Reputationの概要

Reputationを使用し、Palo Alto WildFire、ReversingLabs、VirusTotalなど、さまざまなソースからレピュテーションデータのリポジトリを構築できます。これらのソースは、ファイルハッシュの脅威レベルを決定します。Tanium™ Traceなどの他のTanium製品は、このデータを使用して、潜在的に悪意のあるファイルを示すことができます。レピュテーションデータをサポートされているTanium™ Connect接続先に送信することもできます。

レピュテーションデータベースは、レピュテーションアイテムから成るキャッシュです。構成すると、レピュテーションアイテムはレピュテーションソースでスキャンされます。レピュテーションソースは、レピュテーションアイテムが悪意のある、悪意のない、疑わしい、またはステータスが不明であるとみなされるかどうかを判断するサービスです。

レピュテーションアイテムのライフサイクル

Taniumプロセスがアイテムのステータスにアクセスしている間は、レピュテーションアイテムはデータベースに残ります。レピュテーションアイテムのステータスは、レピュテーションサービスおよびプロバイダの設定に基づいて最新の状態に保たれます。

レピュテーションアイテムがレピュテーションデータベースに追加される

最大データベースサイズを超えない限り、レピュテーションアイテムは次のシナリオでレピュテーションデータベースに追加されます。

• 新しいハッシュがTraceなどのTaniumプロセスによって識別されたとき。
• 保存されたQuestionの接続元からハッシュのリストがConnectに送信されたとき。

レピュテーションアイテムが最初に追加されるとき、悪意あるかどうかは不明です。レピュテーションアイテムの状態はほとんどの場合、不明または保留中です。

レピュテーションアイテムがスキャンされる

アイテムの初期スキャンにかかる時間は、構成されているレピュテーションサービスの設定によって異なります。

複数のレピュテーションサービスプロバイダが設定されている場合、レピュテーションソースごとにレピュテーションアイテムが作成されます。たとえば、単一のハッシュの場合、WildFire、ReversingLabs、およびVirusTotalの3つのレピュテーションアイテムが作成されます。

WildFire

すべてのレピュテーションアイテムは、受信時にWildFireに送信されます。

ReversingLabs A1000

ReversingLabs A1000の設定によって、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabs A1000レピュテーションソースを構成するを参照してください。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudの設定によって、一度に送信されるハッシュ数とAPIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、ReversingLabsのTitaniumCloudレピュテーションソースを構成するを参照してください。

VirusTotal

VirusTotalの設定により、一度に送信されるハッシュ数と、APIが1分間に何回呼び出されるかが決まります。これらの設定の詳細については、VirusTotalレピュテーションソースを構成するを参照してください。

レピュテーションアイテムが再スキャンされる

レピュテーションは、時間の経過とともにレピュテーションアイテムに対して変化する可能性があります。アイテムが再スキャンされると、レピュテーションソースに対して再度チェックされます。再スキャンプロパティの設定の詳細については、レピュテーションサービスの設定を構成するを参照してください。

[Rescan Item Interval (アイテム再スキャン間隔)]はすべてのレピュテーションプロバイダタイプに対してグローバルに設定されています。この値は、アイテムが再スキャンされる頻度を決定します。たとえば、この値を1日に設定すると、データベース内のすべてのアイテムが毎日チェックされます。

Wildfire

アイテムは[Rescan Item Interval (アイテム再スキャン間隔)]でのみスキャンされます。

ReversingLabs A1000

ReversingLabs A1000がハッシュの新しい評価を取得すると、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs A1000のFirst Seen属性と比較されます。First Seen属性は、ReversingLabs A1000が最初にそのハッシュのインスタンスを記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

ReversingLabs TitaniumCloud

ReversingLabs TitaniumCloudがハッシュの新しいレピュテーションを得るように、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がReversingLabs TitaniumCloudのFirst Seen属性と比較されます。First Seen属性は、ReversingLabs TitaniumCloud顧客がReversingLabs TitaniumCloudがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

VirusTotal

VirusTotalの有料APIキーをお持ちの場合、VirusTotalはハッシュの新しい評価を取得するため、再スキャンするアイテムを設定できます。

[Maximum Age of New Items (新しいアイテムの最大経過時間)]設定がVirusTotalのFirst Seen属性と比較されます。First Seen属性は、VirusTotalの顧客からVirusTotalがそのハッシュのインスタンスを最初に記録した日付です。アイテムが構成された最大値より小さい場合、アイテムは再スキャンされます。新しいアイテムが再スキャンされる頻度は、[Rescan Item Interval (アイテム再スキャン間隔)]で設定します。

これらの設定を行うときは、API呼び出し回数をVirusTotalとの契約の範囲内に維持するように注意してください。 

アイテムがレピュテーションデータベースから削除される

[Remove Item Interval (アイテムを削除する間隔)]の日数が過ぎて、そのアイテムが保存されたQuestionやその他のTaniumプロセスによってそのステータスを確認するためにクエリされなかった場合、そのアイテムはデータベースから削除されます。

ハッシュが再び見つかると、レピュテーションアイテムをデータベースに再追加することができます。

ホワイトリスト/ブラックリスト

Reputationホワイトリスト/ブラックリストは、誤検出または悪意があることがわかっているレピュテーションハッシュのリストです。ホワイトリスト/ブラックリストから特定のハッシュを追加または削除するか、リスト全体をエクスポートおよびインポートできます。

詳細については、ホワイトリストまたはブラックリストデータの管理を参照してください。

この文書には、第三者が提供するコンテンツや製品(ハードウェアおよびソフトウェアを含む)、サービス(「第三者のアイテム」)に対するアクセス手段や､第三者のそうした情報そのものが含まれていることがあります｡ Tanium Inc.およびその関連会社は、(i)それらの第三者のアイテムに対して責任を負うものではなく、第三者のアイテムに関するすべての保証および責任を明示的に放棄し、(ii)お客様とTaniumとの間の有効な契約に明記されているのでない限り、かかる第三者のアイテムへのアクセスや、利用に起因する損失、費用または損害について責任を負いません。

また、この文書は､特定の第三者のアイテムの使用やTanium製品との組み合わせを求めるものでも､想定するものでもありません。そのような組み合わせによって生じた知的財産権の侵害について、Taniumおよびその関連会社は一切責任を負いません。第三者のアイテムとTanium製品の組み合わせが適切であるかどうか､また第三者の知的財産権を侵害しないかどうかの判定の責任はTaniumではなくお客様にあります｡

最終更新：2020/04/0120:46| フィードバック