apex Centralが必要となります。

• Apex Oneエージェントで収集したEDRログのうち、一次調査(診断)に必要なログ(メタデータ)は定期的にApex Oneサーバにアップロードされます。

• Apex OneサーバのSQLサーバは、Standard以上のエディションが必要となります。(Express不可)

Apex Oneサーバ

(統合SPS)

Endpoint Sensorのアクティベーションや設定の配信、ログの確認

等を行う

※Apex Centralを経由せず、直接トレンドマイクロのアップデートサーバからアップデートすることも可能


第4章Apex One エージェントが提供する脅威からの保護機能


ウイルス/不正プログラム検索

• Apex One エージェントは下記のウイルス検索を行うことができます。

– リアルタイム検索・・・ディスクI/Oが発生する度に常にスキャンを行い、不正プログラムの侵入を防止します。

– 手動検索・・・コンピュータのユーザが任意タイミングでスキャンを行います。

– 予約検索・・・管理者が指定したスケジュールに従ってスキャンを行います。

– ScanNow・・・管理者が特定のエージェントに対して今すぐスキャンを行うようにコマンドを発行します。

• 検索方式は従来型スキャンとスマートスキャンの2種類を選択することができます。

– スマートスキャンはエージェントに配信するパターファイルを軽量化しつつ、常に最新の保護を受けることができます。

Apex Oneエージェント

ウイルスパターンファイル

ウイルスパターンファイル

1日1回配信されるウイルスパターンファイルを利用して検索を行う従来からの検索方式

Apex Oneサーバ

従来型スキャン

1日1回配信

スマートスキャン

1日1回配信される軽量なスマートスキャンエージェントパターンと1時間に1回更新されるフルパターンを組み合わせて検索する方式



スマートスキャンエージェントパターン

Apex Oneサーバ

1日1回配信トレンドマイクロのアップデートサーバ

スマートスキャンエージェントパターン

Smart Protection Server(SPS) ※

1時間に1回同期スマートスキャンパターン

スマートスキャンクエリフィルタ

ローカルで判断できなかったファイルの情報をSPSにクエリ

※2000台以下の小規模環境の場合、Apex Oneサーバに内包されている統合SPSを利用できます。


ダメージクリーンナップサービス

• ダメージクリーンナップサービスは、ファイルベースのコンピュータウイルスやネットワークウイルスによって侵害された領域を自動的に復旧する機能で、主に以下の機能を提供します。– 活動中の不正プログラムの停止・削除

– 不正プログラムが作成したプロセスの停止・削除

– 不正プログラムが変更したシステムファイルを修復

– 不正プログラムが改変したレジストリの復旧

• ダメージクリーンナップテンプレートという定義ファイルに基づいて復旧を行うため、すべての改変箇所を確実に修正できるわけではありませんのでご注意ください。

• ダメージクリーンナップサービスはバックグラウンドで自動的に実行されるので、設定の必要はありません。ただし、削除プロセスを完了するために、エンドポイントの再起動を求められることがあります。

手動検索／予約検索／ScanNow実行時は、「高度なクリーンナップ」を選択して、FakeAVと

呼ばれる偽セキュリティソフトウェアを積極的に活動を停止させることができます。

ただし、「高度なクリーンナップ」では、積極的な保護を提供する一方で、誤検出の数も多くなり

ますので、ご注意ください。


Webレピュテーション• Webレピュテーションは、Trend Micro Smart Protection Network に収集された膨大な危険なURLの情報を利用して、エージェントか

らのURLアクセスを評価する機能です。エージェントからのWebアクセス発生時に、アクセス先のURLが危険と判定されている場合にそのアクセスをブロックします。

– 危険URLとは、不正プログラムを頒布するサイトやフィッシングサイト、C&Cサーバ(攻撃者の指令サーバ)など、アクセス時にセキュリティリスクが発生するURL全般を指します。

• ブラウザ脆弱性対策機能を有効化すると、HTMLファイルに埋め込まれた悪意のあるコードの振る舞いを検知し、危険なWebサイトの表示をブロックすることができるようになります(Internet Explorerのみ)。

• HTTPS通信についてはWebブラウザ(Internet Explorer, Microsoft Edge, Firefox, Google Chrome)を利用したアクセスの場合のみ評価を行うことができます。

• エージェントをLAN外に持ち出した場合は、ローカルSPSではなく、インターネット上のトレンドマイクロのサーバにクエリを行います。

Webレピュテーション


Apex Oneサーバ


Smart Protection Server(SPS) ※

1時間に1回同期

アクセス先URLをSPSにクエリし、

危険判定だった場合はアクセスをブロックする

※2000台以下の小規模環境の場合、Apex Oneサーバに内包されている統合SPSを利用できます。

Webブロックリスト


デバイスコントロール

• コンピュータに接続されている外部ストレージデバイスやネットワークリソースへのアクセスを制限する機能で、下記4種類のデバイスに対応しています。– CD/DVD、フロッピーディスク、ネットワークドライブ、USBストレージデバイス

• USBストレージデバイスの自動実行機能（Autorn.inf）をブロックする機能や、内部エージェント／外部エージェント毎の設定、特定プログラムから外部ストレージデバイスに対する権限を許可する設定を行うことができます。

情報漏えい対策オプションの追加によって、デバイスコントロールの機能を拡張することができます。外部ストレージとしてのモバイルデバイスや、Bluetoothアダプタなどを制御可能になり、承認済みデバイスとして特定のUSBストレージデバイスをホワイトリスト登録することも可能になります。詳細は情報漏えい対策オプションの資料をご確認ください。

権限内容

フルアクセスすべての操作が許可されます

変更デバイス上のファイルの実行以外の操作は許可されます

読み取りおよび実行読み取り権限に加え、外部デバイス上の実行が行えます

読み取り外部デバイスからのコピーや実行は行えます

デバイスの内容のみのリスト表示

すべての操作が禁止されますが、ファイル名の表示は可能です


ファイアウォール

• ステートフルインスペクション型のパーソナルファイアウォールとして、一般的なポート開閉の他、ファイアウォールパターンファイルを利用したネットワークウイルスの検索と駆除、侵入検知システム機能(IDS)、特定アプリケーションによるトラフィックのフィルタリング機能を実装しています。

– ネットワークウイルスは、ネットワークワームのうち、セキュリティホールへの攻撃でユーザの操作なしにネットワーク経由で侵入し、ユーザの操作なしに自動的な活動開始を可能にしたものを指します。

– 侵入検知システム(IDS)とは、主にエージェントへの攻撃の兆候を検知する機能で、SYN Flood攻撃、Ping of Death攻撃、Teardrop攻撃、LAND攻撃などを検知することができます。

ネットワークウイルス

SYN flood攻撃


機械学習型検索

検出の種類説明

ファイル不正プログラムモデリングにより、サンプルを不正プログラムモデルと比較し、可能性スコアを割り当て、ファイルに含まれる潜在的な不正プログラムの種類を判別します。インターネット接続が使用できなくなった場合は、機械学習型検索が自動的にローカルモデルに切り替わって未知の脅威からの継続的な保護を実現し、Portable Executable(PE)ファイルの脅威に対応します。機械学習型検索の設定に応じて、ネットワークへの脅威の拡散を防ぐために、セキュリティエージェントは該当するファイルの「隔離」を試みます。

プロセス不正プログラムの動作モデリングにより、サンプルをモデルと比較し、可能性のスコアを割り当て、プロセスが実行する潜在的な不正プログラムの種類を判別します。プロセスの検出ではスクリプトの実行も監視対象となります。エンジンが不審スクリプトの実行を検出すると、機械学習型検索は設定された処理を実行します。対応するスクリプトの種類・・・cscript / jar / powershell / vbs / wscript

• 機械学習の技術を利用したウイルス検索機能で、未知のウイルスを検出するための機能です。侵入直後のファイル特性および実行後の挙動の2段階で分析を行います。

– 検出したファイルを駆除しないログモードの設定が可能です。

– 過検出となったファイルはハッシュ値で除外登録を行うことが可能です。

• 本機能はエージェントが直接もしくはSmart Protection Server経由でインターネットへ接続できる必要があります。

– Apex One からはインターネットに接続できない環境であっても、ローカルモデルを使ったスキャンが可能になります(ファイル検索のみ)



Apex One エージェント


挙動監視：ふるまい検知• 挙動監視機能は「不正プログラム挙動ブロック」と「イベント監視」の2つの機能によってOSまたはインストールされたソフトウェアに対し

て不審な変更が行われていないかどうかを常に監視し、ウイルスパターンに依存しない脅威検出を行います。この2つの機能を補うものとして、ユーザが設定する「除外リスト」とトレンドマイクロのホワイトリストである「ソフトウェア安全性評価サービス」が使用されます。

– 不正プログラム挙動ブロック・・・挙動監視検出パターンファイルを用いてマルウェアに類似する挙動を検出します。ランサムウェアや脆弱性攻撃を検出する機能も含まれています。

– イベント監視・・・マルウェア感染が疑われる不審な変更を検出します。検出させるイベントおよび検出時の処理は任意に定義することができます。

「挙動監視」機能がプログラムの挙動を常に監視ランサムウェア対策にも有効

除外リストに記載されたプログラムは監視対象外

トレンドマイクロのクラウド上のサーバ

ソフトウェア安全性評価サービスにより、安全なソフトウェアかどうかを確認

「イベント監視」機能が指定した動作を監視

挙動監視は、プログラムの挙動を監視するため、社内で利用されている業務アプリケーションの挙動によっては、不審な変更と判断してブロックしてしまう場合があります。事前に

テストを実施した上で、機能を有効にして頂くことを推奨します。また、業務で利用するアプリケーションは「除外リスト」に登録することにより、パフォーマンスの向上にも繋が

ります。

挙動監視の動作イメージ


挙動監視：ランサムウェア対策• 挙動監視機能は未知のランサムウェア(身代金要求型ウイルス)を検出するため、複数の機能を搭載しています。

設定項目機能概要

① 不正な暗号化や変更から文書保護ランサムウェアがターゲットとするドキュメント形式に対して特定のプロセスから不正と思われる変更が一定回数続いた場合、当該のプロセスを終了します。

② 不審なプログラムによって変更されたファイルを自動的にバックアップして復元

暗号化対象となりやすい拡張子(.doc等)のファイルが不審なプログラムによって変更された場合、当該ファイル群をバックアップして、自動的に復旧します。

③ ランサムウェアに関連付けられていることの多いプロセスをブロック

特定のディレクトリにランサムウェアが使用しやすいプロセスが作成(Create)された場合に検出します。

④ プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック

不正な実行可能ファイルを検出/ブロックするために、より多くのプロセスを監視できるようにする機能です。


不審接続監視

不審接続監視

管理者

攻撃者（C&Cサーバ）


Apex OneサーバC&C サーバへの接続を検知/ブロック

ログの送信

ユーザに通知

管理者へ通知

C&C サーバへの不審な接続を可視化

• 不審接続監視サービスは、ユーザ指定およびグローバルIP C&Cリスト、不正プログラムネットワークフィンガープリントをもとに、エンドポイントから潜在的なC&Cサーバへの接続を監視します。– ユーザ指定の承認済みIPリストを使用して、エンドポイントから特定のIPアドレスへのアクセスを許可してログに残すことも可能です。

• グローバルC&C IPリスト・・・ネットワークコンテンツ検査エンジン (NCIE) と連携して機能し、トレンドマイクロで確認済みのC&Cサーバとのネットワーク接続を検出します。NCIEは、任意のネットワークチャネル経由でC&Cサーバとの接続を検出します。不審接続監視サービスは、グローバルC&C IPリスト内のすべてのサーバへの接続情報をログに記録します。

• ネットワークフィンガープリント・・・ネットワークパケットを適合度ルールパターンファイルとの照合によってエンドポイントで不正プログラムが検出された場合、不審接続監視サービスでは、接続をさらに調査してC&Cコールバックが発生したかどうかを特定できます。C&Cコールバックが検出された場合、接続元プログラムのブロックおよび駆除が可能です。


サンドボックス連携：不審オブジェクトの同期

Apex One エージェントApex Oneサーバ

Deep Discovery シリーズ（サンドボックス製品）

①未知の脅威を検出

不審ファイルの検出からカスタムシグネチャ配信の流れ

Apex Central

②不審オブジェクトリスト(カスタムシグネチャ)を保持

不審オブジェクトの中身• 解析したファイル情報• 通信先URL, IPアドレス• 通信先ドメイン

③不審オブジェクトを同期・配信

• Trend Microは、Trend Microのサンドボックス機能を持つ製品から不審ファイルの情報を取得し、各種製品を連携させ、未知の脅威を検出・防御するConnected Threat Defense (CTD) というソリューションを提供しています。

• 具体的には、Deep Discoveryシリーズのサンドボックスで検出／作成した不審オブジェクトを、統合管理製品のApex Centralを経由して各製品カスタムシグネチャとして配信します。これによって、未知の脅威であってもパターンファイルの作成を待つことなく自動的に検出され、よりスピーディーなリスクの極小化が可能です。

Smart Protection Server

不審オブジェクト(ファイル情報)

不審オブジェクト(通信先情報)

不審オブジェクト(ファイル情報)


サンドボックス連携：不審ファイルのサンプル送信

Apex One エージェントApex Oneサーバ

Deep Discovery Analyzer（サンドボックス製品）

③未知の脅威を検出

サンプル送信の流れ

Apex Central

④不審オブジェクトリスト(カスタムシグネチャ)を保持

⑤不審オブジェクトを同期・配信

①不審なファイル検出②Apex Oneサーバ経由でサンドボックスへ送信

• Apex One エージェントで発見された不審ファイルをDeep Discovery Analyzer (サンドボックス)へ送信し、自動解析を行うことが可能です。解析の結果リスクが高いと判断された場合は、不審オブジェクトとしてカスタムシグネチャがエージェントへ配信されます。

◆送信される不審ファイルの条件◆

- Web/メールから侵入してくる未知の脅威プログラム

- Web/メールから侵入してくるドキュメントファイルの脆弱性を攻撃するプログラム

- リムーバブルストレージ上の自動実行プログラム ※不審オブジェクトの連携フローは前頁と同様(=通信先ブロックにはSmart Protection Serverが必須)


第5章Apex One エージェントに統合された新機能


Endpoint Sensor：概要• Apex Oneから新しく実装された機能として、エンドポイント端末で発生したインシデントを過去に遡って調査する機能

(EDR機能)が実装されています。本機能によりインシデント発生時の影響範囲を迅速に可視化することで、被害端末や侵入プロセスの特定が可能になります。

• Endpoint Sensor による調査機能には次の2種類があります。

⁃ 【事前診断に基づく調査】では指定した条件に合致する影響端末を素早く特定できます。端末の特定後、エージェントログを解析し、端末内部で発生したインシデントの詳細な流れを時系列で可視化します。

⁃ 【現状調査】は現在のシステムの状態を調査します。OpenIOCルールやYARAルールを使用した広範な条件がサポートされており、環境内に存在する条件に合致した端末をすべて検出します。

Apex Oneサーバ Apex CentralApex Oneエージェント

メタデータ検索

メタデータアップロード

エージェントログ検索

EDRログのフロー


Endpoint Sensor：事前診断に基づく調査• 調査条件を入力して管理しているエンドポイント端末の中から指定した条件に合致する影響端末を特定します。

【影響範囲の可視化(一次調査)】

• 調査対象端末を指定して「Root Cause Analysis (RCA)レポート」を作成することで、端末内部の処理を過去に遡って可視化します。【侵入経路の特定(二次調査)】

検索するキーワードを入力(通信先やハッシュ値など)

合致するエージェントがリストアップされる＝インシデントの影響範囲を可視化

【検索フィールドの指定】• 通信先ドメイン• 通信先IPアドレス• ファイル名• ファイルハッシュ

(SHA1, MD5, SHA256)

• コマンドライン引数• レジストリ検索するキーワードを入力

(通信先やハッシュ値など)

リモートでエージェントのネットワーク隔離が可能

プロセスのリモート停止や不審オブジェクトへの登録が可能※

インシデント発生の詳細な流れを時系列で可視化

※登録した不審オブジェクトの起動制御にはアプリケーションコントロールのライセンスが必要です(Client Server Suite Premium ライセンスに含みます)


Endpoint Sensor：現状調査• 現状調査では次の条件がサポートされています。

– OpenIOCルール: OpenIOCルールを使用すると、現在ディスク上にあるファイルが検索されます。

– YARAルール: YARAルールを使用すると、現在メモリ内で実行されているすべてのプロセスが検索されます。

– レジストリを検索: 対象エンドポイント上で照合するレジストリのキー、名前、およびデータを指定します。

• 調査パターンは2通りあります。

– 【1回限りの調査】は1回だけ実行されます。この調査は、作成後すぐに実行されます。

– 【予約調査】は、指定の間隔で自動的に実行されるように設定できます。


仮想パッチ：概要

Apex OneサーバApex Central Apex Oneエージェント

仮想パッチポリシー配信

エージェント管理侵入防御ルール適用

管理コンソール

リモートから脆弱性を悪用した攻撃を仮想パッチにより検知・ブロック

Apex Oneで強化されたエンドポイントにおけるセキュリティ機能の一つとして同一エージェントで、OSやアプリケーションの脆弱性を突く攻撃パケットを検知・防御することができます。

• 仮想パッチにおけるネットワークエンジンを『インライン』 or 『タップ(検知のみ)』に設定することが可能です。

• Apex Centralにて仮想パッチパターンを更新して、Apex Oneエージェントへポリシーを配信します。

• 仮想パッチパターンは週に1回配信されますが、緊急時は即時配信される場合があります。

※仮想パッチとは、脆弱性そのものを修正する正規パッチとは異なり、脆弱性を突く攻撃をネットワークレイヤで検知およびブロックするIPSフィルタです。

※Apex One 仮想パッチを利用する際にはClient/Sever Suite Premiumのライセンスが必要になります。

※Apex Oneエージェントと旧製品であるTrend Micro Virtual Patch for Endpoint (以下TMVP) エージェントの同居は可能です。但しTMVPエージェントが存在するエージェントで、Apex One 仮想パッチが有効化されると、自動的にTMVPエージェントはアンインストールされます。


仮想パッチ：設定

パフォーマンス優先セキュリティ優先

適用ルール数約130 約200 (仮想パッチにおける侵入防御ルールの全てを適用)

特徴・初期設定・エージェントにおけるパフォーマンスのバランスを考慮したうえで推奨する特に重要な侵入防御ルールを適用

・全ての侵入防御ルールを適用することにより、パフォーマンス優先モードよりも幅広い脆弱性対策を提供

• 仮想パッチの設定はApex Centralのポリシー管理から設定することが可能です。

• 適用するルールについてはパフォーマンス優先 or セキュリティ優先で選択することができ、主な違いは以下になります。

※各ルール毎に有効/無効とチューニングすることが可能です。

※タップモードにすることで検出のみで動作し、防御を行わず、ログのみを残すことが可能です。

※ポリシーが正常に配信されて、仮想パッチが有効になるとエージェント側のコンソール上でアイコンが緑になります。

設定画面


仮想パッチ：ログの確認

• 仮想パッチにおけるIPSルールに合致するイベントが発生するとログが生成され、Apex OneエージェントからApex Oneサーバにログが転送され、Apex Centralにログが集約されます。

• ログを確認する際にはApex Centralにおいて、『ログクエリ』-『IPS』を選択して検索することで閲覧可能です。

※仮想パッチによってイベントを検知した際にエージェント側でのポップアップ通知は未対応となります。

※仮想パッチによるイベントが発生した際のアラートやSyslog通知は未対応となります。

※送信元IPやMAC等で表示するログをフィルタすることが可能です。

※CSV、XMLにエクスポートすることが可能です。

ログ確認画面


アプリケーションコントロール：概要• ハッシュ値、ファイルパス、証明書、トレンドマイクロが提供するアプリケーションリストからお客様の環境に合わせアプリケーション

の起動を制御することができます。

• 「許可」条件と「ブロック」条件を作成して、エンドポイントで実行またはインストールできるアプリケーションを制限できます。また、診断条件を作成してエンドポイントで実行されるアプリケーションを監視した後、使用結果に基づいて条件を調整することもできます。

＊ソフトウェアリストの中から、特定のブラウザやP2Pソフト等の起動制御を行うことが可能。（IEはセキュリティ脆弱性が多いためブロック、標準として利用するEdgeは許可など。）

Endpoint Sensor (EDR機能) と連携し、調査画面から不審プログラムのハッシュ値を登録して、アプリケーションコントロールによりブロックすることも可能

①EDRで不正プログラムを特定②不審オブジェクトリストに登録

③該当プログラムの実行をブロック


ロックダウンの処理を適用すると、インストールされているアプリケーションの一覧が確認されます。

（インベントリ検索）以降、インベントリ検索で確認していないアプリケーションをすべてブロックします。

※ロックダウンモードはインストールや変更が禁止されているような環境可でのご利用を想定しています。

ロックダウンの処理

アプリケーションコントロール：設定

アプリケーションの指定方法

設定可能なアプリケーション照合方法が追加されました。

・ソフトウェア安全性評価リスト

・ファイル/フォルダのパス、任意のストレージ、ネットワークパス、Program Filesフォルダ、システムボリューム

・証明書

・ファイルハッシュ値(SHA-1 or SHA-256) ※手動入力またはファイルのインポート

・悪用されるリスクのあるソフトウェアリスト


第6章運用管理機能


セキュリティコンプライアンスの確認• セキュリティコンプライアンスの外部サーバ管理機能により、ネットワーク上にApex Oneエージェントがインストールされてい

ないコンピュータを検索して一覧表示することができます。一覧表示されたコンピュータを選択してリモートインストールを行うこともできます。検索にはActive DirectoryのドメインやIPアドレス範囲を指定することができます。

• また、インストール済みのApex Oneエージェントに対して、下記を確認するコンプライアンスレポート機能があります。

– Apex Oneサーバ側の設定と異なる設定で動作してるか（Apex Oneエージェントに、設定変更権限を付与している場合）

– エージェントのサービスが機能しているか

– コンポーネントが正しく配信されているか

– ScanNowまたは予約検索が定期的に実行されているか

定期的にこれらの確認状況をCSV形式で管理者宛にメールを利用してレポートすることができます。


持ち出しエージェントの管理

• エッジリレーサーバにより、Apex Oneサーバと接続できない持ち出しエージェントについても、集中管理を行うことができます。また、トレンドマイクロの製品間連携(CTD)による未知の脅威の検出/防御も行うことが可能です。

• エッジリレーサーバはDMZ上に配置し、インターネットから接続できる必要があります。

Apex OneサーバApex Oneエージェント(出張中や持ち出し中のPC)

エッジリレーサーバ

DMZ社内

インターネット

検知ログの送信

項目エッジリレーサーバありエッジリレーサーバなし

検知ログ/エージェントステータスの送信〇 ×

不審ファイルの送信〇 ×

カスタムシグネチャの取得〇 ×

設定の取得(New!) 〇 ×

Endpoint Sensor機能の利用(New!) 〇 ×

スマートスキャン/Webレピュテーションクエリインターネット(当社サーバ) インターネット(当社サーバ)

パターンやエンジンのアップデートインターネット(当社サーバ) インターネット(当社サーバ)

パターンファイルや検索エンジンのアップデート

Dst.Port:443(TCP)


コンポーネントのアップデートとロールバック• 最新のセキュリティリスクの脅威から保護するために、各コンポーネントを定期的にアップデートする必要があります。

• Apex Oneサーバの予約アップデート／Apex Oneエージェントへの自動アップデート機能により自動的に最新のコンポーネントが配信されるようになっています。また、手動でApex Oneサーバのコンポーネントのアップデートや、特定のApex Oneエージェントを選択してアップデートを開始するように、 Apex Oneサーバから通知することもできます。

• Apex Oneサーバ/ Apex Oneエージェントのアップデート元を指定することも可能です。

※ロールバックによりコンポーネントを前のバージョンに

戻すことも可能です。

Apex Oneサーバ

スタンドアロンSPS

統合SPS

アップデート

エージェント

Apex One

エージェントトレンドマイクロの

アップデートサーバ

１

４

２

３

コンポーネントの基本的なアップデートの流れ

① Apex Oneサーバや、統合SPS／スタンドアロンSPSはトレンドマイクロのアップデート

サーバから最新のコンポーネントをダウンロード

② Apex Oneサーバは自動的にApex Oneエージェントやアップデートエージェントに

コンポーネントのダウンロードを開始するように通知を行い、Apex Oneサーバより

コンポーネントをダウンロード

③ アップデートエージェントは配下のApex Oneエージェントにコンポーネントの

ダウンロードを開始するように通知を行い、アップデートエージェントから

コンポーネントをダウンロード

④ Apex OneエージェントがApex Oneサーバやアップデートエージェントからの

アップデートに失敗した場合（外出時に起動した場合など）、トレンドマイクロの

アップデートサーバからコンポーネントをダウンロード


アップデートエージェント• アップデートエージェントはApex Oneエージェントにコンポーネント配信の機能を持たせることで、 Apex OneサーバとApex

Oneエージェント間が狭帯域幅の場合に、コンポーネントのアップデート時によるネットワーク帯域への負荷を軽減させることができます。

• 設定はアップデートエージェントの役割を持たせるApex Oneエージェントを指定して、Webコンソール上のエージェント管理からアップデートエージェント設定を行うことで機能します。次にユーザ指定アップデート元リストを利用して、アップデートエージェントを利用するApex OneエージェントのIPアドレス範囲を指定することでアップデートが行われるようになります。アップデートエージェント1台から配信されるApex Oneエージェント数は250台を超えないようにしてください。

アップデートエージェントなしの通信フロー

Apex Oneサーバ

アップデートトラフィック

その他のトラフィック

アップデートエージェントありの通信フロー

Apex Oneサーバ

アップデートトラフィック

その他のトラフィック

アップデートエージェント

Apex OneエージェントApex Oneエージェント

※アップデートエージェント

を示すアイコン


マルウェアの検知時の管理者通知• Apex Oneエージェント上で不正プログラム/スパイウェア/C&Cコールバックが検出された場合、または処理が失敗した場合に、下

記の通知方法を利用して管理者へ通知を行うことができます。

– メール

– SNMPトラップ

– Windows イベントログ

• 指定した期間内で発生した検出数を指定することで、アウトブレークが発生した場合に管理者へ通知することができます。

不正プログラムが活動を始めており、処理が失敗Apex One エージェント Apex One サーバ管理者

※セキュリティ運用の観点から、管理者通知の設定を行うことを推奨します。特に、Apex Oneエージェントで処理が失敗した場合、不正プログラムが活動を続けている可能性があり、迅速に対応することで被害を最小限に留めることができます。

※C&Cサーバへの接続が発見された場合には、エージェントが遠隔操作ウイルス等に感染し、ボット化している可能性があります。該当エージェントの調査を行うことを推奨します。

各通知設定画面


セキュリティリスクログの確認• 下記の図はセキュリティ上の危険ログ内の「ウイルス／不正プログラムログ」を出力した画面となります。

• 管理者は、セキュリティ上の脅威項目内のウイルス／不正プログラムの名前をクリックすることにより、トレンドマイクロのセキュリティデータベースからウイルス／不正プログラムの詳細を確認することができます。また、詳細項目内の「表示」をクリックすることで、より詳細な情報を入手することが出来ます。

ログ確認画面


Apex One エージェントのグループ管理• エージェントのグループ設定を使用して、Apex One エージェントツリー上にドメインを手動で、または自動的に作成して管理します。

セキュリティエージェントをグループ化するには、次の2 種類の方法があります。

方法エージェントのグループ設定説明

手動 • NetBIOS ドメイン• ActiveDirectory ドメイン• DNS ドメイン

エージェントグループの手動設定では、新しくインストールしたエージェントを追加するドメインを定義します。エージェントがエージェントツリーに表示されると、別のドメインや別のApex One サーバに移動できます。また、エージェントグループの手動設定では、エージェントツリー内のドメインの作成、管理、および削除も実行できます。

自動カスタムエージェントグループエージェントグループの自動設定では、ルールを使用してエージェントツリー内のエージェントを並べ替えします。ルールを定義すると、エージェントツリーにアクセスしてエージェントを手動で並べ替えたり、特定イベントの発生時にApex One で自動的に並べ替えたりできます。


内部エージェント・外部エージェントの判定• Apex One エージェントは自身が内部ネットワークと外部ネットワークのどちらにあるかを判定する位置認識機能を備えており、

自身の位置によってアップデートの取得先や一部の設定をポリシーに応じて変更します。

対象となるサービス説明

ファイルレピュテーションサービスウイルス検索方式にスマートスキャンを利用している場合、セキュリティエージェントが検索クエリを送信するSmart Protectionソースがエージェントの位置によって判定されます。検索クエリの送信先は、外部エージェントの場合はTrend Micro Smart Protection Network (インターネット上のトレンドマイクロのサーバ)となり、内部エージェントの場合はTrend Micro Smart Protectionソースリストに定義されているソースになります。

Webレピュテーション情報漏えい対策デバイスコントロール

セキュリティエージェントが内部と外部のどちらのポリシー設定を適用するかがエージェントの位置によって判定されます。通常、管理者は、外部エージェントに対してより厳格なポリシーを設定します。

• エンドポイントの位置をゲートウェイIPアドレスに基づいて判断するか、Apex Oneサーバや参照サーバとのエージェントの接続状態に基づいて判断するかを指定します。

基準説明

エージェントの接続状態エージェントがイントラネット上のApex Oneサーバまたは参照サーバに接続できる場合、そのエンドポイントの位置は「内部」と見なされます。さらに、企業のネットワークの外部にあるエンドポイントがApex Oneサーバまたは参照サーバと接続を確立できる場合も、そのエンドポイントの位置は「内部」と見なされます。これら以外の場合、エンドポイントの位置は「外部」と見なされます。「VPNまたはPPPダイヤルアップ接続を使用するエージェントを除外する」を有効にすると、VPNもしくはダイヤルアップ接続で参照サーバに接続したエージェントを、外部エージェントとして定義することが可能です。

ゲートウェイIPアドレスおよびMACアドレス

セキュリティエージェントエンドポイントのゲートウェイIPアドレスが、エンドポイントの位置画面で指定したゲートウェイIPアドレスのいずれかと一致する場合、そのエンドポイントの位置は「内部」と見なされます。一致しない場合は、エンドポイントの位置は「外部」と見なされます。


NAT環境下のエージェント管理

• Apex OneサーバとApex Oneエージェント間にNATルータがある場合、Apex OneサーバからApex Oneエージェントに直接通信を行うことができないため、下記の制限事項が発生します。

– Apex Oneサーバ側でApex Oneエージェントのステータス情報が正しく表示できない※エージェント管理画面での「オンライン／オンライン」の状態管理が正しく行うことができない

– Apex OneサーバからApex Oneエージェントに対して設定等のアップデート通知を行うことができない

• 到達不能ネットワークの設定を行うことで、NAT環境上においても、これらの制限事項を受けずに動作させることができます。

• 対象となるApex One エージェントは定期的にApex One サーバへの通信を行うことで、定期的なタイミングでステータス情報の更新やアップデートの確認が行えるようになります。到達不能ネットワーク上のApex One エージェントは、Apex One サーバ上でのステータス表示は右表のように表示されます。

Apex One エージェントからの定期的に通信を行うことで

正確な状態の把握とアップデートが可能に Apex One サーバ

本社

NATルータ

Apex One エージェント

拠点

ステータス表示状態

オンライン通常のオンラインエージェント

オフライン通常のオフラインエージェント

到達不能／オンライン到達不能ネットワーク内でのオンラインエージェント

到達不能／オフライン到達不能ネットワーク内でのオフラインエージェント

到達不能ネットワークの設定画面

到達不能ネットワーク利用時のApex Oneサーバ上のステータス表示


エージェントセルフプロテクション• セキュリティエージェントセルフプロテクションは、セキュリティエージェントが正常に機能するために必要なプロセスおよびその他の

リソースを保護し、プログラムやユーザが不正プログラム対策保護を無効にしようとする試みを阻止するのに役立ちます。

●次のセキュリティエージェントサービスを停止しようとする操作をすべてブロックします。Apex One NT Listener (TmListen.exe)Apex One NT RealTime Scan (NTRtScan.exe)Apex One NT Firewall (TmPfw.exe)Trend Micro Apex One Data Protection Service (dsagent.exe)Trend Micro Unauthorized Change Prevention Service (TMBMSRV.exe)

●[セキュリティエージェントのインストールフォルダ内のファイルを保護する] を有効にすると、ルート (<エージェントインストールフォルダ>) にある次のファイルがロックされます。拡張子が.exe、.dll、および.sysのデジタル署名ファイル次のファイルを含む、デジタル署名のない一部のファイル

• bspatch.exe• bzip2.exe• INETWH32.dll• libcurl.dll• libeay32.dll

• OfceSCV.dll• OFCESCVPack.exe• patchbld.dll• patchw32.dll• patchw64.dll

• libMsgUtilExt.mt.dll• msvcm80.dll• MSVCP60.DLL• msvcp80.dll• msvcr80.dll

• PiReg.exe• ssleay32.dll• Tmeng.dll• TMNotify.dll• zlibwapi.dll

●次のレジストリキーおよびサブキーの下のエントリを変更、削除、または新規追加しようとする操作をすべてブロックします。HKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥PC-cillinNTCorp¥CurrentVersionHKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥NSCHKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥OspreyHKEY_LOCAL_MACHINE¥SOFTWARE¥TrendMicro¥AMSP

●セキュリティエージェントでは、次の表のプロセスを停止しようとする操作をすべてブロックします。

• TmListen.exe• NTRtScan.exe

• TMBMSRV.exe• DSAgent.exe

• TmProxy.exe• TmPfw.exe

• PccNTMon.exe• TmCCSF.exe

エージェントセルフプロテクションが有効なエージェント上でApex One エージェントが使用しているプロセスの停止を実行した画面


検索エンジン・修正プログラムの自動配信抑止機能• Apex One は大きく分けて以下のコンポーネントを各エージェントに配信します。

– パターンファイル・・・最新のウイルス/不正プログラムを検出するための定義ファイル

– 検索エンジン・・・パターンファイルを読み込んでファイルを検索するためのプログラム

– HotFix(修正プログラム)・・・特定のお客さま環境で発生した固有の問題に対する修正プログラム

– エージェントプログラム・・・エージェントのバージョンアップ用プログラム

• 検索エンジンやエージェントプログラムは新しい検出テクノロジの導入、より精度の高い潜在的な脅威の検出、検索パフォーマンスの向上、新たな機能追加、問題の修正を目的として配信されます。

• 初期設定では、セキュリティエージェントには自動で検索エンジンや修正プログラムが配信されます。段階的にバージョンアップを行う場合など、自動でセキュリティエージェントに配信したくない場合は、Web コンソールにおいて、[エージェント] > [エージェント管理] に移動し、[設定] > [権限とその他の設定] > [その他の設定] タブでエージェントのアップデート設定を変更します。


検索を高速化するキャッシュ機能• セキュリティエージェントでは、検索パフォーマンスを向上するために、デジタル署名や手動検索のキャッシュファイルを作成できます。

手動検索の実行時、セキュリティエージェントでは最初にデジタル署名キャッシュファイルが確認され、次に検索から除外するファイルについて手動検索キャッシュファイルが確認されます。検索で多数のファイルが除外されている場合、検索時間は短くなります。

• デジタル署名のキャッシュ– デジタル署名キャッシュファイルは、手動検索、予約検索、およびScanNowの実行時に使用されます。

– ファイルの署名がデジタル署名キャッシュファイルに追加されている場合、そのファイルは検索されません。

• 手動検索のキャッシュ– 手動検索キャッシュファイルは、手動検索、予約検索、およびScanNowの実行時に使用されます。

– ファイルのキャッシュが手動検索キャッシュファイルに追加されている場合、そのファイルは検索されません。

Apex Oneエージェントのファイル

手動検索のキャッシュ

デジタル署名のキャッシュ

デジタル署名パターンファイル

バッググラウンドプロセスで、デジタル署名パターンファイルを使用し、定期的に安全なファイルを判別し、キャッシュの作成を実施

手動検索／予約検索／ScanNow実行時にファイルのプロパティを確認し、一定期間変更が無いファイルを判別し、キャッシュの作成を実施


Apex Oneサーバ

コンポーネントのアップデート



第7章プラグイン製品について


Apex One が提供するプラグイン

• Apex One では下記4種のプラグイン機能を用意しています。

機能概要

Apex One DLP Option

ウイルスバスターCorp.で提供されていた情報漏えい対策オプションです。大幅な機能追加はないため、これまでと同様にお使いいただくことが可能です。本プラグインは追加のライセンスが必要になります。機能の詳細は別資料をご参照ください。

Trend Micro Apex One (Mac)Trend Micro Security for Mac の後継となります。Mac OSのウイルス対策エージェントを提供します。Apex One から機械学習型検索およびEDR機能がサポートされます。機能の詳細は別資料をご参照ください。

Trend Micro Apex One ToolBoxAnti-Threat ToolKit (ATTK) などのサポートツールをリモートから配信し、実行するためのプラグインです。

Trend Micro VDIオプション

仮想デスクトップ環境(VDI)におけるウイルス対策を最適化するためのプラグインです。詳細は次のページをご参照ください。

※Apex One 提供開始後はオプション販売は終了し、Client/Server Suite PremiumまたはウイルスバスターコーポレートエディションPlusにライセンスが付帯します(無償化)


Trend Micro VDIオプション• VDIは1つのハイパーバイザー上に複数のデスクトップOSが共有するため、ウイルス対策ソフトがハードウェアリソースを消費し、

下記のような課題が発生する可能性があります。

– ログインストーム・・・同時刻に多くのユーザがログインしたタイミングでウイルス対策ソフトウェアが同時にアップデートを開始

– アンチウイルスストーム・・・同時に予約検索を実施することによるハイパーバイザーのハードウェアリソースへの過負荷

• Trend Micro VDIオプションでは、これらの問題を解決するためにハイパーバイザーと連携して下記の機能を提供します。

– 同時検索数の制御機能・・・CPUの負荷が急上昇する予約検索／手動検索／ScanNowの同時実行数を制限し、CPU負荷を分散

– 同時アップデート数の制御機能・・・同時アップデート数を制限することで、ネットワーク負荷を分散。

– 検索時間の短縮機能・・・検索済みホワイトリストを利用することで検索時間を短縮

プロビジョニングサーバ

ハイパーバイザー(ESXi／XenServer／Hyper-V)

App

OS

App

OS

App

OS

Apex One サーバアップデート

同時検索数の制御機能

同時アップデート数の制御機能

予約検索の実施

VDIオプション

App

OS

マスタイメージ

ハイパーバイザー VDI製品

ESX+vCenter VMWare View

ESX+vCenter Citrix XenDesktop

XenServer Citrix XenDesktop

Hyper-V Citrix XenDesktop

Hyper-V Microsoft VDI

対応しているハイパーバイザーとVDI製品の組み合わせ

検索時間の短縮機能


第8章ウイルスバスター Corp. からのマイグレーション


ウイルスバスターコーポレートエディションからのバージョンアップ

現在ウイルスバスターコーポレートエディションをご利用の場合は、現在のCorp. サーバ・クライアントをバージョンアップすることがApex Oneを導入可能です。脅威は日々進化しているため、最新版へのバージョンアップを行うことにより、より効果的な対策／運用性の向上を図ることができます。バージョンアップを実施する際には、最新版ダウンロードページに掲載されているバージョンアップガイド、または下記サポートページを参考にしてください。

●ウイルスバスターコーポレートエディションバージョンアップサポートページhttps://tmqa.jp/corp14

バージョンアップ手順

Step1:使用OSとシステム要件を確認する

現在利用しているOSとシステム要件を確認し、インストール可能か確認してください

Step2:バージョンアップ方法を決定する

オプション1:既存のCorp.サーバをそのまま使用して、バージョンアップするオプション2:既存のCorp.サーバを新しくして、バージョンアップする

Step3:バージョンアップする

１．Apex One サーバを上書きインストール

２．バージョンアップ完了の確認

Step3:バージョンアップする

１．Apex One サーバを新規インストール２．Server Migration Toolの使用して

新サーバに設定をインポート３．エージェントを新サーバへ移動４．バージョンアップ完了の確認

OSのアップグレードを行ってください。

要件外

要件内

オプション1 オプション2

バージョンアップ前に利用していた機能はバージョンアップ後も設定が

引き継がれます。また、バージョンアップ後に新規に追加される機能は

既定値に従って自動的に設定されます。

バージョンアップ時には、サーバからエージェントに対して新しいプロ

グラムが一斉に配信されます。管理エージェントの台数が多い場合には

本章の「検索エンジン・修正プログラムの自動配信抑止機能」に記載し

た方法で、徐々にプログラムの配信を行って頂くことを推奨します。

また、バージョンアップ時に推奨サイジングを満たしていない既存の

Corp.サーバをそのまま使用した場合、バージョンアップ後の新機能を

ご利用いただく際に管理サーバ側の負荷が上昇しますので、バージョン

アップ前にハードウェアスペックを増強するか、余裕を持ったサイジン

グの管理サーバへ移行バージョンアップを実施頂くことを推奨します。


TMES・TMVP・プラグイン製品の移行について

Trend Micro Endpoint Sensor(TMES)

Trend Micro Virtual Patch for Endpoint(TMVP)

Trend Micro 情報漏えい対策オプション(DLP)

Trend Micro VDIオプション

Trend Micro Security for Mac (TMSM)

ログや設定の移行はできないためApex Oneの導入後に再設定が必要になります。※端末に元々入っていた各エージェントはApex Oneの機能有効化時に自動的にアンインストールされます。

上書きバージョンアップの場合はそのままご利用いただけます。移行バージョンアップの場合は再設定が必要になります。

上書きバージョンアップの場合はそのままご利用いただけます。移行バージョンアップの場合は新サーバへ移行可能です。※注1http://esupport.trendmicro.com/solution/ja-JP/1117081.aspx※注1

http://esupport.trendmicro.com/solution/ja-JP/1117081.aspx


エッジリレーサーバの導入・バージョンアップ

• 既にXGで本機能を利用していた場合は、エッジリレーサーバをApex One版にバージョンアップすることで設定の配信やEDRを含む新機能が利用可能です。※サーバを再構築する必要はありません。

• Apex One バージョンのエッジリレーサーバは、古いバージョンのエージェントプログラムをサポートしていません。

• オフプレミスのエンドポイントを管理する必要がある場合は、管理対象のCorp. クライアントをApex One エージェントにバージョンアップし、エージェントをApex One サーバに直接接続してバージョンアップ後のエッジリレー設定を取得する必要があります。

Apex One サーバ Apex One

エージェント(出張中や持ち出し中のPC)

エッジリレーサーバ

DMZ社内

インターネット

検知ログの送信

パターンファイルや検索エンジンのアップデート


第9章Appendix


ライセンス種別 Client Server Suite Premium ウイルスバスターCorp. Plus

Apex One ウイルスバスター Corp. XG Apex One ウイルスバスター Corp. XG

ウイルス対策(挙動監視・機械学習型検索を含む) 〇〇〇〇

スパイウェア対策〇〇〇〇

ファイアウォール〇〇〇〇

Webレピュテーション〇〇〇〇

感染時の自動復旧(ダメージクリーンナップ) 〇〇〇〇

仮想パッチによる脆弱性対策＝ Trend Micro Virtural Patch for Endpoint

〇Apex One

エージェントに統合

〇別製品として提供

ーー

アプリケーションコントロール〇ーーー

Mac OSのセキュリティ対策= Trend Micro Security for Mac (プラグイン)

プラグインとして提供、追加ライセンスは不要

VDI環境利用時の最適化= Trend Micro VDI オプション

プラグインとして提供、追加ライセンスは不要

統合管理 = Trend Micro Control Manager 2019年7月より後継製品の Apex Central を添付

別途サーバを構築して利用、追加ライセンスは不要

Android / iOSのセキュリティ対策= Trend Micro Mobile Security スタンダード

別製品として提供、追加ライセンスは不要

Apex One DLP Option (旧名称)情報漏えい対策オプション

プラグインとして提供、別途ライセンスが必要

Apex One Endpoint Sensor (EDR機能) 別途ライセンスが必要ー別途ライセンスが必要ー

Apex One 新ライセンス体系の機能比較表

※仮想パッチ、アプリケーションコントロール、Endpoint Sensorの利用にはApex Centralが必須となります。

◎掲載内容の無断転載を禁じます。本メールならびに本メールに記載されているURLのウェブサイト(以下「本ウェブサイト」と言います）上に掲載されるテキスト、グラフィックス及びその他の情報（以下、あわせて「ドキュメント」と言います）に関する著作権、並びに、その他のすべての知的所有権は、トレンドマイクロ株式会社又はトレンドマイクロ株式会社へドキュメントを提供している第三者へ独占的に帰属します。お客様は、トレンドマイクロ株式会社の事前の書面による承諾を得ることなく、ドキュメントをダウンロード、アップロード、複製、改変、翻訳、使用許諾、又は、手段を問わず転送することはできないものとします。

TRENDMICRO、TREND MICRO、ウイルスバスター、InterScan、INTERSCAN VIRUSWALL、InterScanWebManager、InterScan Web Security Suite、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、Trend Park、Trend Labs、Network VirusWall Enforcer、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、Trend Micro Portable Security、Trend Micro Standard Web Security、Trend Micro Hosted Email Security、Trend Micro Deep Security、ウイルスバスタークラウド、スマートスキャン、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Smart Protection Server、Deep Security、ウイルスバスタービジネスセキュリティサービス、SafeSync、Trend Micro NAS Security、Trend Micro Data Loss Prevention、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security Virtual Patch、SECURE CLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、Deep Discovery、TCSE、おまかせインストール・バージョンアップ、Trend Micro Safe Lock、Deep Discovery Inspector、Trend Micro Mobile App Reputation、Jewelry Box、InterScan Messaging Security Suite Plus、おもいでバックアップサービス、おまかせ！スマホお探しサポート、保険&デジタルライフサポート、おまかせ！迷惑ソフトクリーンナップサービス、InterScan Web Security as a Service、Client/Server Suite Premium、Cloud Edge、Trend Micro Remote Manager、Threat Defense Expert、Next Generation Threat Defense、Trend Micro Smart Home Network、Retro Scan、is702、デジタルライフサポートプレミアム、Airサポート、Connected Threat Defense、ライトクリーナー、Trend Micro Policy Manager、フォルダシールド、トレンドマイクロ認定プロフェッショナルトレーニング、Trend Micro Certified Professional、TMCP、XGen、InterScan Messaging Security、InterScan Web Security、Trend Micro Policy-based Security Orchestration、Writing Style DNA、およびSecuring Your Connected Worldは、トレンドマイクロ株式会社の登録商標です。

各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。(c) 2019 Trend Micro Incorporated. All Rights Reserved.

Documents

Trend Micro Apex OneTM 機能説明資料...12 Copyright © 2019 Trend Micro Incorporated. All rights reserved. Apex One 新機能と主な変更点 新機能 概要 1 別エージェントとして提供して

Trend Micro Apex OneTM 機能説明資料...12 Copyright © 2019 Trend Micro Incorporated. All rights reserved. Apex One 新機能と主な変更点新機能概要 1 別エージェントとして提供して