前回はTrend Micro Cloud App Security(以下、TMCAS) の評価導入の
ステップをお伝えしました。
前回記事はこちら↓
Office365 と Trend Micro Cloud App Security でより安全なクラウドへ
(前編)
後編となる今回は、TMCASの管理機能の解説と、実際にウィルス検知時に
どのような動作となるか、ご紹介したいと思います。
TMCASの検索方法としては、システムが自動で検索処理を行う「リアル
タイム検索」と管理者が都度実行する「手動検索」方法があります。
※無料評価版の制限として「リアルタイム検索」が利用不可となっています。
そのため検知時の処理に関しては「手動検索」による結果を記載しています。
TMCASの基本的な管理はWebコンソールを利用します。
ログインすると最初に以下のようなダッシュボードが表示されます。
ダッシュボードでは、全体の利用状況のグラフ表示などで確認できます。
検知数などのリンクをクリックすると検知ログの一覧などに遷移します。
ダッシュボードをはじめ管理コンソールは以下のパーツで構成されています。
・高度な脅威対策
・情報漏えい対策
・ログ
・隔離
・運用管理
上記パーツのうち、セキュリティ運用のルール(ポリシー)を設定する箇所が
「高度な脅威対策」と「情報漏洩対策」です。
TMCASではOffice 365 のサービス毎(Exchange、SharePoint、OneDrive
に上記2つのポリシーを定義して利用する事になります。
TMCASのテナントを開設した時点でそれぞれ既定のポリシーが構成されて
います。
「高度な脅威対策」は、ウィルス対策、Web および ファイルレピュテー
ションに関するポリシーを定義します。
「情報漏洩対策」は、データ損失保護(DLP)に関わる部分で、マイナンバー
などの個人情報や機密情報の流出保護に関するポリシーを定義します。
1つのサービスにつき複数のポリシーを作成する事が出来ますのでユーザー
グループ単位で異なるポリシーを割り当てることが可能です。
今回は一例として、Exchange Online に対して「高度な脅威対策ポリシー」
を紹介したいと思います。
「一般」ではリアルタイム検索の有効/無効、ポリシーの優先度および、
対象のユーザー/グループを指定します。
「高度なスパムメール対策」では、スパムメール対策の有効/無効を設定し、
検索範囲および検知レベルのルール設定と、検知後の処理、通知の有無を
指定します。
「不正プログラム検索」では、不正プログラムの検索範囲や機械学習を
用いた検索の有効/無効のルール設定と、検知後の処理、通知を指定します。
「ファイルブロック」では、特定の拡張子をもつファイルをブロックする
ルール設定を指定します。
「Webレピュテーション」では、不審URLに対する検索範囲や検知レベルを
指定します。
「仮想アナライザ」では、TMCASのサンドボックス処理による振る舞い
検知に関するルールを指定します。
上記は例として Exchange Online の「高度な脅威対策」ポリシーを見て
きましたが、TMCASによって実際に検知/処理がどのような挙動となるか
試したいと思います。
検知に利用するのはテスト用ウィルスとしてお馴染みの「eicar」を使用
して、、と言いたいところですが、今回は趣向を変えて Office 365の
機能を利用して不審URLを含んだメールによる挙動を試してみたいと
思います。
今回利用するOffice 365の機能は「Office 365 攻撃シミュレーター
(Attack Simulator)」を利用します。
ご存知の方もいらっしゃると思いますが、Office 365 攻撃シミュ
レーターは、Office 365 E5プランで提供されており、管理者は
以下に挙げる3つの攻撃シミュレーションを試す事が出来るように
なっています。
・スピアフィッシング攻撃
・ブルートフォース辞書攻撃
・パスワードスプレー攻撃
ちなみにこの 攻撃シミュレーター ですが、実行可能なユーザーの前提条件
としてOffice 365の多要素認証(MFA)を有効化する必要があります。
ですので、TMCASから少し脱線しますが Office 365 のMFAおよび攻撃
シミュレーターの手順についても簡単に触れたいと思います。
※既にMFAを利用されている方は、この説明はスキップして下さい。
まず、Office 365管理者ポータルに管理者アカウントでアクセスします。
ユーザー>アクティブなユーザー画面に移動し、ユーザーを選択し
「Azure Mult Fac..」をクリックします。
多要素認証を有効化するユーザーを選択し、画面右側の「有効」をクリック
します。
続いて、「multi facter authを有効にする」をクリックします。
処理が正常終了した旨のメッセージを確認し、「閉じる」をクリックします。
その後、別のブラウザを立ち上げ、有効化したユーザーでOffice 365ポータル
にアクセスし、いつものようにID、PWを入力します。
すると追加の認証を求める画面が表示されますので、「今すぐセットアップ
する」をクリックします。
追加のセキュリティ画面で連絡方法を選択します。
MFAのパターンとしては、電話への認証コードの送信あるいは通話に応答
するパターンと、「Microsoft Authenticator(以下、Authenticator)」
という専用のモバイルアプリを利用するパターンがあります。
今回はAuthenticator を利用したいので「モバイルアプリ」を選択して
進めます。
続いてどのような方法で多要素認証を行うかを問われますので、今回は
「確認コードを使用する」を選択し「セットアップ」をクリックします。
すると画面上にQRコードの表示がされますので、このQRコードを
Authenticator アプリで読み取る必要があります。
Apple Store または Google Play 経由で「Microsoft Authenticator」を
インストールします。(今回、アプリのインストールは割愛します)
インストールしたAuthenticatorを起動後、画面右上の「+」をクリック
します。
「職場および会社のアカウント(Work or school account)」をクリック
します。
スキャンを求められますので、画面に表示されているQRコードを読み取る
とアカウント情報が追加されます。
これでモバイルアプリ側の設定が完了です。
次回以降、Office 365ログイン時に、ID/PWを入力すると、Authenticator
に表示される6桁の確認コードを都度入力する動作となります。
これでAttack Simulatorを利用する準備が出来ましたので、スピアフィッ
シング攻撃のシミュレーションを実行したいと思います。
攻撃シミュレーターの詳細は以下も併せてご確認下さい。
攻撃 Simulator (Office 365)
https://support.office.com/ja-jp/article/%E6%94%BB%E6%92%83-Simulator-Office-365-da5845db-c578-4a41-b2cb-5a09689a551b?wt.mc_id=O365_Portal_MMaven
まず、Office 365管理ポータルにアクセスし、「管理センター」>「セキュ
リティ」を選択します。
「脅威の管理」>「攻撃シミュレーター」をクリックします。
スピアフィッシングの「攻撃の開始」をクリックします。
「Use Template」クリックします。
するとテスト用に「プレゼントの当選」「給与計算の更新」といった2つの
テンプレートが選択出来ますので、今回は「経費精算」を利用したいと
思います。
続いて、攻撃対象となるターゲットユーザーを指定して「次へ」をクリック
します。
実際に通知される差出人や件名、不審URLなどを指定して「次へ」をクリック
します。
必要に応じてメール文面等も加筆修正し、「次へ」をクリックします。
最後に「完了」をクリックします。
ここまでの手順でフィッシングメールがユーザーに通知された事になります。
それではTMCASによる処理の状態を見てみたいと思いますが、冒頭にも
お伝えしたように今回は無料評価版を利用した内容となりますので
手動検索のみが利用可能となっています。
そのため、今回はTMCAS管理コンソールから「手動検索」を実施し、
フィッシングメールがどのように処理されるかを確認したいと思います。
TMCAS管理コンソールにアクセス、「高度な脅威対策」に移動します。
「初期設定のExchange ポリシー - 高度な脅威対策」の左端にあるチェック
を付け「手動検索」をクリックします。
検索内容を確認し、ここでは既定のままで[実行]をクリックします。
OWAからメールボックスにアクセスしてみると、フィッシングメールは
すでに削除されており、またTMCASが削除処理を実行した旨のシステム
メッセージが表示されています。
今度は、TMCASの管理コンソールから検知ログの状態を確認してみま
しょう。
すると、 ログにもWebレピュテーションによってメールメッセージが削除
処理されたログが確認出来ました。
今回は評価版という事もあり、手動検索で検知・処理される様子を紹介し
ましたが製品版であればメール受信後すぐにリアルタイム検索で検知される
動作となります。
このようにTMCASは、Office365 のセキュリティ と組み合わせて様々な
脅威に対して対処可能である事がお分かり頂けたと思います。
2回にわたってTMCASの解説をしてきましたが如何でしたでしょうか。
是非、TMCASでより安全に快適な Office 365 環境を実現頂ければと
思います。
今回も最後まで読んで頂きありがとうございました!
記事投稿者:津久井