Traps

Traps プロセス実行後の検知機能(POST DETECTION)

開始者 tmuroi ‎10-26-2017 07:56 AM - 編集済み ‎03-04-2019 06:18 PM (3,163 閲覧回数)

TrapsのEDRの一機能である「POST DETECTION」について解説します。

 

Traps管理サーバは全てのTrapsエージェント上で実行したプロセス情報などをハッシュ値で記録しており、

WildFire脅威インテリジェンスクラウドと連携をしています。

 

2017-10-26_23h38_07.png

 

一般的なアンチウイルス製品の場合、後追いでパターンファイルが対応した場合、

クライアントにパターンファイル配信を行った上で、フルスキャンを行うことで発見することができます。

 

Trapsの場合、後追いでWildFire側の判定がマルウェアに変化した場合、フルスキャンを行わずに起動したプロセスを発見することができる仕組みを備えており、WildFireとの連携により後追いでマルウェアと判定した証拠を確認するなど、より早い対応ができるようになっています。

 

2018-04-15_22h06_04.png

2018-04-15_22h07_58.png

  

 Trapsは正常なアプリケーションの起動を含めて、全て管理サーバ側で記録しておりWildFireと状態変化の確認を行っております。