ビュー:
注意
注意
ICAPの統合が有効な場合、Deep Discovery Analyzerは自動的に仮想アナライザのスループットを調節して、システムリソースの消費を抑えます。

手順

  1. [管理][統合製品/サービス][ICAP] の順に選択します。
  2. [ICAPを有効にする] を選択します。
  3. [ICAPポート番号] を入力します。
    初期設定値は1344です。
  4. 安全な接続でICAPクライアントに接続するには、[SSL経由のICAPを有効にする] を選択して、次の情報を指定します。
    • ICAPSポート番号: 初期設定値は11344です
    • 証明書: 証明書にはbase64エンコーディングを使用する必要があります
    • 秘密鍵: 秘密鍵にはbase64エンコーディングを使用する必要があります
      重要
      重要
      暗号化された秘密鍵のみがサポートされます。
    • パスフレーズ
    • パスフレーズの確認入力
  5. (オプション) [ヘッダ設定] セクションで、Deep Discovery AnalyzerでのICAPヘッダの処理方法を指定します。
    1. [Deep Discovery AnalyzerからのICAPヘッダ] で、Deep Discovery AnalyzerからICAPクライアントに送信するICAPヘッダを選択します。
      詳細については、ICAPヘッダの応答を参照してください。
    2. [ICAPクライアントからのICAPヘッダ] で、Deep Discovery AnalyzerがICAPクライアントからヘッダを受信したときに保存するICAPヘッダを選択します。
  6. (オプション) [検索設定] で、次のオプションを1つ以上選択します。
    • RESPMODモードでのURL検索のバイパス
    • YARAルールを使用したサンプルの検索
    • 選択された不審オブジェクトリストを使用したサンプルの検索
      注意
      注意
      • 生成された不審オブジェクトリスト内の不審オブジェクトはDeep Discovery Analyzerの内部仮想アナライザによって追加されたものであるのに対し、同期された不審オブジェクトリスト内の不審オブジェクトはTrend Vision OneまたはDeep Discovery Directorから取得されたものです。
      • [同期された不審オブジェクトリスト] を選択した場合は、Deep Discovery AnalyzerをTrend Vision Oneと統合するか、Deep Discovery Directorからの不審オブジェクトの同期を有効にする必要もあります。
        詳細については、Deep Discovery AnalyzerをTrend Vision Oneと統合するを参照してください。
    • ユーザ指定の不審オブジェクトリストを使用したサンプルの検索
    • 機械学習型検索エンジンを使用したサンプルの検索
    • パスワード保護されたサンプルの分類
  7. (オプション) [コンテンツ設定] で次の操作を実行します。
    1. [MIMEコンテントタイプの除外を有効にする] を選択し、選択または指定したMIMEコンテントタイプに基づいて検索からファイルを除外します。
    2. 送信されたサンプルの実際のファイルタイプをDeep Discovery Analyzerで検証するには、[MIMEコンテントタイプの検証を有効にする] を選択します。
      注意
      注意
      • [MIMEコンテントタイプの検証を有効にする] の設定は、[MIMEコンテントタイプの除外を有効にする] を選択した場合にのみ適用されます。
      • このオプションを選択しても、Deep Discovery Analyzer では次のいずれかでサンプルのICAP事前検索が引き続き実行されます。
        • HTTP圧縮
        • ICAPプレビューモードでの一部のMIMEコンテントタイプ
        • カスタムMIMEコンテントタイプ
        • 事前定義された一部のMIMEコンテントタイプ
        サポートされていないファイルタイプのサンプルは、ICAP事前検索の実行後、検索のために仮想アナライザに送信されることはありません。
  8. (オプション) [ユーザ通知ページ][次のイベントに対してICAPクライアントがネットワークトラフィックをブロックする場合はユーザ通知ページを使用する] を選択し、ページコンテンツを含むファイルを指定します。
    注意
    注意
    この設定により、特定のイベントに対してICAPクライアントがネットワークトラフィックをブロックする場合は常に、Deep Discovery Analyzerでカスタムページを表示できるようになります。ただし、ICAPクライアントがこの設定を上書きする場合があります。設定が有効でもカスタムページが表示されない場合は、ICAPクライアントの設定と競合していないか確認してください。
    Deep Discovery Analyzerでは、次のイベントに対するカスタムページがサポートされます。
    • URLアクセス
    • ファイルのアップロード
    • ファイルのダウンロード
    注意
    注意
    任意のテキストエディタを使用してページを作成し、プレーンテキストとして保存します。書式設定にはHTMLタグを使用できます。ファイルは5MB未満となるようにしてください。
  9. (オプション) [ICAPクライアントリスト] で次の操作を実行します。
    1. 許可する [最大接続数] を指定します。
      初期設定値は1000です。
    2. [次のICAPクライアントからのみ検索要求を受け入れる] を選択し、送信を特定のクライアントのみに限定します。
      • 新しいIPアドレスまたはIPアドレス範囲を追加するには、[追加] をクリックします。
      • 既存のエントリを削除するには、エントリを選択して [削除] をクリックします。
      注意
      注意
      初期設定では、すべてのICAPクライアントがDeep Discovery Analyzerにサンプルを送信できます。
  10. [保存] をクリックします。
  11. ICAPの統合がDeep Discovery Analyzerで正しく機能していることを確認します。
    リスク高のサンプルの場合:
    • Deep Discovery AnalyzerはICAPクライアントに「HTTP 403 Forbidden」メッセージを返します。
    • [ユーザ通知ページ] 設定が有効な場合、Deep Discovery Analyzerはアップロードされたページをメッセージの一部に含めます。
    • X-Virus-IDヘッダとX-Infection-Found ICAPヘッダが有効な場合、Deep Discovery Analyzerはこれらのヘッダをメッセージ内に含めます。
    リスクのないサンプルの場合:
    • Deep Discovery AnalyzerはICAPクライアントから受信した元のメッセージを返します。
    • ICAPクライアントがICAPの「204 No Content」をサポートしている場合は、元のメッセージを含めずに「204 No Content」応答を返します。
Keywords: ヘッダ,MIMEコンテントタイプ