技術支援
透過 Control Manager 整合趨勢科技產品和解決方案
 
Better Together是趨勢科技Trend Micro Control Manager 6.0 SP3(TMCM)透過Connected Threat Defense(CTD)整合趨勢科技產品和解決方案,幫助您偵測、分析,在未造成企業傷害前,回報APT事件(進階持續性滲透攻擊)。
 
Connected Threat Defense(CTD)產品整合:

主要產品

Connected Threat Defense 為一套完整解決方案,包含下列趨勢科技產品:

• Control Manager (6.0 SP3)

• Deep Discovery Inspector (3.8)

• OfficeScan (11 SP1)

• Smart Protection Server (standalone) (3.0 Patch1)

其他支援產品:

CTD TMCM也整合了下列趨勢科技產品:

• Deep Discovery Endpoint Sensor (1.5 Preview Release)

• Deep Discovery Analyzer (5.1)

 

 

可疑物件清單管理(Suspicious Object Management):
 

可疑樣本送件:

下列產品中內建的虛擬分析器(Virtual Analyzer)將會分析可疑的樣本:

• Deep Discovery Inspector 3.8:套用管理員制定的規則將可疑樣本送件分析。

• Deep Discovery Analyzer 5.1:接收管理員或其他趨勢科技產品上傳送件的可疑樣本。Receives samples uploaded by product administrators or sent by other Trend Micro products

分析:
虛擬分析器負責追蹤並分析樣本,並將對於系統有潛在威脅的樣本標示為可疑物件。支援的物件類別包括檔案(SHA-1)、IP、網域、網址等等。
 
統整分派:
TMCM定義可疑物件偵測後的主動式處理行動並將此定義分派至各產品。
 
影響評估:
若有系統發現與可疑樣本有關的可疑活動,或趨勢產品設定為被動式處理行動,則會被TMCM評估為有風險。 
 
防護:
OfficeScan代理程式及其他趨勢科技產品主動掃瞄可疑物件。

 

TMCM6.0 SP3 整合產品

 
DDA5.1 
登入TMCM網頁主控台 > Administration > Manager Servers
設定DDA IP登入DDA的網頁主控台帳號密碼,設定好按下save
 
 
DDA會將相關資訊傳送到TMCM:

DDA5.1 Custom Defense

  • 可疑物件(Suspicious objects)是分析時發現的已知或具有潛在威脅的IP、網域、網址、檔案。可疑物件會被保留在可疑物件清單裡30天。
  • Deep Discovery Analyzer(DDA)每十分鐘就會以增量更新的方式將可疑物件清單更新至TMCM。
  • 支援物件類型:
    • IP
    • 網域
    • 網址
    • 檔案
 
可疑物件清單(Suspicious Objects)
 
  • 按下Analysis Report的「View」,可開啟Virtual Analyzer Report。
    註:不支援IE8。 
Virtual Analyzer Report
 

例外清單(Exception List)

  • DDAn5.1每十分鐘會向 TMCM6.0SP3同步取得例外清單
  • DDAn會將從TMCM同步過來的例外清單,同步到U-Sandbox。U-Sandbox在自己產生的事件或Sandcastle事件皆支援例外清單。
  • 支援格式:
    • IP
    • 網域
    • 網址
    • 檔案
 

已知問題

  • DDAn 5.0無法直接升級至DDAn5.1。必須先將DDAn 5.0 的資料及設定檔備份,再匯入DDAn 5.1。
  • IE 8 不支援單一登入(SSO, Single Sign On)查詢可疑物見的Virtual Analyzer報告。請使用IE 9 或更新版本。
  • 修改的可疑物件清單,無法同步回TMCM:
    • 新增至例外清單
    • 永不過期
    • 立即到期

 

DDAn使用新的確認規則,故可能無法自TMCM同步例外清單,例:https://url_test.com,TMCM可支援,但DDAn不支援,故會跳過這一筆物件。
 
 

DDI 3.8

將DDI 3.8註冊至TMCM
 

如何檢查可疑物件清單是否已上傳至

  • 請至DDI網頁管理畫面>Detections >SO
  • 檢查可疑物件清單(Suspicious Objects)
  • 請至TMCM網頁管理畫面>Administration >Custom Defense >SO
  • 檢查可疑物件清單(Suspicious Objects)
  • DDI自TMCM同步可疑物件清單及自定義清單

     

    • 設定
      • 啟用“Synchronize suspicious objects with Control Manager”
      • 輸入AKI key
      • 註冊到TMCM
    • 同步間隔
      • 每五分鐘同步一次
    • 同步物件類別
      • SHA-1, URL, IP, Domain
      • No HTTPs, FTP of URL

     如何確認可疑物件清單是否從TMCM同步下來

      檢查可疑物件清單

    • 請至DDI網路管理畫面>Integrated Products/Services >Control Manager
    • 勾選Last Synchronization
    • 請至TMCM網路管理畫面>Administration>Custom Defense >SO
    • 按下Operation Process的 “view button”
    • 按下Deployment頁籤
    • 檢查其是否已部署

     OfficeScan11 SP1

      

    註冊至TMCM伺服器 

    • 在OSCE伺服器註冊至TMCM伺服器步驟:
      • 請至OSCE網路管理畫面> Administration > Settings > Control Manager
      • 在Control Manager Server Settings輸入TMCM伺服器相關資訊,按下“register”按鈕 
 

可疑物件清單設定

  • OSCE註冊到TMCM之後:
  • TMCM伺服器會在十分鐘後自動部署API key到OSCE伺服器。
  • OSCE收到API key之後,就會顯示可疑物件清單設定。
 
  • No. 1: 可疑物件清單設定位置
  • No. 2:
    • 顯示TMCM伺服器是提供可疑物件清單的來源
    • 不論Enable Suspicious URL/IP/File 清單是否有被勾選,OSCE伺服器與LWCS會持續同步最新的可疑物件,包含:網址、檔案、IP位址。
  • No. 3:
    • Unsubscribe: 停用custom defense功能,OSCE伺服器與LWCS將不會再同步最新的可疑物件。
    • Test Connection: 測試OSCE與TMCM伺服器之間的連線狀況。
  • No. 4: 啟動/停用Suspicious URL/IP/File功能
  • No. 5: 伺服器更新設定
    • 預約同步可疑物件清單:整點
    • 立即同步:手動同步可疑物件清單
    • 顯示最後一次同步時間等資訊
  • No. 6: OSCE用戶端更新設定
    • OSCE用戶端更新元件時會一併更新可疑物件清單
    • OSCE伺服器更新後會自動通知用戶端(預設值)
 取消同步
  • 按下“Unsubscribe”取消同步可疑物件清單,已註冊的TMCM伺服器資訊會保存下來
  • 勾選 “Use registered Control Manager”,OSCE伺服器與LWCS服務會自動定期同步網址、檔案、IP位址清單
  • 取消勾選“Use registered Control Manager”, 則僅有LWCS服務會定期同步網址清單(這是OSCE 11 的iSPS功能,可註冊至DDAn)
 

啟用/停用可疑網址、IP位址、檔案功能

 
  • 勾選“Enable Suspicious URL/IP/File list”
  • OfficeScan代理程式以及LWCS將會啟用掃瞄與偵測選用的物件類型
  • 取消勾選“Enable Suspicious URL/IP/File list”
  • OfficeScan代理程式程式以及LWCS將會取消掃瞄與偵測選用的物件類型
 
 
 

代理程式端的可疑物件

  • 代理程式的更新來源可以是OSCE伺服器或是更新代理程式
  • 代理程式可以執行「立即更新」來更新可疑物件清單。或是從OSCE伺服器通知代理程式手動更新。
  • 顯示上次更新時間(須啟用suspicious File/IP)
 

偵測

  • 可疑檔案:主動處理行動為記錄(log)、封鎖(block)、隔離(quarantine)。
  • 可疑IP/網址:主動處理行動有記錄(log)與封鎖(block)

 

通知

  • 及時掃瞄或預約掃瞄偵測到可疑物件時會跳出通知訊息
  • 通知偵測到可疑檔案
 
  • 通知偵測到可疑IP/網址 

可疑檔案Log

  • 及時掃瞄結果:Access Denied(Block)、Quarantined
  • 手動掃瞄與預約掃瞄結果:Passed (Block), Quarantined
  • 為了預防DDoS,監控行動的log僅存放於TMCM伺服器

可疑IP Log
Log類型為Suspicious Connection或C&C Callback

  • 偵測結果為Blocked則會顯示於OSCE伺服器及用戶端
  • 為了預防DDoS,監控行動的log僅存放於TMCM伺服器
 

可疑網址Log
 

  • Log類型為Web Reputation或C&C Callback
  • 偵測結果為Blocked則會顯示於OSCE伺服器及用戶端
  • 為了預防DDoS,監控行動的log僅存放於TMCM伺服器


 

透過以下社群網站聯絡我們