その他のリソース

リリースノート

Reputationの概要

Reputationを使用し、Palo Alto WildFire、ReversingLabs、VirusTotalなど、さまざまなソースからレピュテーションデータのリポジトリを構築できます。これらのソースは、ファイルハッシュの脅威レベルを決定します。Tanium™ Traceなどの他のTanium製品は、このデータを使用して、潜在的に悪意のあるファイルを示すことができます。レピュテーションデータをサポートされているTanium™ Connect接続先に送信することもできます。

レピュテーションデータベースは、レピュテーションアイテムから成るキャッシュです。構成すると、レピュテーションアイテムはレピュテーションソースでスキャンされます。レピュテーションソースは、レピュテーションアイテムが悪意のある、悪意のない、疑わしい、またはステータスが不明であるとみなされるかどうかを判断するサービスです。

レピュテーションアイテムのライフサイクル

Taniumプロセスがアイテムのステータスにアクセスしている間は、レピュテーションアイテムはデータベースに残ります。レピュテーションアイテムのステータスは、レピュテーションサービスおよびプロバイダの設定に基づいて最新の状態に保たれます。

レピュテーションアイテムがレピュテーションデータベースに追加される

最大データベースサイズを超えない限り、レピュテーションアイテムは次のシナリオでレピュテーションデータベースに追加されます。

  • 新しいハッシュがTraceなどのTaniumプロセスによって識別されたとき。
  • 保存されたQuestionの接続元からハッシュのリストがConnectに送信されたとき。

レピュテーションアイテムが最初に追加されるとき、悪意あるかどうかは不明です。レピュテーションアイテムの状態はほとんどの場合、不明または保留中です。

レピュテーションアイテムがスキャンされる

アイテムの初期スキャンにかかる時間は、構成されているレピュテーションサービスの設定によって異なります。

複数のレピュテーションサービスプロバイダが設定されている場合、レピュテーションソースごとにレピュテーションアイテムが作成されます。たとえば、単一のハッシュの場合、WildFire、ReversingLabs、およびVirusTotalの3つのレピュテーションアイテムが作成されます。

WildFire

すべてのレピュテーションアイテムは、受信時にWildFireに送信されます。

ReversingLabs A1000

ReversingLabs A1000の設定によって、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabs A1000レピュテーションソースを構成するを参照してください。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudの設定によって、一度に送信されるハッシュ数とAPIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabsのTitaniumCloudレピュテーションソースを構成するを参照してください。

VirusTotal

VirusTotalの設定により、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、VirusTotalレピュテーションソースを構成するを参照してください。

レピュテーションアイテムが再スキャンされる

レピュテーションは、時間の経過とともにレピュテーションアイテムに対して変化する可能性があります。アイテムが再スキャンされると、レピュテーションソースに対して再度チェックされます。再スキャンプロパティの設定の詳細については、レピュテーションサービスの設定を構成するを参照してください。

[Rescan Item Interval (アイテム再スキャン間隔)]はすべてのレピュテーションプロバイダタイプに対してグローバルに設定されています。この値は、アイテムが再スキャンされる頻度を決定します。たとえば、この値を1日に設定すると、データベース内のすべてのアイテムが毎日チェックされます。

Wildfire

アイテムは[Rescan Item Interval (アイテム再スキャン間隔)]でのみスキャンされます。

ReversingLabs A1000

ReversingLabs A1000がハッシュの新しい評価を取得すると、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs A1000のFirst Seen属性と比較されます。First Seen属性は、ReversingLabs A1000が最初にそのハッシュのインスタンスを記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudがハッシュの新しいレピュテーションを得るように、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs TitaniumCloudのFirst Seen属性と比較されます。First Seen属性は、ReversingLabs TitaniumCloud顧客がReversingLabs TitaniumCloudがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

VirusTotal

VirusTotalの有料APIキーをお持ちの場合、VirusTotalはハッシュの新しい評価を取得するため、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がVirusTotalのFirst Seen属性と比較されます。First Seen属性は、VirusTotalの顧客からVirusTotalがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

これらの設定を行うときは、API呼び出し回数をVirusTotalとの契約の範囲内に維持するように注意してください。 

アイテムがレピュテーションデータベースから削除される

[Remove Item Interval (アイテムを削除する間隔)]の日数が過ぎて、そのアイテムが保存されたQuestionやその他のTaniumプロセスによってそのステータスを確認するためにクエリされなかった場合、そのアイテムはデータベースから削除されます。

ハッシュが再び見つかると、レピュテーションアイテムをデータベースに再追加することができます。

ホワイトリスト/ブラックリスト

Reputationホワイトリスト/ブラックリストは、誤検出または悪意があることがわかっているレピュテーションハッシュのリストです。ホワイトリスト/ブラックリストから特定のハッシュを追加または削除するか、リスト全体をエクスポートおよびインポートできます。

詳細については、ホワイトリストまたはブラックリストデータの管理を参照してください。

最終更新:2020/04/0120:46| フィードバック

Powered by Translations.com GlobalLink OneLink Software