Traps 運用支援機能

Printer Friendly Page

Traps Endpoint Detection and Responseは新しく設計された次世代エンドポイントであり、エンドユーザ様自身での運用を支援するために、定常運用、検知からインシデント発生時の対応までの運用を支援します。

 

Trapsが提供する、主な運用支援機能をご紹介します。

 

01.管理サーバの維持工数/コストがゼロ

02.パターンファイル配信不要

03.マルウェア解析を自動化

04.誤検知の自動修正

05.セキュリティイベントの重要度を自動判断

06.セキュリティイベント管理

07.感染影響範囲の確認

08.レスポンス機能

09.レポート生成

10.Cortex XDR

 

01.管理サーバの維持工数/コストがゼロ2019-05-19_15h04_31.png

Trapsはクラウドから提供されるサービスであるため、オンプレミス型のウイルス対策製品と異なり、下記の運用メリットがあります。

 

・サーバハードウェアやOSのコストが不要

・サーバハードウェアやOSのパッチ適用などのメンテナンス不要

・ウイルス対策製品の管理サーバ側の定期的なバージョンアップやパッチ適用作業が不要

・場所にとらわれず、インターネット接続環境のみで管理が可能

 

 

02.パターンファイル配信不要

Trapsは日々のパターンファイル配信を行わないため、パターンファイル配信の管理運用が不要となります。Trapsはクラウド上の世界最大規模の脅威インテリジェンスWildFireと連携することで、常に最新のマルウェア情報を入手可能であり、今までのウイルス対策で発生していたパターンファイル配信までのマルウェア感染リスクを低減します。

そして、インターネットに接続可能な環境は全て管理された対象として、システム管理者は状況を把握できます。

 

また、Trapsは一時的にインターネットに接続できない場合など、オフライン時にも機械学習エンジンによりファイルの構造からマルウェアを自動判定できるため、保護が継続されます。

 

 

 

03.マルウェア解析を自動化2019-05-21_11h35_25.png

Trapsは未知プログラムは自動的にWildFireで解析を行うため、マルウェア疑いがあるファイルを発見した場合に、マルウェアファイルの入手や、メーカへの解析調査依頼などを行う必要はなく、Traps Management ServiceのWeb管理コンソール上で解析結果を即時入手することが可能です。

 

万が一、WildFireの判定結果が誤検知の疑いがある場合もWeb管理コンソールから修正/再調査依頼を行うことができます。

 

 

 

 

04.誤検知の自動修正

最近は機械学習技術により、ファイル構造から、マルウェアに特徴が類似したファイルをマルウェアとして判定できるようになりましたが、機械学習による判定は誤検知が発生しやすい技術でもあります。

Trapsは機械学習だけに頼ることなく、確実なWildFireの脅威インテリジェンスの情報を利用することにより、誤検知を低減しつつ、未知の検体に関しては、Trapsのローカル上に搭載された機械学習エンジンが誤検知したとしても、同時にクラウド上の検体解析を行うため、機械学習エンジンにより発生しやすい誤検知の課題を自動修正することができますので、日々の運用で誤検知の対処の運用工数を低減することができます。2019-05-21_11h31_06.png

 

05.セキュリティイベントの重要度を自動判断

Trapsエージェントで検知されたセキュリティイベントは、管理コンソール上でリアルタイムに重要度が自動判断され、マルウェア感染疑いがあるものは重要度(Severity)が高(High)と判断されます。具体的な例としては下記ようなセキュリティイベントとなります。

   ・プログラム実行後に、そのプログラムがマルウェアと判定変更された

   ・ランサムウェア保護機能により、暗号化する行動(おとりファイル変更)を検知した

   ・マルウェアによって行われる、カーネル脆弱性を悪用する管理者権限を奪取する攻撃を検知した

   ・Behavioral Threat Protectionにより、マルウェア動作のふるまいとして検知した

 

定常運用においては、この重要度が高のセキュリティイベントに関してのみ、管理者に通知(メールなど)する機能を利用することで、セキュリティイベントの発生をすぐに気づき、対応する運用が可能です。

2019-05-21_14h46_12.png

 

 

06.セキュリティイベント管理

2019-05-21_15h27_17.png

Trapsエージェントで検知されたセキュリティイベントに対して対応のステータス管理を行うことができます。

 

新しいセキュリティイベントなのか、対応中や対応終了などのステータス管理と、対応履歴をコメントとして記録することができますので、例えばTrapsで検知した重要度が高いイベントに対しては、ステータス管理を行うという運用も可能となります。

 

対応終了したセキュリティイベントは一覧表示から表示しないなどのカスタマイズが可能です。

 

 

 

 

07.感染影響範囲の確認

Trapsエージェント上で実行されたファイルは(マルウェアであるかどうかに関わらず)管理され、どのPC上で誰が何時実行したのか?を記録しています。

この機能により、マルウェアを実行した疑いがある場合、感染影響範囲をすぐに確認する(該当ファイルを実行したPC情報を取得)ことができます。よって、感染疑い時に懸念される内容を確認できます。

   ・誰が最初に実行したのか?

   ・実行したPCは何台あるのか?

2019-05-21_15h35_48.png

2019-05-21_15h36_08.png

 

08.レスポンス機能2019-07-03_09h12_48.png

マルウェア感染疑いがある場合に、社内LANから切り離すというルールを実施している企業において、海外/工場/VDI環境など、簡単に社内LANから切り離すことができず、運用管理者の負担となることがあります。

 

 

Trapsでは、Trapsエージェントをリモートでの隔離機能(ホワイトリスト機能付き)やプロセス停止/ファイル隔離などのレスポンス機能を実装しています。一例として、リモートで隔離してマルウェアによる横感染のリスクを除いた状態において、端末の情報収集やフルスキャン、Live Terminalなどの各種対応を行うことができます。

 

Live Terminalは下記のようにタスクマネージャを起動して、各起動プロセスのマルウェアかどうかの判定確認やプロセスの停止などの操作や、File Explorerを利用したファイルのアップロードや削除などの操作、Command Lineを利用した各種コマンドでの対応、Pythonを利用したスクリプト実行などが遠隔で行うことが可能です。

2019-07-03_09h13_57.png

 

09.レポート生成

定期レポートやオンデマンドでレポートを作成し、Trapsでのイベント検知状況や、接続されているTrapsエージェント数やバージョンなどのレポートを自動的に生成し、状況を確認することができます。

 

2019-05-21_17h31_04.png2019-05-21_17h31_35.png2019-05-21_17h31_25.png2019-05-21_17h31_46.png2019-05-21_17h31_58.png2019-05-21_17h32_10.png

 

10.Cortex XDR

TrapsはCortex XDR機能(別途ライセンスが必要) も1エージェントで提供しており、エンドポイントのみ(EDR)ならず、ネットワークやクラウドとも連携可能な、アクティビティからのマルウェア分析に加え、ネットワークトラフィック分析やユーザの行動分析などの内部対策も実現します。

Ask Questions Get Answers Join the Live Community
バージョン履歴
改訂番号
12/12
最終更新:
‎07-11-2019 07:58 PM
更新者:
 
寄稿者: