レピュテーションデータの構成

Palo Alto WildFire、ReversingLabs、VirusTotalなど、さまざまなソースからレピュテーションデータのリポジトリを構築できます。これらのソースは、ファイルハッシュの脅威レベルを決定します。Traceなどの他のTanium製品は、このデータを使用して、潜在的に悪意のあるファイルを示すことができます。レピュテーションデータをサポートされているConnect接続先に送信することもできます。

以前にWildFireまたはVirusTotalソースを接続用に設定した場合、設定はレピュテーションソース設定にインポートされます。

概要

レピュテーションサービスは、Tanium Module Server上で実行され、Connectのインストール時に起動されます。レピュテーションとは、特定のファイルハッシュに関する脅威情報をレピュテーションプロバイダに照会するサービスです。

レピュテーションデータベースは、レピュテーションアイテムから成るキャッシュです。構成すると、レピュテーションアイテムはレピュテーションソースでスキャンされます。レピュテーションソースは、レピュテーションアイテムが悪意のある、悪意のない、疑わしい、またはステータスが不明であるとみなされるかどうかを判断するサービスです。

送信元として[Reputation Source (レピュテーションソース)]を使用する接続を初めて実行すると、使用可能なすべてのレピュテーションアイテムが取得されます。その後の接続の実行では、最後に接続が実行されてからのレピュテーションの変更のみが取得されます。

レピュテーションサービスの設定を構成する

レピュテーションサービスの設定によって、レピュテーションデータベースの内容が決まります。これらの設定は、レピュテーションソースでスキャンされるレピュテーションアイテムの頻度、新しいアイテムとしてのアイテムの長さ、およびレピュテーションステータスが参照されていない場合にアイテムをデータベースに保持する期間を決定します。これらの設定の詳細、およびこれらの設定がレピュテーションアイテムにどのように影響するかについては、レピュテーションアイテムのライフサイクルを参照してください。

これらの設定を更新するには、Connectホームページに移動します。[Settings (設定)] をクリックします。[Reputation Service Settings (レピュテーションサービスの設定)]タブをクリックします。

[Keep Reports (レポートを保持)]設定は、レピュテーションソースからの完全なレポートをレピュテーションデータベースに保存するかどうかを決定します。すべてのレポートを保持するか、悪意のある、疑わしいレポートのみを保持するかを選択できます。悪意のある、疑わしいレポートだけを選択すると、データベースのスペースを節約できます。VirusTotalを接続元として使用している場合は、[Keep Reports (レポートを保持)]オプションを使用して、拡張レポート情報を取得します。

レピュテーションアイテムのライフサイクル

Taniumプロセスがアイテムのステータスにアクセスしている間は、レピュテーションアイテムはデータベースに残ります。レピュテーションアイテムのステータスは、レピュテーションサービスおよびプロバイダの設定に基づいて最新の状態に保たれます。

レピュテーションアイテムがレピュテーションデータベースに追加される

最大データベースサイズを超えない限り、レピュテーションアイテムは次のシナリオでレピュテーションデータベースに追加されます。

  • 新しいハッシュがTraceなどのTaniumプロセスによって識別されたとき。
  • 保存されたQuestionの接続元からハッシュのリストがConnectに送信されたとき。

レピュテーションアイテムが最初に追加されるとき、悪意あるかどうかは不明です。レピュテーションアイテムの状態はほとんどの場合、不明または保留中です。

レピュテーションアイテムがスキャンされる

アイテムの初期スキャンにかかる時間は、構成されているレピュテーションサービスの設定によって異なります。

複数のレピュテーションサービスプロバイダが設定されている場合、レピュテーションソースごとにレピュテーションアイテムが作成されます。たとえば、単一のハッシュの場合、WildFire、ReversingLabs、およびVirusTotalの3つのレピュテーションアイテムが作成されます。

WildFire

すべてのレピュテーションアイテムは、受信時にWildFireに送信されます。

ReversingLabs A1000

ReversingLabs A1000の設定によって、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabs A1000レピュテーションソースを構成するを参照してください。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudの設定によって、一度に送信されるハッシュ数とAPIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabsのTitaniumCloudレピュテーションソースを構成するを参照してください。

VirusTotal

VirusTotalの設定により、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、VirusTotalレピュテーションソースを構成するを参照してください。

レピュテーションアイテムが再スキャンされる

レピュテーションは、時間の経過とともにレピュテーションアイテムに対して変化する可能性があります。アイテムが再スキャンされると、レピュテーションソースに対して再度チェックされます。再スキャンプロパティの設定の詳細については、レピュテーションサービスの設定を構成するを参照してください。

[Rescan Item Interval (アイテム再スキャン間隔)]はすべてのレピュテーションプロバイダタイプに対してグローバルに設定されています。この値は、アイテムが再スキャンされる頻度を決定します。たとえば、この値を1日に設定すると、データベース内のすべてのアイテムが毎日チェックされます。

Wildfire

アイテムは[Rescan Item Interval (アイテム再スキャン間隔)]でのみスキャンされます。

ReversingLabs A1000

ReversingLabs A1000がハッシュの新しい評価を取得すると、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs A1000のFirst Seen属性と比較されます。First Seen属性は、ReversingLabs A1000が最初にそのハッシュのインスタンスを記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudがハッシュの新しいレピュテーションを得るように、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs TitaniumCloudのFirst Seen属性と比較されます。First Seen属性は、ReversingLabs TitaniumCloud顧客がReversingLabs TitaniumCloudがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

VirusTotal

VirusTotalの有料APIキーをお持ちの場合、VirusTotalはハッシュの新しい評価を取得するため、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がVirusTotalのFirst Seen属性と比較されます。First Seen属性は、VirusTotalの顧客からVirusTotalがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

これらの設定を行うときは、API呼び出し回数をVirusTotalとの契約の範囲内に維持するように注意してください。 

アイテムがレピュテーションデータベースから削除される

[Remove Item Interval (アイテムを削除する間隔)]の日数が過ぎて、そのアイテムが保存されたQuestionやその他のTaniumプロセスによってそのステータスを確認するためにクエリされなかった場合、そのアイテムはデータベースから削除されます。

ハッシュが再び見つかると、レピュテーションアイテムをデータベースに再追加することができます。

Palo Alto Networks WildFireレピュテーションソースを構成する

Palo Alto Networksのファイアウォールセキュリティポリシーを使用して疑わしいファイルを取得し、脅威分析のためにそれらをWildFireシステムに転送することができます。ファイルがマルウェアである場合、そのステータスがファイアウォールに報告されます。

WildFire分析が完了すると、レピュテーションサービスは結果を照会し、レピュテーションデータを更新できます。

前提条件

  • Cloud WildFire (wildfire.paloaltonetworks.com)または設定済みのWF-500 WildFireアプライアンスへの登録。
  • Palo Alto Networksファイアウォール(Panorama有り/無し)

Palo Alto Networks WildFireレピュテーションソースを構成する

  1. Connectメニューで[Reputation Data (レピュテーションデータ)]をクリックします。[Palo Alto Networks WildFire]セクションで、設定 をクリックします。
  2. WildFireインスタンスのホストとAPIキーを含む設定を指定します。

Palo Alto Networks WildFireレピュテーションソースを有効にする

レピュテーションソースを有効または無効にするには、レピュテーションソースの名前の横にあるドットをクリックします。ドットが緑色なら、レピュテーションソースは有効です。ドットが赤色なら、レピュテーションソースは無効です。

ReversingLabs A1000レピュテーションソースを構成する

ReversingLabsは企業がローカルにインストールしてファイルを分析し、API要求やWebインターフェイスを通じてレピュテーション結果を提供するアプリケーションです。

前提条件

すでにReversingLabs APIトークンを持っている必要があります。ReversingLabsのアクセス権をまだ登録していない場合は、reversinglabs.comでセールスチームに連絡してください。

APIキーを取得するには:

  1. ReversingLabsにログインします。
  2. ユーザープロファイルアイコンをクリックします。

  3. [Administration (管理)]を選択します。

  4. [Token (トークン)]をクリックします。

設定を構成する

  1. Connectメニューで[Reputation Data (レピュテーションデータ)]をクリックします。ReversingLabs A1000セクションで、設定 をクリックします。
  2. ReversingLabs A1000の資格情報を追加してください:APIへのアクセス[URL][API Token (APIトークン)]
  3. [New/Pending hashes per query (クエリごとに新規/保留中のハッシュ数)][New/Pending queries per minute (1分あたりの新規/保留中のクエリ数)]をReversingLabsとのAPI契約およびお客様のネットワーク要件に従って調整します。

ReversingLabs A1000レピュテーションソースを有効にする

レピュテーションソースを有効または無効にするには、レピュテーションソースの名前の横にあるドットをクリックします。ドットが緑色なら、レピュテーションソースは有効です。ドットが赤色なら、レピュテーションソースは無効です。

ReversingLabsのTitaniumCloudレピュテーションソースを構成する

ReversingLabs TitaniumCloudは、ウイルス、ワーム、トロイの木馬、およびウイルス対策エンジンやWebサイトスキャナによって検出されるその他の種類の悪意のあるコンテンツを識別するためのファイル、ハッシュ、およびURLを分析するオンラインサービスです。レピュテーションサービスは、レピュテーションアイテムをReversingLabs APIに送信し、その結果をレピュテーションデータベースに返します。

前提条件

ReversingLabs TitaniumCloudアカウントをすでに持っている必要があります。ReversingLabs TitaniumCloudのアクセス権をまだ登録していない場合は、reversinglabs.comでセールスチームに連絡してください。

設定を構成する

  1. Connectメニューで[Reputation Data (レピュテーションデータ)]をクリックします。ReversingLabs TitaniumCloudセクションで、設定 をクリックします。
  2. ReversingLabs TitaniumCloudの資格情報を追加する:APIアクセス用[URL][Username (ユーザー名)][Password (パスワード)]
  3. [New/Pending hashes per query (クエリごとに新規/保留中のハッシュ数)][New/Pending queries per minute (1分あたりの新規/保留中のクエリ数)]をReversingLabsとのAPI契約およびお客様のネットワーク要件に従って調整します。
  4. 悪意があると報告されたアイテムの数を減らすには、[Advanced Settings (高度な設定)]を展開して[Threat Level (脅威レベル)][Trust Factor (トラストファクター)]の設定を調整します。


    [Threat Level (脅威レベル)]0に、[Trust Factor (トラストファクター)]0に設定すると、最大数の悪意のあるアイテムに関するレポートが発生します。[Threat Level (脅威レベル)]5に、[Trust Factor (トラストファクター)]5に設定すると、最少数の悪意のあるアイテムに関するレポートが発生します。

ReversingLabs TitaniumCloudレピュテーションソースを有効にする

レピュテーションソースを有効または無効にするには、レピュテーションソースの名前の横にあるドットをクリックします。ドットが緑色なら、レピュテーションソースは有効です。ドットが赤色なら、レピュテーションソースは無効です。

VirusTotalレピュテーションソースを構成する

VirusTotalは、ウイルス、ワーム、トロイの木馬、およびウイルス対策エンジンやWebサイトスキャナによって検出されるその他の種類の悪質なコンテンツを特定するためのファイル、ハッシュ、およびURLを分析するオンラインサービスです。レピュテーションサービスはレピュテーションアイテムをVirusTotal APIに送信し、結果をレピュテーションデータベースに返します。

前提条件

VirusTotal APIキーをvirustotal.comで登録します。VirusTotalは、APIキーを使用してカタログにクエリを提供します。適切なAPIキーの種類を判断するには、VirusTotal APIの使用ポリシーを参照してください。

VirusTotalウェブサイトでAPIキーを取得するには、ログインしてyour_user_image > 設定> API キーをクリックします。

設定を構成する

  1. Connectメニューで[Reputation Data (レピュテーションデータ)]をクリックします。VirusTotalセクションで、設定 をクリックします。
  2. APIキーを含むVirusTotalの設定を指定します。
    • [Batch Size (バッチサイズ)][Maximum Calls per Minute (1分あたりの最大通話数)]の設定をVirusTotalとの契約に基づいて調整します。
    • [Positive Threshold (陽性のしきい値)]は潜在的な脅威またはマルウェアとみなされるためにハッシュ上になければならない陽性レポート数です。
      値が低く設定されている場合、VirusTotalレポートに偽陽性のものが含まれている可能性が高くなります。

      例: 値を3に設定した場合、3つのVirusTotalエンジンは、アイテムを悪意のあると報告してアイテムをConnectに送信する必要があります。
      値を0に設定すると、しきい値が無効になります。VirusTotalエンジンが悪意のあるアイテムとして報告すると、そのアイテムはConnectに送信されます。

      VirusTotalのレピュテーションの結果は次のように決定されます。

      • Malicious (悪意のあるもの):陽性の数がしきい値より大きい場合
      • Suspicious (疑わしいもの):陽性の数がゼロよりも大きいが、しきい値よりも小さい場合
      • Non-malicious (悪意のないもの):陽性の数がゼロの場合
      • Unknown (不明):データがない場合

VirusTotalレピュテーションソースを有効にする

レピュテーションソースを有効または無効にするには、レピュテーションソースの名前の横にあるドットをクリックします。ドットが緑色なら、レピュテーションソースは有効です。ドットが赤色なら、レピュテーションソースは無効です。

レピュテーションスキャンのステータスを表示する

レピュテーションデータページには、レピュテーションアイテムの総数、および各レピュテーションソースに関する次の情報が表示されます。

  • アイテム:このレピュテーションソースのレピュテーションアイテムの合計数。
  • New (新規):このレピュテーションソースでスキャンする必要があるレピュテーションアイテム。
  • Processed (処理済み):このレピュテーションソースでスキャンされたレピュテーションアイテム。
  • Malicious (悪意のある):全レピュテーションアイテムのうちの悪意のあるアイテムの割合。

レピュテーションデータを接続先に送信する

レピュテーションデータベースにあるデータを任意の接続先に送信するための接続を作成できます。たとえば、悪意のあるアイテムが見つかった場合に電子メール通知を作成するように接続を構成することができます。

  1. 新しい接続を作成します。
  2. 接続元を選択するとき、[Reputation Service (レピュテーションサービス)]を選択します。
    含めるレピュテーションステータスを選択することもできます。
  3. その接続の接続先設定を構成します。

レピュテーションサービスにデータを送信する

環境からのハッシュを使用してレピュテーションデータを事前入力する場合は、レピュテーションサービスに接続先としてデータを送信できます。このコンテンツが事前設定されている場合、レピュテーションサービスは、レピュテーションソースからのアイテムのステータスを照会することができます。

  1. 新しい接続を作成します。
  2. ソースについては、[Get Running Processes with MD5 Hash from all machines (すべてのコンピュータからハッシュを使用して実行中のプロセスを取得する))]など、ハッシュを返す保存されたコマンドを選択します。
  3. 送信先については、レピュテーションサービスを選択し、[Hash Field (ハッシュフィールド)]の適切なハッシュタイプを選択します。

各レピュテーションサービス接続先は、特定のハッシュ列名用に構成されています。入力する各ハッシュタイプに対して、別々の送信先を使用する必要があります。たとえば、異なる保存されたQuestionからMD5とSHA1の両方のハッシュを作成する場合、[Hash Field (ハッシュフィールド)]の異なる値を持つ2つの接続先を作成します。

レピュテーションデータを表示する

Connectがレピュテーションサービスから取得した悪意のあるハッシュのリストを表示するには、[Malicious Reputations (悪意のあるレピュテーション)]タブをクリックします。
悪意のあるステータスまたは保留ステータスのハッシュのみがリストされます。

トレースでは、ライブエンドポイントまたはスナップショットのハッシュ評価を表示できます。詳細については、Tanium Traceユーザーガイド:Traceでレピュテーションデータがどのように機能するかを参照してください。

ホワイトリスト/ブラックリストデータを表示する

ホワイトリストまたはブラックリストに登録されているハッシュのリストを表示するには、[Whitlist/Blacklist (ホワイトリスト/ブラックリスト)] タブをクリックします。

[Reputation Data (レピュテーションデータ)]ページの[Whitelist/Blacklist (ホワイトリスト/ブラックリスト)]タブでレピュテーションデータハッシュをホワイトリスト/ブラックリストに追加することができます。
ブラックリストに悪意あるものとして知られているハッシュを追加するには、[Add Hashes (ハッシュを追加)]をクリックして、ハッシュを入力し、[blacklist (ブラックリスト)]を選択してから[Save to Blacklist (ブラックリストを保存)]をクリックします。ホワイトリストに誤検出であることがわかっているハッシュを追加するには、[Add Hashes (ハッシュを追加)]をクリックして、ハッシュを入力し、[Whitelist (ホワイトリスト)]を選択してから[Save to Whitelist (ホワイトリストを保存)]をクリックします。

ホワイトリスト/ブラックリストからレピュテーションデータハッシュのすべてを置換、削除、またはエクスポートすることもできます。
すべてのハッシュを置き換えるには、[Replace All (すべて置き換える)]をクリックし、[OK]をクリックしてCSV形式のファイルまたは以前にエクスポートされたホワイトリスト/ブラックリストを選択します。


レピュテーションサービスは、異なるタイプのハッシュが同じファイルを表すときに、サービスプロバイダから学習することによって、重複レコードの統合を自動的に処理します。

手動でハッシュを統合する場合は、既存のホワイトリスト/ブラックリストファイルをエクスポートし、そのファイルを編集して特定の行の適切な列にハッシュを追加し、[Replace All (すべて置き換える)]をクリックして更新したファイルをアップロードします。

最終更新:2019/06/0418:43| フィードバック

Powered by Translations.com GlobalLink OneLink Software