Traps

Traps Endpoint Detection and Responseは新しく設計された次世代エンドポイントであり、 エンドユーザ様自身での運用を支援するために、定常運用、検知からインシデント発生時の対応までの運用を支援します。   Trapsが提供する、主な運用支援機能をご紹介します。   ０１．管理サーバの維持工数／コストがゼロ ０２．パターンファイル配信不要 ０３．マルウェア解析を自動化 ０４．誤検知の自動修正 ０５．セキュリティイベントの重要度を自動判断 ０６．セキュリティイベント管理 ０７．感染影響範囲の確認 ０８．レスポンス機能 ０９．レポート生成 １０．Cortex XDR   ０１．管理サーバの維持工数／コストがゼロ Trapsはクラウドから提供されるサービスであるため、オンプレミス型のウイルス対策製品と異なり、下記の運用メリットがあります。   ・サーバハードウェアやOSのコストが不要 ・サーバハードウェアやOSのパッチ適用などのメンテナンス不要 ・ウイルス対策製品の管理サーバ側の定期的なバージョンアップやパッチ適用作業が不要 ・場所にとらわれず、インターネット接続環境のみで管理が可能     ０２．パターンファイル配信不要 Trapsは日々のパターンファイル配信を行わないため、パターンファイル配信の管理運用が不要となります。Trapsはクラウド上の世界最大規模の脅威インテリジェンスWildFireと連携することで、常に最新のマルウェア情報を入手可能であり、今までのウイルス対策で発生していたパターンファイル配信までのマルウェア感染リスクを低減します。 そして、インターネットに接続可能な環境は全て管理された対象として、システム管理者は状況を把握できます。   また、 Trapsは 一時的にインターネットに接続できない場合など、 オフライン時にも機械学習エンジンによりファイルの構造からマルウェアを自動判定できるため、保護が継続されます。       ０３．マルウェア解析を自動化 Trapsは未知プログラムは自動的にWildFireで解析を行うため、マルウェア疑いがあるファイルを発見した場合に、マルウェアファイルの入手や、メーカへの解析調査依頼などを行う必要はなく、Traps Management ServiceのWeb管理コンソール上で解析結果を即時入手することが可能です。   万が一、WildFireの判定結果が誤検知の疑いがある場合もWeb管理コンソールから修正／再調査依頼を行うことができます。         ０４．誤検知の自動修正 最近は機械学習技術により、ファイル構造から、マルウェアに特徴が類似したファイルをマルウェアとして判定できるようになりましたが、機械学習による判定は誤検知が発生しやすい技術でもあります。 Trapsは機械学習だけに頼ることなく、確実なWildFireの脅威インテリジェンスの情報を利用することにより、誤検知を低減しつつ、未知の検体に関しては、Trapsのローカル上に搭載された機械学習エンジンが誤検知したとしても、同時にクラウド上の検体解析を行うため、機械学習エンジンにより発生しやすい誤検知の課題を自動修正することができますので、日々の運用で誤検知の対処の運用工数を低減することができます。   ０５．セキュリティイベントの重要度を自動判断 Trapsエージェントで検知されたセキュリティイベントは、管理コンソール上でリアルタイムに重要度が自動判断され、マルウェア感染疑いがあるものは重要度（Severity）が高（High）と判断されます。具体的な例としては下記ようなセキュリティイベントとなります。    ・プログラム実行後に、そのプログラムがマルウェアと判定変更された    ・ランサムウェア保護機能により、暗号化する行動（おとりファイル変更）を検知した    ・マルウェアによって行われる、カーネル脆弱性を悪用する管理者権限を奪取する攻撃を検知した    ・Behavioral Threat Protectionにより、マルウェア動作のふるまいとして検知した   定常運用においては、この重要度が高のセキュリティイベントに関してのみ、管理者に通知（メールなど）する機能を利用することで、セキュリティイベントの発生をすぐに気づき、対応する運用が可能です。     ０６．セキュリティイベント管理 Trapsエージェントで検知されたセキュリティイベントに対して対応のステータス 管理を行うことができます。   新しいセキュリティイベントなのか、対応中や対応終了などのステータス管理と、対応履歴をコメントとして記録することができますので、例えばTrapsで検知した重要度が高いイベントに対しては、ステータス管理を行うという運用も可能となります。   対応終了したセキュリティイベントは一覧表示から表示しないなどのカスタマイズが可能です。         ０７．感染影響範囲の確認 Trapsエージェント上で実行されたファイルは（マルウェアであるかどうかに関わらず）管理され、どのPC上で誰が何時実行したのか？を記録しています。 この機能により、マルウェアを実行した疑いがある場合、感染影響範囲をすぐに確認する（該当ファイルを実行したPC情報を取得）ことができます。よって、感染疑い時に懸念される内容を確認できます。    ・誰が最初に実行したのか？    ・実行したPCは何台あるのか？   ０８．レスポンス機能 マルウェア感染疑いがある場合に、社内LANから切り離すというルールを実施している企業において、海外／工場／VDI環境など、簡単に社内LANから切り離すことができず、運用管理者の負担となることがあります。     Trapsでは、Trapsエージェントをリモート での隔離機能（ホワイトリスト機能付き）やプロセス停止／ファイル隔離などのレスポンス機能を実装しています。一例として、リモートで隔離してマルウェアによる横感染のリスクを除いた状態において、端末の情報収集やフルスキャン、Live Terminalなどの各種対応を行うことができます。   Live Terminalは下記のようにタスクマネージャを起動して、各起動プロセスのマルウェアかどうかの判定確認やプロセスの停止などの操作や、File Explorerを利用したファイルのアップロードや削除などの操作、Command Lineを利用した各種コマンドでの対応、Pythonを利用したスクリプト実行などが遠隔で行うことが可能です。   ０９．レポート生成 定期レポートやオンデマンドでレポートを作成し、Trapsでのイベント検知状況や、接続されているTrapsエージェント数やバージョンなどのレポートを自動的に生成し、状況を確認することができます。     １０．Cortex XDR Trapsは Cortex XDR機能（別途ライセンスが必要） も1エージェントで提供しており、 エンドポイントのみ（EDR）ならず、ネットワークやクラウドとも連携可能な、アクティビティからのマルウェア分析に加え、 ネットワークトラフィック分析やユーザの行動分析などの内部対策も実現します。

下記にTrapsに関するビデオを紹介しております。   ◆Traps概要ムービー（13分06秒）   ◆Traps概要ムービー（簡易版：5分27秒） 上記MovieはYoutubeでも公開しています。 https://youtu.be/4ffToiSTNlc

Trapsのエクスプロイト防御は正規アプリケーション（例：Internet ExplorerやAdobe Reader）上のメモリ上で行われる動作（攻撃テクニック）を監視することで、シグニチャを利用せずにゼロディ脆弱性を悪用する攻撃や、ファイルレスマルウェアの実行を阻止することができます。   これにより、パッチ未適用の環境において脆弱性が存在する環境上でも、Trapsは攻撃を阻止することができます。   一般的なネットワーク／ホスト型IPS（シグニチャ利用）とは異なり、Trapsはゼロデイ脆弱性（未知の脆弱性）に対する防御機能を搭載しており、基本的な機能は下記となります。   　１．アプリケーション脆弱性対策 　　　例：Adobe Flashの脆弱性を悪用し、バッファオーバーフローを用いてメモリ上に攻撃コードを配置して 　　　　　自動実行するなどの攻撃テクニックを検知して阻止 　　　　　（Heap SprayやROP(Return Orientied Programming)など、様々な検知技術を搭載） 　２．エクスプロイトキット対策 　　　例：Internet Explorerを用いて、エクスプロイトキットが仕込まれたWebサーバにアクセスし、 　　　　　クライアントPC上の脆弱性を調査され、脆弱性に対応したコードを実行される攻撃を阻止 　３．カーネル脆弱性対策 　　　例：カーネル脆弱性を悪用して権限を取得する動作や、 　　　　　不正なAPC(Asyncronous Procedure Call)呼び出しによるDoublePalsarの攻撃、 　　　　　悪意のあるシェルコードへのアクセスを阻止 　４．クラウド上でダンプ解析 　　　        Trapsがエクスプロイト防御機能で検知した際にTrapsエージェント上から取得した                     メモリダンプをクラウド上で解析し、より正確な判定を実施     Trapsのエクスプロイト防御機能はパロアルトネットワークス社の研究者の知見から、セキュリティレベルを保ちつつ、他のセキュリティ製品との互換性をポリシーとして自動配信し、オフライン状態においても動作します。そのため、運用管理者は脆弱性に対する特別な知識を必要とせず、メンテテンスフリーで未知の脆弱性攻撃から保護することができます。   また、ホワイトリスト機能が充実（各種エクスプロイト防御で利用されるテクニックを、プロセス単位／アプリケーション単位で調整指定可能）していますので、セキュリティレベルを落とさず、脆弱性対策を行うことができる製品となっています。  　　　　　互換性ポリシーの自動配信機能により除外されないアプリケーションが発見された場合のみ、 　　　　　ホワイトリストを登録。除外登録も管理コンソール上から容易に実現   Trapsエージェントがエクスプロイト攻撃を検知した場合には、攻撃の阻止や利用者のデスクトップ画面にポップアップ通知を表示することができます。

Trapsは様々なマルウェア防御技術によって、マルウェア感染を阻止することができます。感染前の検知／阻止機能のみならず、マルウェアのふるまいでの検知や、感染後に検知する機能も合わせて実装しています。   Trapsは今までのウイルス対策製品が利用する日々のパターンファイル配信の仕組みを利用せず、世界最大級の脅威インテリジェンスサービス WildFireと連携して最新の防御を実現します。 検体収集から解析、脅威情報を世界中で共有するプロセスを全てクラウド上で自動化することにより、運用性を非常に高めたマルウェア対策を実現します。     Trapsの主なマルウェア防御機能は下記となります。 ※エクスプロイト防御機能やResponse機能（ネットワーク隔離など）、運用管理機能などについては別途記事を参照ください。   WildFire 脅威インテリジェンス リアルタイムにクラウド上で更新される 既知マルウェアのデータベースを利用 （WildFireを利用する26,000社を超える、いずれか1社でも未知検体が発見された5分後には攻撃を阻止） 機械学習／静的解析エンジン クライアントPC上に搭載された静的解析エンジンを利用して、ファイルの特徴から未知ファイルを実行前に阻止 ローカル上にエンジンとモデル情報を所有しているため、ネットワーク通信は不要でオフライン状態でも判定が可能 Behavior Threat Protection 複雑なアプリケーションの一連の挙動を監視して、マルウェア攻撃を判断して動作を阻止。検知した際には一連の挙動を記録し、感染時の調査に必要な情報も確認できます。 マクロ マクロ部分のみを抽出し、WildFireでの検索に加え、機械学習（AI）を利用した静的解析エンジンによりマクロ実行前に阻止 スクリプト PowerShellなどから悪意のあるコード（特定の引数など）呼び出しなどを阻止することにより、ファイルレスマルウェアなどの対策も実現します。 子プロセス制御 不正な子プロセスの呼び出しを呼び出す前に検知して阻止（例：Webブラウザプロセスが直接Powershellを呼び出すようなマルウェア特有の振る舞い） パスワード取得防止 Mimikatzなどのパスワードを取得するふるまいを検知して阻止 ランダムウェア対策 マルウェアがPC侵入後の機能として、おとりファイルを利用し、ランサムウェア暗号化が開始された場合でも、 おとりファイルの暗号化を検知して処理を停止させることにより、データを保護して実害を無くすランサムウェアに特化した機能の実装 WildFire クラウド解析 未知の検体に関しては、機械学習／静的解析と同時に、実際に検体を ・ベアメタル解析 ・動的解析（サンドボックス） ・機械学習  ・静的解析 を行い、高精度の解析をクラウド上で実施し既知情報として利用し、 解析結果は管理コンソール上で確認することができます。 万が一、判定が疑わしい場合があっても、管理コンソール上から理由を添えて再解析依頼が行えます。  定期スキャン／オンデマンドスキャン ディスクのスキャンにより、休止状態のマルウェアの検出に対応。また、スキャン時に未知ファイルが存在した場合には、WildFireのクラウド上で検体解析が自動的に行なわれます。この仕組みにより、機械学習の課題である、マルウェアに特徴が似た独自アプリケーションなどの過検知リスクを大幅に低減します。  POST DETECTION（実行後検知） Trapsエージェントが実行したファイルを全てハッシュ値ベースで管理サーバ上で管理しています。管理サーバは常にWildFireと連携を行い、実行したファイルが後追いでマルウェアと判定された場合に検知する仕組みを備えています。この仕組みにより、感染後の対処も速やかに行うことができます。 ※上記1、9のWildFireでの連携機能以外の全ての機能はオフライン状態で動作するため、インターネットに接続されていない環境においても、既知／未知のマルウェア攻撃から高度な保護を実現します。           　　　　　　　          イベント毎にマルウェア判定の基本情報を確認                                          　 Behavior Threat Protection検知時に時系列と止めた場所を確認    　　　　     　　　                             　             実際にTrapsエージェント上で行われた挙動（証拠）を確認       ※上記cmd.exeの例                                                                 WildFireの解析結果（マルウェアと判定した証拠）を確認                         WildFireの解析結果（解析時のタイムライン動作）を確認        Trapsエージェントがマルウェア検知した場合には、設定に応じてポップアップ通知を表示したり、ファイル隔離するなどの動作を行い、マルウェア感染を阻止することができます。 　　左より、マルウェアテストファイルを実行前、実行時に検知したポップアップ画面、検知後にファイル隔離されたTrapsエージェント側のWindowsの画面

本設定はウイルス対策製品とTrapsを共存して導入する場合にウイルス対策製品側で設定する項目となります。 お互いに検知し合うなどの競合を回避するため、下記ファイル／フォルダの設定を実施してください。   他社ウイルス対策製品等での除外設定   【１】cyinjct.# C:\windows\temp\フォルダに存在します。 (#)は数字になります。 WildCard指定が出来ることを前提とした場合、C:\windows\temp\cyinjct.* のような形式で除外の指定を行ってください。   【２】DLL ファイル “system32” および “sysWOW64” (64 Bit OSの場合) フォルダに存在します。   a. Cyvrtrap.dll (system32 および SysWOW64) b. Cyverau.dll c. Cyvera.dll (system32 および SysWOW64) d. Cyinjct.dll (system32 および SysWOW64) e. ntnativeapi.dll (system32 および SysWOW64)   【３】フォルダ除外 a. C:\Program Files\Palo Alto Networks b. C:\ProgramData\Cyvera   その他、製品により追加の設定が必要な場合があります。   【ウイルスバスター Corp.と同居させる場合】 「挙動監視」 設定に存在する[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする]を事前に無効にする必要があります。   【VDI環境において、AppVolumesを利用している場合】 TrapsのファイルパスとレジストリをVMware側で除外ください（snapvol.cfgファイルに追加） https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOcCAK   Traps環境におけるウイルス対策ソフトウェアの除外設定についてはこちら   Traps側での検索除外設定   お互いに検知するなどの競合を回避するためにTraps上でウイルス対策製品側で利用するフォルダの除外設定を実施してください。Traps側では、ポリシーで利用するMalware Profileを編集し、 下記Whitelist Files内にウイルス対策製品が利用するフォルダを除外指定してください。   ・Examine Portable Executables and DLLs ・Examine Office Files with Macros ・Scan Endpoints                                                                                                              設定例                          

TrapsはWindows、MacOS、Linux、Android版のTrapsエージェントを用意しており、OSのアーキテクチャの違いなどからOS毎にセキュリティ機能に差異があります。   下記の表はTrapsエージェントのOS毎に利用可能な、セキュリティ機能の比較となります。 （✔・・・利用可能な機能）   最新情報は、下記をご覧ください。 ・保護機能 ・保護モジュール   保護機能 Windows Mac Linux Android Exploit Security Profiles 　 　 　   Browser Exploits Protection ✔ ✔ 　   Logical Exploits Protection ✔ ✔ 　   Known Vulnerable Processes Protection ✔ ✔ ✔   Exploit Protection for Additional Processes ✔ ✔ ✔   Operating System Exploits Protection ✔ ✔ ✔   Malware Security Profiles 　 　 　   Behavioral Threat Protection ✔       Ransomware Protection ✔ 　 　   Prevent Malicious Child Process Execution  ✔ 　 　   Portable Executables and DLLs Examination ✔ 　 　   ELF Files Examination     ✔   Office Files Examination ✔ 　 　   Mach-O Files Examination 　 ✔ 　   APK Files Examination       ✔ Restrictions Security Profiles 　 　 　   Execution Paths ✔ 　 　   Network Locations ✔ 　 　   Removable Media ✔ 　 　   Optical Drive ✔ 　 　   Customizable Traps Settings 　 　 　   Disk Space ✔ ✔ ✔   User Interface ✔ ✔ 　   Traps Tampering Protection ✔       Uninstall Password ✔ ✔ 　   Windows Security Center Configuration ✔       Forensics ✔       Response Actions ✔       Upload Using Cellular Data   　   ✔   保護モジュール Windows Mac Linux Android Anti-Ransomware ✔ 　 　   APC Protection ✔ 　 　   Brute Force Protection 　 　 ✔   Child Process Protection ✔ 　 　   CPL Protection ✔ 　 　   DEP ✔ 　 　   DLL Hijacking ✔ 　 　   DLL Security ✔ 　 　   Dylib Hijacking 　 ✔ 　   Exploit Kit Fingerprint ✔ 　 　   Font Protection ✔ 　 　   Gatekeeper Enhancement 　 ✔ 　   Hash Exception ✔ ✔ 　   Hot Patch Protection ✔ 　 　   JIT ✔ ✔ 　   Local Analysis ✔ ✔ 　   Local Privilege Escalation Protection ✔ ✔ ✔   Null Dereference ✔ 　 　   Restricted Execution - Local Path ✔ 　 　   Restricted Execution - Network Location ✔ 　 　   Restricted Execution - Removable Media ✔ 　 　   Reverse Shell Protection     ✔   ROP ✔ ✔ ✔   SEH ✔ 　 　   Shellcode Protection     ✔   ShellLink ✔ 　 　   SysExit ✔ 　 　   UASLR ✔ 　 　   WildFire ✔ ✔ 　 ✔ WildFire Post Detection (Malware and Grayware) ✔ ✔ 　 ✔    

TrapsはAndroid端末をサポートし、Android端末に対してもマルウェアの感染から保護することができます。   ◆Android対応の特徴 ・Android 4.4以降をサポート ・WildFireと連携したマルウェア防御機能を提供 　・未知のアプリはローカル解析に加え、自動的にWildFireへアップロードを行い、更なる解析を実施（図１） ・Traps Management Serviceから統合管理を実現 　・Windows / macOS / Linux / Androidをポリシーやログなどを一元管理（図２）                                                     　　　　図１　Android端末上でのTrapsとマルウェア検出時の画面サンプル                           　　　　　　　　　　　　図２　Trapsで一元管理されるAndroid端末