公開日
2023年12月7日
新人SEからVision Oneマスターに、私はなる! #9 Sandbox Analysis:不審ファイルを安全な仮想環境で解析
こんにちは、セールスエンジニアリング部 Vision One オンボーディングチームの髙木です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第9回の本編では、Trend Vision One™(以下、Vision One)の機能のうちのひとつであるオブジェクト(ファイルやURLなど)を安全な仮想環境で手動で解析するSandbox Analysisについて、説明から実施の流れまでスクリーンショット付きで詳しくご紹介します。
なお本編は実際の機能説明となりますので、前段となる以下2つの記事を先に読んでいただくことでより理解が深まります!
・「#1 進化するマルウェアとその対策:EDR/XDRの重要性」
・「#2 トレンドマイクロのEDR/XDRを簡単に紹介」
本記事はVision Oneをご登録いただかなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しいただけると幸いです!
Vision One登録手順につきましてはこちらの記事をご参照ください。
一緒にVision Oneマスターになりましょう!
1. Sandbox Analysisとは
Sandbox AnalysisとはVision OneのThreat Intelligenceにおいてクラウドサンドボックス機能を提供します。
クラウドサンドボックスは製品やユーザから送信されたオブジェクトを管理および分析する安全な仮想環境です。
Sandbox Analysisイメージ図
2.Sandbox Analysisのメリットは?
Sandbox Analysisのメリットは以下2点です。
・インシデント調査時に見つかった不審ファイルを対応する製品から直接Vision One上のクラウドサンドボックスで解析できるため安全に、迅速な解析作業が可能
・日々の運用・調査で外部入手した不審ファイルの健全性チェックとして、管理コンソールから手動でAPI経由で動的解析が可能
3.Sandbox Analysisの使い方
1.Credits利用方法
Sandbox Analysisで解析を行うためには事前にTrend Vision One Credits (以下、Credits)を割り当てる必要があります。
Creditsとは、 Vision One に関連する製品機能の利用権のことで、事前にまとめて購入をして製品を迅速かつ柔軟に利用できる当社独自のポイントシステムです。
2.Credits割り当て方法
1.Vision One コンソールにログインし、THREAT INTELLIGENCE > Sandbox Analysis を選択します。
2.[送信設定]を選択します。
3.1日当たりの引当を入力し、下部の[保存]を選択します。
※予約数は実際にご利用になる数を入力してください。
※1オブジェクトあたりは50Creditsを割り当てます。
4.送信(合計/引当)可能なオブジェクト数が表示されます。
3.不審なファイルをコンソールから登録
1.Vision One コンソールにログインし、THREAT INTELLIGENCE > Sandbox Analysis を選択します。
2.[オブジェクトの送信]を選択します。
3.送信するオブジェクト[ファイル / URL]を選択します
■File の場合
[ファイルの選択]をクリックし、送信するファイルを指定します。
・サンドボックスでは、サポートされているファイルタイプのみが分析されます。詳細は「サポートされるファイルタイプ」を参照してください。
・抽出されたオブジェクトを含めて、合計ファイルサイズが60MBを超えることはできません。
・(オプション)送信されたファイルオブジェクトをサンドボックスで実行するときに使用するコマンドライン引数を指定します。
最大1024文字まで入力できます。引数は、Portable Executable(PE)ファイルおよびスクリプトファイルにのみ適用されます。
・(オプション)パスワードで保護されたファイルの場合は、パスワードを指定します。
サンドボックスでは、初期設定のパスワードとして virus と infected が使用されます。
送信されたオブジェクトがどちらかをパスワードとして使用する場合は、ここでパスワードを指定する必要はありません。
■URLs の場合
最大2,048文字のURLを指定して、 ENTERを押します。
・サンドボックスには最大10個のURLを送信できます。各URLは、1日の予約に対して個別のオブジェクトとしてカウントされます。
・サンドボックスで分析できるのはHTTPアドレスとHTTPSアドレスのみです。
・ドメイン名には、Punycode(RFC-3492)形式を使用する必要があります。
・URLパスとクエリ文字列にはパーセントエンコード(RFC-3986)形式を使用する必要があります。
・パーセントエンコードに変換する例については、こちらのオンラインヘルプをご確認ください。
4.送信(合計/引当)可能なオブジェクト数が表示されます。
4.API経由 でオブジェクトを送信
1.Vision One コンソールにログインし、XDR THREAT INVESTIGATION > Workbench または Observed Attack Techniques または Search を選択します。
2. [サンドボックス分析のために送信]をクリックしてオブジェクトを送信します。
・Workbenchの場合
・Observed Attack Techniquesの場合
・Searchの場合
5.分析結果の確認
Sandbox Analysis 画面に、送信されたオブジェクトのステータスが表示されます。
今回はサンプルURLの分析結果を確認していきます。
1.Sandbox Analysis画面上で、送信したオブジェクトの分析ステータスが[完了]になっていることを確認します。
本オブジェクトはリスクレベル:高であることが分かります。
2.分析結果のPDFレポートを確認します。
右側の[処理]の欄のダウンロードアイコンをクリックします。
3.レポートの内容を確認します。
※リスクレベルが高い場合やより詳細な調査が必要な場合には、トレンドマイクロのサポートセンターに検体解析依頼をしていただくことも可能です。
参考:不審なファイルの解析依頼方法
4.さいごに
お疲れさまでした。
このブログでは、Sandbox Analysisの概要やメリット、画面の見方や実際の使用方法についてご紹介いたしました。
インシデントハンドリング時に見つかった不審ファイルを該当端末ではなく、安全な仮想環境で迅速に解析するのに役立てていただければ幸いです。
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision One オンボーディングチーム セールスエンジニア
髙木 彩未