Traps

Trapsのシステム要件は下記を参照ください(英語サイトへのリンク)   Traps エージェント インストール可能なOSと仮想化環境の情報はこちら Traps 6.1 Windows エージェントはこちら MacOS エージェントはこちら Linux エージェントはこちら Android エージェントはこちら Traps 6.0 Windows エージェントはこちら MacOS エージェントはこちら Linux エージェントはこちら Android エージェントはこちら Traps 5.0 Windows エージェントはこちら MacOS エージェントはこちら Linuxエージェントはこちら Androidエージェントはこちら Traps 4.2 Windows エージェントはこちら MacOS エージェントはこちら Linuxエージェントはこちら   Traps 4.2 ESM(管理サーバ) インストール可能なOS情報はこちら 最小ハードウェアスペック(単体構成)はこちら※Traps Agent 3,000台未満 最小ハードウェアスペック(分散構成)はこちら※Traps Agent 150,000台未満 データベースの要件はこちら※Traps Agent台数が250台以上の場合にはMicrosoft SQL Server が別途必要   End-of-Life End-of-Life Summary End-of-Life Policy   その他、詳細な情報はTrapsの各種ドキュメントを参照してください。      
記事全体を表示
tmuroi ‎07-11-2019 08:21 PM
2,646件の閲覧回数
0 Replies
Traps Endpoint Detection and Responseは新しく設計された次世代エンドポイントであり、 エンドユーザ様自身での運用を支援するために、定常運用、検知からインシデント発生時の対応までの運用を支援します。   Trapsが提供する、主な運用支援機能をご紹介します。   01.管理サーバの維持工数/コストがゼロ 02.パターンファイル配信不要 03.マルウェア解析を自動化 04.誤検知の自動修正 05.セキュリティイベントの重要度を自動判断 06.セキュリティイベント管理 07.感染影響範囲の確認 08.レスポンス機能 09.レポート生成 10.Cortex XDR   01.管理サーバの維持工数/コストがゼロ Trapsはクラウドから提供されるサービスであるため、オンプレミス型のウイルス対策製品と異なり、下記の運用メリットがあります。   ・サーバハードウェアやOSのコストが不要 ・サーバハードウェアやOSのパッチ適用などのメンテナンス不要 ・ウイルス対策製品の管理サーバ側の定期的なバージョンアップやパッチ適用作業が不要 ・場所にとらわれず、インターネット接続環境のみで管理が可能     02.パターンファイル配信不要 Trapsは日々のパターンファイル配信を行わないため、パターンファイル配信の管理運用が不要となります。Trapsはクラウド上の世界最大規模の脅威インテリジェンスWildFireと連携することで、常に最新のマルウェア情報を入手可能であり、今までのウイルス対策で発生していたパターンファイル配信までのマルウェア感染リスクを低減します。 そして、インターネットに接続可能な環境は全て管理された対象として、システム管理者は状況を把握できます。   また、 Trapsは 一時的にインターネットに接続できない場合など、 オフライン時にも機械学習エンジンによりファイルの構造からマルウェアを自動判定できるため、保護が継続されます。       03.マルウェア解析を自動化 Trapsは未知プログラムは自動的にWildFireで解析を行うため、マルウェア疑いがあるファイルを発見した場合に、マルウェアファイルの入手や、メーカへの解析調査依頼などを行う必要はなく、Traps Management ServiceのWeb管理コンソール上で解析結果を即時入手することが可能です。   万が一、WildFireの判定結果が誤検知の疑いがある場合もWeb管理コンソールから修正/再調査依頼を行うことができます。         04.誤検知の自動修正 最近は機械学習技術により、ファイル構造から、マルウェアに特徴が類似したファイルをマルウェアとして判定できるようになりましたが、機械学習による判定は誤検知が発生しやすい技術でもあります。 Trapsは機械学習だけに頼ることなく、確実なWildFireの脅威インテリジェンスの情報を利用することにより、誤検知を低減しつつ、未知の検体に関しては、Trapsのローカル上に搭載された機械学習エンジンが誤検知したとしても、同時にクラウド上の検体解析を行うため、機械学習エンジンにより発生しやすい誤検知の課題を自動修正することができますので、日々の運用で誤検知の対処の運用工数を低減することができます。   05.セキュリティイベントの重要度を自動判断 Trapsエージェントで検知されたセキュリティイベントは、管理コンソール上でリアルタイムに重要度が自動判断され、マルウェア感染疑いがあるものは重要度(Severity)が高(High)と判断されます。具体的な例としては下記ようなセキュリティイベントとなります。    ・プログラム実行後に、そのプログラムがマルウェアと判定変更された    ・ランサムウェア保護機能により、暗号化する行動(おとりファイル変更)を検知した    ・マルウェアによって行われる、カーネル脆弱性を悪用する管理者権限を奪取する攻撃を検知した    ・Behavioral Threat Protectionにより、マルウェア動作のふるまいとして検知した   定常運用においては、この重要度が高のセキュリティイベントに関してのみ、管理者に通知(メールなど)する機能を利用することで、セキュリティイベントの発生をすぐに気づき、対応する運用が可能です。     06.セキュリティイベント管理 Trapsエージェントで検知されたセキュリティイベントに対して対応のステータス 管理を行うことができます。   新しいセキュリティイベントなのか、対応中や対応終了などのステータス管理と、対応履歴をコメントとして記録することができますので、例えばTrapsで検知した重要度が高いイベントに対しては、ステータス管理を行うという運用も可能となります。   対応終了したセキュリティイベントは一覧表示から表示しないなどのカスタマイズが可能です。         07.感染影響範囲の確認 Trapsエージェント上で実行されたファイルは(マルウェアであるかどうかに関わらず)管理され、どのPC上で誰が何時実行したのか?を記録しています。 この機能により、マルウェアを実行した疑いがある場合、感染影響範囲をすぐに確認する(該当ファイルを実行したPC情報を取得)ことができます。よって、感染疑い時に懸念される内容を確認できます。    ・誰が最初に実行したのか?    ・実行したPCは何台あるのか?   08.レスポンス機能 マルウェア感染疑いがある場合に、社内LANから切り離すというルールを実施している企業において、海外/工場/VDI環境など、簡単に社内LANから切り離すことができず、運用管理者の負担となることがあります。     Trapsでは、Trapsエージェントをリモート での隔離機能(ホワイトリスト機能付き)やプロセス停止/ファイル隔離などのレスポンス機能を実装しています。一例として、リモートで隔離してマルウェアによる横感染のリスクを除いた状態において、端末の情報収集やフルスキャン、Live Terminalなどの各種対応を行うことができます。   Live Terminalは下記のようにタスクマネージャを起動して、各起動プロセスのマルウェアかどうかの判定確認やプロセスの停止などの操作や、File Explorerを利用したファイルのアップロードや削除などの操作、Command Lineを利用した各種コマンドでの対応、Pythonを利用したスクリプト実行などが遠隔で行うことが可能です。   09.レポート生成 定期レポートやオンデマンドでレポートを作成し、Trapsでのイベント検知状況や、接続されているTrapsエージェント数やバージョンなどのレポートを自動的に生成し、状況を確認することができます。     10.Cortex XDR Trapsは Cortex XDR機能(別途ライセンスが必要) も1エージェントで提供しており、 エンドポイントのみ(EDR)ならず、ネットワークやクラウドとも連携可能な、アクティビティからのマルウェア分析に加え、 ネットワークトラフィック分析やユーザの行動分析などの内部対策も実現します。
記事全体を表示
tmuroi ‎07-11-2019 07:58 PM
550件の閲覧回数
0 Replies
   Traps 6.1 はセキュリティやレスポンス機能を強化し、Live Terminalなどの機能が追加されました。また、MacOSやLinuxでもBehavioral Threat Protection機能による、PC上の動作から検知するセキュリティ機能が強化されています。  Traps 6.1エージェントの利用により、Trapsは次世代ウイルス対策製品としてProtection機能とResponse機能を1エージェントとして実装し、Cortex XDR連携にも対応しています。   主な強化ポイントは下記の通りです。   1.ブラックリストの署名リスト パロアルトネットワークス社が保持している ブラックリストの署名リストの情報を利用して、 一致した署名を持つ場合に、実行を阻止することができるようになりました。      2.Live Terminal(Windows) Trapsの管理コンソールより、PCをリモート操作する機能を実装。一例として感染疑い端末などがあった際に、 対象端末をネットワーク隔離した上で、Live Terminalを利用して安全に調査を継続するなどの運用が可能に。 ・プロセスの管理(停止やマルウェアかどうかの確認など) ・ファイル操作(削除やアップロードなど) ・コマンドライン ・スクリプト(Python)                                                                                       3.ランサムウェア対策強化(Windows) ネットワークフォルダに対してのランサムウェアからの暗号化も保護できるようになりました。   4.Behavioral Threat Protection機能追加によるセキュリティ強化(MacOS, Linux) PC上の各種挙動からブロックする機能がMacOSとLinuxに追加されました。   5.レスポンス機能の強化(Windows) Live Terminalを利用しなくても、任意のファイルをPC上から収集できる機能が追加されました。   6.レスポンス機能の強化(MacOS, Linux) セキュリティイベント検知画面から、プロセス停止やファイル隔離が行えるようになりました。   7.Cortex XDRへの対応(MacOS, Linux) Cortex XDRへの対応がMacOSとLinuxに追加されました。   8.プラットフォーム強化 Windows 10 RS6に新規対応しました。   9.MacOSのバージョンアップ時の互換性 MacOSのメジャーVersionUP時にTrapsが継続動作するように互換性を維持する機能が追加されました。     Traps 6.1 エージェントの詳細は下記をご覧ください。 https://docs.paloaltonetworks.com/traps/6-1/traps-agent-release-notes/traps-agent-release-information/features-introduced-in-traps-agent.html
記事全体を表示
tmuroi ‎07-10-2019 08:30 PM
627件の閲覧回数
0 Replies
Trapsの評価を開始するための一般的な初期登録手順について解説します。 最新/詳細な手順は下記Administrator's Guideを参照してください。 https://docs.paloaltonetworks.com/traps/tms/traps-management-service-admin/get-started-with-tms.html     【事前準備】 評価用のAuth Codeが必要となります。 Trapsを 評価するためのAuth Codeは、パロアルトネットワークスの販売店/担当者、または以下のメールアドレスまでお問い合わせください。 Email:  infojapan@paloaltonetworks.com 【注】ライセンス有効期限はAuth Code発行時からカウントされます     Traps 評価版 登録手順 【1】 下記Cortex HubにWebブラウザでアクセスします https://apps.paloaltonetworks.com/     【2】 カスタマーサポートポータルのユーザアカウント(Email AddressとPassword)を用いて、Sign Inを行います     (ユーザアカウントをお持ちでない場合は、下記手順にて登録を行ってください) カスタマーサポートポータルへのアカウント登録方法 ※最初の1人目の登録の場合にはSUPER USER権限が割り当てられます カスタマーサポートポータルにユーザを追加する方法 ※既に登録済のSUPER USER権限のアカウントでログインして追加する方法       【3】Cortex Hubにログインすると、カスタマーサポートポータル(CSP)名が表示されますので、「Activate New App」をクリックします     【4】Auth Codeの入力を求められますので、評価用のAuth Codeを入力します     【5】次に下記の情報を入力します Instance Name: インスタンンス名を入力(例: PANWCompany) Subdomain: Trapsエージェントがアクセスするサブドメイン名を入力(例: PANWCompany) Region: US East (N. Virginia)を選択 Cortex Data Lake: Storage Included を選択     【6】アクティベーションが終了し、「Done」をクリックします     【7】アクティベーション後、Trapsが利用開始できるようになるまで、数十分程度必要となります。             利用開始できるようになると、STATUSが緑色に変更されます。     【8】Trapsが利用開始され、管理コンソールにアクセスするためには、カスタマーサポートポータルのユーザアカウントに対してRoleの割り当てが必要です。Cortex Hubの右上の「設定マーク」から「Manage Roles」をクリックします。     【9】Traps管理コンソールにアクセスを許可するユーザアカウントに対して対象アカウントを選択し、Manage Rolesをクリックして、Roleを割り当てます (評価目的でTrapsなどの各Appの利用制限をしない場合には、Account AdministratorのRoleを割り当ててください)    ※ユーザアカウントが最初に登録された1人目の場合には、既にAccount AdministratorのRoleが割り当てられています Cortex Hubの設定やRoleなどの詳細は、下記を参照してください。 Cortex Hub Getting Started https://docs.paloaltonetworks.com/cortex/cortex-hub/cortex-hub-getting-started     【10】Trapsが利用開始できるようになりましたら、TrapsをクリックしてTrapsの評価を開始してください     下記のようにTrapsの管理コンソールにアクセスできればTraps 評価版の事前登録手順は終了です。
記事全体を表示
tmuroi ‎05-31-2019 02:32 AM
522件の閲覧回数
0 Replies
Trapsで発生したログ/イベントはCortex Data Lakeに保管されますが、ログ/イベントを通知する機能はTrapsの管理コンソール上ではなく、Log Forwardingの機能を有効化して、Log Forwarding App上で設定を行います。   Log Forwarding Appを利用することで、下記のようなことが可能となります。 重要度(Severity)が高いセキュリティイベントが発生した場合には、メールで運用管理者に通知する 特定のイベントに関してはSyslogで社内のSIEMに連携させる   Log Forwarding AppはCortex Hub上で有効化(Activate)を行うと下記のようなアイコンで表示されます。     Log Forwarding AppsはSyslogとEmailのプロトコルを利用してTraps上で発生したログを転送できます。   ログは条件を指定して(例: Trapsのpost detection(侵入後の検知イベント))、メールやSyslog転送の設定を行うことで動作します。   Log Forwarding AppはTrapsだけでなく、次世代ファイアウォールのログも指定することができます。 Log Forwarding Appの詳細は下記を参照してください。 https://docs.paloaltonetworks.com/cloud-services/apps/log-forwarding/log-forwarding-app-getting-started.html  
記事全体を表示
tmuroi ‎05-31-2019 01:22 AM
471件の閲覧回数
0 Replies
Traps 6.0 はより洗練された攻撃から保護可能なBehavioral Threat Protectionの実装やResponse機能の実装、Linuxマルウェア対策のサポートやCortex XDR連携により、より高度なセキュリティインシデントを阻止することができるようになります。   主な強化ポイントは下記の通りです。   1.Behavioral Threat Protection     高度な攻撃からの保護機能を強化し、複数の挙動から判断して阻止することができるようになりました。また、実際に検知/阻止したイベントは時系列で詳細な端末上の動作内容を確認可能。オフライン状態でも動作する新しいエンジンをTrapsエージェント上に搭載しました。 (※Windowsエージェントが対象)         2.Linux マルウェア対策/コンテナサポート   マルウェア対策機能を追加し、WildFireを利用した脅威インテリジェンスサービスとの連携を実現しました。これにより脅威データベースやリアルタイムの検体解析に対応します。 また、LinuxのTrapsエージェント上に機械学習エンジンとモデル情報を搭載しているため、未知マルウェアの実行に対してもファイルの構造から自動的に特徴判断して、実行前に阻止することができるようになりました。 また、コンテナ化プロセスの保護に対応し、ホストOSのみならずコンテナプロセスに対して保護を実装します。     3.Response Actions   Response機能を追加しました。これにより、万が一の感染疑い時にネットワーク隔離やプロセス停止などを行うことができるようになります。ネットワーク隔離を行った際にも許可するプロセスをホワイトリストとして事前に指定しておくことで、運用性も維持しつつマルウェアによる横感染や情報漏洩のリスクを低減できるようになっています。                     4.Cortex XDRとの統合   Cortex XDRとの統合※1 により、Trapsエージェントがセンサーとしてアクティビティログを常にCortex Cloud Lake上に記録し、ネットワーク/エンドポイント/クラウドのデータを機械学習により分析し、今まで発見することが出来なかった新たな高度な攻撃も検知(Detection)し、調査(Investigation)、対応(Response)も行うことができます。                     ※1 Cortex XDRのライセンスが必要   5.レポート生成   定期レポート(日次/週次/月次)の生成機能や、日付を指定した オンデマンドレポート、管理者にメールで送信する機能を新たに実装しました。   6.通知機能の強化 各種イベント発生時に複数の宛先へのSyslog通知やメール通知に対応しました。 これによりイベントの種類や重要度に応じてメールの宛先を変更したりすることができるようになっています。   7.OS単位のグルーピング インストールされていないOSに関しても事前にグループ定義が可能になり、OS毎にセキュリティポリシーが異なる場合などに利用することができます。   その他の追加機能や変更点など詳細に関してはRelease Notesをご確認ください。
記事全体を表示
tmuroi ‎05-31-2019 01:21 AM
1,097件の閲覧回数
0 Replies
1 Like
下記にTrapsに関するビデオを紹介しております。   ◆Traps概要ムービー(13分06秒)   ◆Traps概要ムービー(簡易版:5分27秒) 上記MovieはYoutubeでも公開しています。 https://youtu.be/4ffToiSTNlc
記事全体を表示
tmuroi ‎05-22-2019 12:24 AM
454件の閲覧回数
0 Replies
Trapsのエクスプロイト防御は正規アプリケーション(例:Internet ExplorerやAdobe Reader)上のメモリ上で行われる動作(攻撃テクニック)を監視することで、シグニチャを利用せずにゼロディ脆弱性を悪用する攻撃や、ファイルレスマルウェアの実行を阻止することができます。   これにより、パッチ未適用の環境において脆弱性が存在する環境上でも、Trapsは攻撃を阻止することができます。   一般的なネットワーク/ホスト型IPS(シグニチャ利用)とは異なり、Trapsはゼロデイ脆弱性(未知の脆弱性)に対する防御機能を搭載しており、基本的な機能は下記となります。    1.アプリケーション脆弱性対策    例:Adobe Flashの脆弱性を悪用し、バッファオーバーフローを用いてメモリ上に攻撃コードを配置して      自動実行するなどの攻撃テクニックを検知して阻止      (Heap SprayやROP(Return Orientied Programming)など、様々な検知技術を搭載)  2.エクスプロイトキット対策    例:Internet Explorerを用いて、エクスプロイトキットが仕込まれたWebサーバにアクセスし、      クライアントPC上の脆弱性を調査され、脆弱性に対応したコードを実行される攻撃を阻止  3.カーネル脆弱性対策    例:カーネル脆弱性を悪用して権限を取得する動作や、      不正なAPC(Asyncronous Procedure Call)呼び出しによるDoublePalsarの攻撃、      悪意のあるシェルコードへのアクセスを阻止  4.クラウド上でダンプ解析            Trapsがエクスプロイト防御機能で検知した際にTrapsエージェント上から取得した                     メモリダンプをクラウド上で解析し、より正確な判定を実施     Trapsのエクスプロイト防御機能はパロアルトネットワークス社の研究者の知見から、セキュリティレベルを保ちつつ、他のセキュリティ製品との互換性をポリシーとして自動配信し、オフライン状態においても動作します。そのため、運用管理者は脆弱性に対する特別な知識を必要とせず、メンテテンスフリーで未知の脆弱性攻撃から保護することができます。   また、ホワイトリスト機能が充実(各種エクスプロイト防御で利用されるテクニックを、プロセス単位/アプリケーション単位で調整指定可能)していますので、セキュリティレベルを落とさず、脆弱性対策を行うことができる製品となっています。       互換性ポリシーの自動配信機能により除外されないアプリケーションが発見された場合のみ、      ホワイトリストを登録。除外登録も管理コンソール上から容易に実現   Trapsエージェントがエクスプロイト攻撃を検知した場合には、攻撃の阻止や利用者のデスクトップ画面にポップアップ通知を表示することができます。
記事全体を表示
tmuroi ‎03-10-2019 05:09 PM
4,026件の閲覧回数
0 Replies
Trapsは様々なマルウェア防御技術によって、マルウェア感染を阻止することができます。感染前の検知/阻止機能のみならず、マルウェアのふるまいでの検知や、感染後に検知する機能も合わせて実装しています。   Trapsは今までのウイルス対策製品が利用する日々のパターンファイル配信の仕組みを利用せず、世界最大級の脅威インテリジェンスサービス WildFireと連携して最新の防御を実現します。 検体収集から解析、脅威情報を世界中で共有するプロセスを全てクラウド上で自動化することにより、運用性を非常に高めたマルウェア対策を実現します。     Trapsの主なマルウェア防御機能は下記となります。 ※エクスプロイト防御機能やResponse機能(ネットワーク隔離など)、運用管理機能などについては別途記事を参照ください。   WildFire 脅威インテリジェンス リアルタイムにクラウド上で更新される 既知マルウェアのデータベースを利用 (WildFireを利用する26,000社を超える、いずれか1社でも未知検体が発見された5分後には攻撃を阻止) 機械学習/静的解析エンジン クライアントPC上に搭載された静的解析エンジンを利用して、ファイルの特徴から未知ファイルを実行前に阻止 ローカル上にエンジンとモデル情報を所有しているため、ネットワーク通信は不要でオフライン状態でも判定が可能 Behavior Threat Protection 複雑なアプリケーションの一連の挙動を監視して、マルウェア攻撃を判断して動作を阻止。検知した際には一連の挙動を記録し、感染時の調査に必要な情報も確認できます。 マクロ マクロ部分のみを抽出し、WildFireでの検索に加え、機械学習(AI)を利用した静的解析エンジンによりマクロ実行前に阻止 スクリプト PowerShellなどから悪意のあるコード(特定の引数など)呼び出しなどを阻止することにより、ファイルレスマルウェアなどの対策も実現します。 子プロセス制御 不正な子プロセスの呼び出しを呼び出す前に検知して阻止(例:Webブラウザプロセスが直接Powershellを呼び出すようなマルウェア特有の振る舞い) パスワード取得防止 Mimikatzなどのパスワードを取得するふるまいを検知して阻止 ランダムウェア対策 マルウェアがPC侵入後の機能として、おとりファイルを利用し、ランサムウェア暗号化が開始された場合でも、 おとりファイルの暗号化を検知して処理を停止させることにより、データを保護して実害を無くすランサムウェアに特化した機能の実装 WildFire クラウド解析 未知の検体に関しては、機械学習/静的解析と同時に、実際に検体を ・ベアメタル解析 ・動的解析(サンドボックス) ・機械学習  ・静的解析 を行い、高精度の解析をクラウド上で実施し既知情報として利用し、 解析結果は管理コンソール上で確認することができます。 万が一、判定が疑わしい場合があっても、管理コンソール上から理由を添えて再解析依頼が行えます。  定期スキャン/オンデマンドスキャン ディスクのスキャンにより、休止状態のマルウェアの検出に対応。また、スキャン時に未知ファイルが存在した場合には、WildFireのクラウド上で検体解析が自動的に行なわれます。この仕組みにより、機械学習の課題である、マルウェアに特徴が似た独自アプリケーションなどの過検知リスクを大幅に低減します。  POST DETECTION(実行後検知) Trapsエージェントが実行したファイルを全てハッシュ値ベースで管理サーバ上で管理しています。管理サーバは常にWildFireと連携を行い、実行したファイルが後追いでマルウェアと判定された場合に検知する仕組みを備えています。この仕組みにより、感染後の対処も速やかに行うことができます。 ※上記1、9のWildFireでの連携機能以外の全ての機能はオフライン状態で動作するため、インターネットに接続されていない環境においても、既知/未知のマルウェア攻撃から高度な保護を実現します。                            イベント毎にマルウェア判定の基本情報を確認                                            Behavior Threat Protection検知時に時系列と止めた場所を確認                                                           実際にTrapsエージェント上で行われた挙動(証拠)を確認       ※上記cmd.exeの例                                                                 WildFireの解析結果(マルウェアと判定した証拠)を確認                         WildFireの解析結果(解析時のタイムライン動作)を確認        Trapsエージェントがマルウェア検知した場合には、設定に応じてポップアップ通知を表示したり、ファイル隔離するなどの動作を行い、マルウェア感染を阻止することができます。   左より、マルウェアテストファイルを実行前、実行時に検知したポップアップ画面、検知後にファイル隔離されたTrapsエージェント側のWindowsの画面
記事全体を表示
tmuroi ‎03-05-2019 12:45 AM
5,415件の閲覧回数
0 Replies
本設定はウイルス対策製品とTrapsを共存して導入する場合にウイルス対策製品側で設定する項目となります。 お互いに検知し合うなどの競合を回避するため、下記ファイル/フォルダの設定を実施してください。   他社ウイルス対策製品等での除外設定   【1】cyinjct.# C:\windows\temp\フォルダに存在します。 (#)は数字になります。 WildCard指定が出来ることを前提とした場合、C:\windows\temp\cyinjct.* のような形式で除外の指定を行ってください。   【2】DLL ファイル “system32” および “sysWOW64” (64 Bit OSの場合) フォルダに存在します。   a. Cyvrtrap.dll (system32 および SysWOW64) b. Cyverau.dll c. Cyvera.dll (system32 および SysWOW64) d. Cyinjct.dll (system32 および SysWOW64) e. ntnativeapi.dll (system32 および SysWOW64)   【3】フォルダ除外 a. C:\Program Files\Palo Alto Networks b. C:\ProgramData\Cyvera   その他、製品により追加の設定が必要な場合があります。   【ウイルスバスター Corp.と同居させる場合】 「挙動監視」 設定に存在する[プログラム検査を有効にして不正な実行可能ファイルを検出およびブロックする]を事前に無効にする必要があります。   【VDI環境において、AppVolumesを利用している場合】 TrapsのファイルパスとレジストリをVMware側で除外ください(snapvol.cfgファイルに追加) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOcCAK   Traps環境におけるウイルス対策ソフトウェアの除外設定についてはこちら   Traps側での検索除外設定   お互いに検知するなどの競合を回避するためにTraps上でウイルス対策製品側で利用するフォルダの除外設定を実施してください。Traps側では、ポリシーで利用するMalware Profileを編集し、 下記Whitelist Files内にウイルス対策製品が利用するフォルダを除外指定してください。   ・Examine Portable Executables and DLLs ・Examine Office Files with Macros ・Scan Endpoints                                                                                                              設定例                          
記事全体を表示
tmuroi ‎03-04-2019 11:57 PM
5,448件の閲覧回数
0 Replies
1 Like
TrapsエージェントはMUI(Multi User Interface)に対応しており、日本語以外の表示を行うことが可能となっています。 日本語OS上でTrapsエージェントを利用する場合、標準で日本語で表示されるようになっておりますが、 利用者自身で表示言語を切り替えることができるようになっております。   切替方法は下記の通りです。   1.Trapsエージェント上の管理コンソールを開きます。 (タスクトレイ上のアイコンをダブルクリック、または右クリック後、「コンソール」をクリック                                 2.管理コンソールが表示されましたら、「詳細設定...」をクリックします。                               3.「設定」を選択し、インターフェイスの表示言語にて、変更した言語を選択してください。
記事全体を表示
tmuroi ‎03-04-2019 11:39 PM
4,486件の閲覧回数
0 Replies
一般的に、Active Directory環境や台数が多い場合には、リモートでサイレントインストールを行うのが一般的なTrapsのインストール方法となります。また、VDI環境(non-persistent)やTemporary Session(ターミナルサーバへの接続端末環境など)利用時もこちらのインストール方法をご利用ください。   TrapsのWindows版のインストーラーはMSI形式にて用意しているため、msiexecを利用した一般的なサイレントインストールを利用可能です。   詳細なインストール内容はInstall Traps Agent for Windowsをご覧ください(英語)     また、プロキシを利用している場合、Trapsエージェントは各WindowsログインユーザのPAC(Internet Explorerの設定)を読み込みプロキシ動作します。但し、Windowsのログオフ状態時にはPACの読み込みが出来ませんので、ログオフ時にTraps Management Serviceと通信させるためには、最後に記載するプロキシ設定を別途行ってください。     【構文】msiexec /i <インストールパス>  /L*v <ログのパス> /qn 【例】msiexec /i c:\install\traps.msi /L*v C:\temp\trapsinstall.log /qn   ※MSIEXEC部分の詳細な利用方法はMicrosoft社にご確認ください。 ※MSIEXECの/qnオプションを利用した場合には、利用者には対話式のインストール画面は表示されずに、自動的にインストールが終了します。 ※インストール終了後、自動的に再起動が行われることはなく、その時点で自動的にTraps管理サーバと接続し、動作開始します。      ////////////////////////////////////////////////////////////////////////////////////////////////////////// 【ログオフ時に通信するためのプロキシ設定】 Windowsにてユーザがログイン時はPACファイルを自動的に読み込みプロキシ設定が行われますが、Trapsエージェントが、ログオフ状態においてもプロキシ経由でインターネットに接続する環境の場合には、下記のプロキシの設定がTrapsエージェント上の端末で必要となります。プロキシサーバのDNS名(又はIPアドレス)とポート番号を事前に確認してください。 ※このコマンドを実行しても、プロキシ経由で無い環境からも接続が可能です。   ※構文 netsh winhttp set proxy proxy-server="<protocol>=<proxyserver>:<port>   ※例 netsh winhttp set proxy proxy-server="http=myproxy:8080;https=sproxy:8181"  //////////////////////////////////////////////////////////////////////////////////////////////////////////   【トラブルシューティング】   接続が行えない場合には、下記を確かめてください。   ・TrapsエージェントとESMサーバ間が疎通できているか?  Trapsエージェントは443(SSL)を利用して接続します。  ファイアウォール等でブロックしていないことを確認してください。   ・プロキシ環境がある場合、プロキシの設定を行っているか?   ・FQDNを利用してインストールを行った場合には名前解決ができているか?   ・契約したライセンスを全て消費しているかどうか?
記事全体を表示
tmuroi ‎03-04-2019 11:33 PM
4,754件の閲覧回数
0 Replies
クライアント台数が少ない場合や、Trapsの評価を実施する際などは、Trapsエージェントをインストールする際には、対話式のインストールが簡単な方法です。   最新の詳細な手順はInstall Traps Agent for Windowsをご覧ください(英語)   また、プロキシを利用している場合、Trapsエージェントは各WindowsログインユーザのPAC(Internet Explorerの設定)を読み込みプロキシ動作します。但し、Windowsのログオフ状態時にはPACの読み込みが出来ませんので、ログオフ時にTraps Management Serviceと通信させるためには、最後に記載するプロキシ設定を別途行ってください。 エージェントのインストール手順は下記となります。     Trapsエージェントのインストーラーは32ビット版と64ビット版の2種類が存在します。 インストーラーは管理コンソールの「Agent Installations」から64ビット版または32ビット版をダウンロードできます。           ※こちらはWindows 10 64ビットOSにインストールした場合の画面となります。     (1)インストーラーを起動して、インストールを行います。(要管理者権限)       (2)上記の画面が表示されますので、「Next」をクリックします。     (3)上記の使用許諾契約(EULA)が表示されますので、同意いただける場合には    「I accept the terms in the License Agreement」の左側にチェックを入れて、    「Next」をクリックします。               (4)「Install」をクリックすると、インストールが開始されます。    ※ユーザアカウント制御の画面が表示された場合には「はい」をクリックしてください。       (5)「Finish」をクリックしてインストールが完了です。       (6)インストール後、ESMサーバと接続されているかを確認するためには、    Windows デスクトップ画面右下のTrapsのアイコンをダブルクリックして、管理コンソールを開きます。     (7)高度なエンドポイント保護が「有効」となっており、    画面下側の接続が「接続済み」と表示されていれば、    Trapsエージェントは正常に動作しています。      ////////////////////////////////////////////////////////////////////////////////////////////////////////// 【ログオフ時に通信するためのプロキシ設定】 Windowsにてユーザがログイン時はPACファイルを自動的に読み込みプロキシ設定が行われますが、Trapsエージェントが、ログオフ状態においてもプロキシ経由でインターネットに接続する環境の場合には、下記のプロキシの設定がTrapsエージェント上の端末で必要となります。プロキシサーバのDNS名(又はIPアドレス)とポート番号を事前に確認してください。 ※このコマンドを実行しても、プロキシ経由で無い環境からも接続が可能です。   ※構文 netsh winhttp set proxy proxy-server="<protocol>=<proxyserver>:<port>   ※例 netsh winhttp set proxy proxy-server="http=myproxy:8080;https=sproxy:8181"  //////////////////////////////////////////////////////////////////////////////////////////////////////////   【トラブルシューティング】   接続が行えない場合には、下記を確かめてください。   ・TrapsエージェントとESMサーバ間が疎通できているか?  Trapsエージェントは443(SSL)を利用して接続します。  ファイアウォール等でブロックしていないことを確認してください。   ・プロキシ環境がある場合、プロキシの設定を行っているか?   ・FQDNを利用してインストールを行った場合には名前解決ができているか?   ・契約したライセンスを全て消費しているかどうか?
記事全体を表示
tmuroi ‎03-04-2019 08:50 PM
2,614件の閲覧回数
0 Replies
TrapsはWindows、MacOS、Linux、Android版のTrapsエージェントを用意しており、OSのアーキテクチャの違いなどからOS毎にセキュリティ機能に差異があります。   下記の表はTrapsエージェントのOS毎に利用可能な、セキュリティ機能の比較となります。 (✔・・・利用可能な機能)   最新情報は、下記をご覧ください。 ・保護機能 ・保護モジュール   保護機能 Windows Mac Linux Android Exploit Security Profiles         Browser Exploits Protection ✔ ✔     Logical Exploits Protection ✔ ✔     Known Vulnerable Processes Protection ✔ ✔ ✔   Exploit Protection for Additional Processes ✔ ✔ ✔   Operating System Exploits Protection ✔ ✔ ✔   Malware Security Profiles         Behavioral Threat Protection ✔       Ransomware Protection ✔       Prevent Malicious Child Process Execution  ✔       Portable Executables and DLLs Examination ✔       ELF Files Examination     ✔   Office Files Examination ✔       Mach-O Files Examination   ✔     APK Files Examination       ✔ Restrictions Security Profiles         Execution Paths ✔       Network Locations ✔       Removable Media ✔       Optical Drive ✔       Customizable Traps Settings         Disk Space ✔ ✔ ✔   User Interface ✔ ✔     Traps Tampering Protection ✔       Uninstall Password ✔ ✔     Windows Security Center Configuration ✔       Forensics ✔       Response Actions ✔       Upload Using Cellular Data       ✔   保護モジュール Windows Mac Linux Android Anti-Ransomware ✔       APC Protection ✔       Brute Force Protection     ✔   Child Process Protection ✔       CPL Protection ✔       DEP ✔       DLL Hijacking ✔       DLL Security ✔       Dylib Hijacking   ✔     Exploit Kit Fingerprint ✔       Font Protection ✔       Gatekeeper Enhancement   ✔     Hash Exception ✔ ✔     Hot Patch Protection ✔       JIT ✔ ✔     Local Analysis ✔ ✔     Local Privilege Escalation Protection ✔ ✔ ✔   Null Dereference ✔       Restricted Execution - Local Path ✔       Restricted Execution - Network Location ✔       Restricted Execution - Removable Media ✔       Reverse Shell Protection     ✔   ROP ✔ ✔ ✔   SEH ✔       Shellcode Protection     ✔   ShellLink ✔       SysExit ✔       UASLR ✔       WildFire ✔ ✔   ✔ WildFire Post Detection (Malware and Grayware) ✔ ✔   ✔    
記事全体を表示
tmuroi ‎03-04-2019 08:24 PM
4,330件の閲覧回数
0 Replies
MacOSエージェントをインストールする際の対話式のインストール方法を解説します。 ※画面はTraps 5.0でキャプチャしたものを利用しています。   ◆インストーラーについての注意 MacOSエージェントへのインストーラーは、 Traps管理コンソールの「Agent Installations」から作成/ダウンロードできます。     Traps 5.0における、エージェントのインストール手順は下記となります。                       (1)インストールパッケージをインストールするMacOS端末上で開き、Traps.pkgをダブルクリックしてインストーラーを起動します。                              (2)「続ける」をクリックします。                             (3)「インストール」をクリックします。   (4)上記のメッセージが表示された場合には、管理者権限のユーザ名とパスワードを入力して、「ソフトウェアをインストール」をクリックします。                                         (5)インストールが開始されます。                                       (6)インストールが完了したら、「閉じる」をクリックして、インストールは完了です。     (7)メニューバーからTrapsのアイコンをクリックし、「Open Console」を選択します。                                           (8)上記のようにコンソールが表示され、Connectionが表示されていればTraps管理サーバとの接続が成功していることを確認できます。  
記事全体を表示
tmuroi ‎03-04-2019 06:21 PM
1,918件の閲覧回数
0 Replies
TrapsのEDRの一機能である「POST DETECTION」について解説します。   Traps管理サーバは全てのTrapsエージェント上で実行したプロセス情報などをハッシュ値で記録しており、 WildFire脅威インテリジェンスクラウドと連携をしています。     一般的なアンチウイルス製品の場合、後追いでパターンファイルが対応した場合、 クライアントにパターンファイル配信を行った上で、フルスキャンを行うことで発見することができます。   Trapsの場合、後追いでWildFire側の判定がマルウェアに変化した場合、フルスキャンを行わずに起動したプロセスを発見することができる仕組みを備えており、WildFireとの連携により後追いでマルウェアと判定した証拠を確認するなど、より早い対応ができるようになっています。       Trapsは正常なアプリケーションの起動を含めて、全て管理サーバ側で記録しておりWildFireと状態変化の確認を行っております。
記事全体を表示
tmuroi ‎03-04-2019 06:18 PM
3,677件の閲覧回数
0 Replies
TrapsはAndroid端末をサポートし、Android端末に対してもマルウェアの感染から保護することができます。   ◆Android対応の特徴 ・Android 4.4以降をサポート ・WildFireと連携したマルウェア防御機能を提供  ・未知のアプリはローカル解析に加え、自動的にWildFireへアップロードを行い、更なる解析を実施(図1) ・Traps Management Serviceから統合管理を実現  ・Windows / macOS / Linux / Androidをポリシーやログなどを一元管理(図2)                                                         図1 Android端末上でのTrapsとマルウェア検出時の画面サンプル                                       図2 Trapsで一元管理されるAndroid端末
記事全体を表示
tmuroi ‎03-04-2019 06:16 PM
2,034件の閲覧回数
0 Replies
ESM Console にログインして以下のように選択し、デフォルトポリシーに関する詳細を表示します [Policies] > [Malware] > [Protection Modules] アクションメニューより [Show Default Rules] をクリックします 確認したいデフォルトポリシーを選択し、[Clone] をクリックします 名前の文字数を 100 以下のものに変更し、 [Save] をクリックします Clone によって作成されたポリシーを選択し、 アクションメニューより [Export Selected] をクリックします ダウンロードされた XML ファイルを開き、C01.BlackList を探し、それ以下の Value タグの値を確認します
記事全体を表示
rtakeishi ‎09-28-2018 01:36 AM
1,632件の閲覧回数
0 Replies
Windows の場合 #NAME# を T rusted Signer として追加したい名前に変更して 以下 2 つの SQL 文を実行します INSERT INTO [dbo].[UserPublishers] ([PublisherName],[IsActive],[OsType],[Hash]) VALUES ('#NAME#', 1, 1, NULL) UPDATE CacheCounter SET Value = Value + 1 WHERE Category = 0 Mac の場合 アプリケーションの SHA1 の確認 [application path] を Trusted Singner として追加したいアプリケーションのパスに変更して以下のように codesign コマンドを実行します $ codesign -d --extract-certificates [application path] 上記実行後、codesignX(例:codesign0) が作成されるので、作成されたファイルに対して以下のように shasum コマンドを実行し、出力されるハッシュ値をメモします $ shasum codesign0  SQL 文を使用した Traps Database への Trusted Signer の追加 #NAME# を Trusted Signer として追加したい名前、また # HASHVALUE# を 1. で確認したハッシュ値に変更して、以下 2 つの SQL 文を実行します INSERT INTO [dbo].[UserPublishers] ([PublisherName],[IsActive],[OsType],[Hash]) VALUES ('#NAME#', 1, 2, #HASHVALUE#) UPDATE CacheCounter SET Value = Value + 1 WHERE Category = 0
記事全体を表示
rtakeishi ‎09-28-2018 01:22 AM
1,472件の閲覧回数
0 Replies
Windows の場合 #NAME# を T rusted Signer として追加したい名前に変更して 以下 2 つの SQL 文を実行します INSERT INTO [dbo].[Publishers] ([PublisherName],[IsDefault],[IsActive],[OsType],[Hash]) VALUES ('#NAME#', 0, 1, 1, NULL) UPDATE CacheCounter SET Value = Value + 1 WHERE Category = 0 Mac の場合 アプリケーションの SHA1 の確認 [application path] を Trusted Singner として追加したいアプリケーションのパスに変更して以下のように codesign コマンドを実行します $ codesign -d --extract-certificates [application path] 上記実行後、codesignX(例:codesign0) が作成されるので、作成されたファイルに対して以下のように shasum コマンドを実行し、出力されるハッシュ値をメモします $ shasum codesign0  SQL 文を使用した Traps Database への Trusted Signer の追加 #NAME# を Trusted Signer として追加したい名前、また # HASHVALUE# を 1. で確認したハッシュ値に変更して、以下 2 つの SQL 文を実行します INSERT INTO [dbo].[Publishers] ([PublisherName],[IsDefault],[IsActive],[OsType],[Hash]) VALUES ('#NAME#', 0, 1, 2, #HASHVALUE#) UPDATE CacheCounter SET Value = Value + 1 WHERE Category = 0
記事全体を表示
rtakeishi ‎09-28-2018 01:22 AM
1,464件の閲覧回数
0 Replies
TrapsエージェントをMacOSにインストールする際の対話式のインストール方法を解説します。   ◆インストーラーについての注意 MacOSエージェントへのインストーラーは、Windows版と異なり、 Traps管理サーバ側でインストールパッケージを生成した上で、下記の手順を実施してください。   Traps 4.0.0における、エージェントのインストール手順は下記となります。     (1)インストールパッケージを開きます。   (2)Traps.pkgをダブルクリックして、インストーラーを起動します。      (3)「続ける」をクリックします。   (4)「インストール」をクリックします。 (5)管理者権限のユーザ名とパスワードを入力して、「ソフトウェアをインストール」をクリックします。   (6)インストールが完了したら、「閉じる」をクリックします。   (7)メニューバーからTrapsのアイコンをクリックし、「Open Console」を選択します。   (8)上記のようにコンソールが表示され、Connectionが表示されていればTraps管理サーバとの接続が成功です。
記事全体を表示
tmuroi ‎05-05-2018 10:17 PM
3,166件の閲覧回数
0 Replies
Traps 5.0 はクラウド提供により、管理サーバ用ハードウェア・ OS /メンテナンス費用が不要になり、よりコストを抑えることが出来ると同時に、ユーザー運用の自動化をより進めた次世代エンドポイントとなりました。 Traps は世界中のセンサーと情報共有して複数の防御技術を用いて感染前に阻止し、万が一の侵入を阻止できなかった場合でも、 Traps が持つ感染後の検知機能/世界中からのマルウェア情報のフィードバックにより、阻止能力を自動的に向上する仕組みを備えています。主な変更/強化ポイントを解説します。   1.クラウドベースの管理サービス   Traps 5.0 はクラウド上のサービス( Traps Management Service )として提供され、今まで Traps が提供してきたオンプレミス版に比べ下記の特徴があります。   ・サービスの利用登録から約 10 分で利用開始可能 ・管理サーバのハードウェア/ OS に掛かるコストが0 ・管理サーバのメンテナンス/バージョンアップが不要 ・ログは Logging Service 上に保管。 100GB を無償提供   Logging Service は Traps のみならずパロアルトネットワークス社が提供する次世代ファイアウォールの各種ログも記録可能であり、これらの記録される情報を活用したサービスも順次提供を行う計画となっております。尚、今までのオンプレミス版も継続して販売を行っていきます。     2.攻撃検出時の重要度を自動判断   ウイルス対策製品を運用すると都度発生するイベントに対して、イベント毎に端末の調査を行うべきかを自分自身で判断することは難しく、セキュリティ知識が必要となり運用工数が増える原因でもありました。 Traps 5.0 ではイベント毎に重要度を自動判断し、管理者が対応するべきイベントを確認することができます。   重要度 内容 High マルウェア感染の可能性あり。対応が必要 Medium マルウェア感染前に Traps が阻止。対応不要 Low その他発生したイベント   重要度が High のイベントは、ランサムウェア感染後に検出したイベントや、プログラム実行後にマルウェアと判定された場合などが該当し、対応が必要なイベントです。確認したイベントは対応漏れがないように、管理者自身にて「未対応」「調査中」「対応終了」などの管理を行うことが可能です。   3.マルウェア判定の証拠(解析結果)の確認   Traps 5.0 は業界最大の解析システムである WildFire と自動的に連携した検体解析結果を管理コンソール上に統合し、マルウェア判定された証拠)を確認することができます。   Traps は、動的解析/静的解析/機械学習/ベアメタル解析を組み合わせたマルウェア解析手法により、ほぼ 0 の誤検知で解析を行い、未知マルウェアに関しても、マルウェアと判定された理由をリアルタイムに確認することができます。     4.定期/オンデマンドスキャン   毎週/毎月の定期的なディスクのスキャンにより、休止状態のマルウェアの検出に対応。また、必要に応じて任意のタイミングでのスキャンにも対応しました。 PC の負荷を上昇させないようにバックグラウンドで実行され、 2 回目以降のスキャンは差分でのスキャンに対応しています。 また、一般的なウイルス対策製品と異なり、スキャン時に未知ファイルが存在した場合には、 WildFire のクラウド上で検体解析が自動的に行なわれます。この仕組みにより、導入初期の段階で事前にスキャンを行い、独自アプリケーションなどが過検知しないかどうかを確認することも可能です。万が一の過検知時にも、検体の提出やサポート窓口への連絡は必要なく、管理コンソール上から再解析依頼を行うことで、 24 時間 365 日、世界中のパロアルトネットワークスの担当者が、検体の再解析を実施します。     5.ポリシー設定を一新、全てのOSを一元管理   Traps 5.0 では設定方法を一新。端末をグルーピングすることにより、グループ単位での設定や、表示を絞り込むなど直感的に設定を管理できるインターフェースを用意しました。また、 Windows のみならず、 MacOS や Linux に対しても統一した管理を行うことができます。       6.Linux プラットフォームのサポート   Linuxプラットフォームに対応し、より幅広いプラットフォームに対応しました。   7.インストーラーの簡素化   インストーラーに接続情報を埋め込むことで、インストール作業をより容易に行うことができるようになりました。   8.アプリケーションフレームワークへの対応   アプリケーションフレームワークに対応したアプリケーションとなり、Logging Serviceとの連携や次世代ファイアウォールとの連携強化、その他、パロアルトネットワークス社だけでなく3rd Party製の各種セキュリティサービスを容易に連携できる仕組みに対応しました。
記事全体を表示
tmuroi ‎04-17-2018 09:54 PM
3,131件の閲覧回数
0 Replies
クライアント台数が少ない場合や、Trapsの評価を実施する際などは、Trapsエージェントをインストールする際には、対話式のインストールが簡単な方法です。     Trapsエージェントのインストーラーは32ビット版と64ビット版の2種類が存在します。 ・Traps_x64_4.1.0.28239.msi  ...64ビットOS用Trapsエージェントのインストーラー ・Traps_x86_4.1.0.28239.msi  ...32ビットOS用Trapsエージェントのインストーラー     Traps 4.1.0における、エージェントのインストール手順は下記となります。 ※こちらはWindows 7 32ビットOSにインストールした場合の画面となります。 (1)インストーラーを右クリックして、インストールを行います。   (2)上記の画面が表示されますので、「Next」をクリックします。   (3)上記の使用許諾契約(EULA)が表示されますので、同意いただける場合には    「I accept the terms in the License Agreement」の左側にチェックを入れて、    「Next」をクリックします。   (4)上記の設定画面が表示されますので、下記情報を入力して、「Next」をクリックします。    Host Name: ESMサーバのFQDN、またはIPアドレス    Port: ESMサーバインストール時に指定したポート番号(変更しない場合には2125)    Use: SSLを利用する場合はSSLを選択、SSLを利用しない場合にはNo SSLを選択      (注意:SSLを利用する場合には、ESMサーバ側の設定に加え、          Trapsエージェントのコンピュータストア領域のルート証明機関に          ESMサーバを信頼するルート証明書が予め格納されている必要があります)   (5)「Install」をクリックすると、インストールが開始されます。   (6)「Finish」をクリックしてインストールが完了です。     (7)インストール後、ESMサーバと接続されているかを確認するためには、    画面右下のTrapsのアイコンをダブルクリックして、管理コンソールを開きます。   (8)高度なエンドポイント保護が「有効」となっており、    画面下側の接続が「接続済み」と表示されていれば、    TrapsエージェントはESMサーバと接続が行われています。     【トラブルシューティング】 上記のような画面となり、接続が行えない場合には、下記を確かめてください。   ・TrapsエージェントとESMサーバ間が疎通できているか?  (Windows標準のファイアウォール機能等でTrapsが利用する、   TCP 80, 443, 2125番のポート番号(可変)を止めていないか?   ・Traps管理コンソール上のTrapsエージェント情報が残っていないか?  (残っている場合には対象端末をAgent Listから削除を行ってください)   ・FQDNを利用してインストールを行った場合には名前解決ができているか?
記事全体を表示
tmuroi ‎04-09-2018 05:18 PM
3,865件の閲覧回数
0 Replies
パロアルトネットワークスは、ランサムウェア Saturn の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   【ランサムウェア Saturnに感染時の端末画面】 ランサムウェア Saturnに感染すると下記のようにファイルが暗号化され、ポップアップメッセージが表示されます。暗号化されたファイルは「.saturn」の拡張子となります。 感染後に表示されるポップアップメッセージ1 感染後に表示されるポップアップメッセージ2 暗号化されたファイル   【Trapsの検知画面】 TrapsエージェントがWildFireの脅威情報を取得できない状態(例:ネットワーク未接続状態)においても、 機械学習による静的解析エンジンによりSaturnの起動を阻止することができました。 もちろん、ネットワークに接続されていれば、世界中でリアルタイム解析&共有されたWildFireの脅威情報を利用した検知が可能です。   TrapsのWildFire連携や静的解析エンジンのセキュリティ機能をあえて無効にして、今回入手したSaturnの動作を見てみました。その場合、Trapsは下記の2つの検知を行っています。   ・疑わしいプロセス制御機能(子プロセス制御)の検知  →バックアップから復元できないように、ボリュームシャドウコピーを消す動作をTrapsが検知 ・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止  →ランサムウェアは実行されてしまったが、実ファイルを暗号化されずに保護することが可能   【子プロセス制御での検知ログ】 静的解析でブロックしたログは以前のBadrabbitと同様のログになりますので割愛しますが、本記事では子プロセス制御の検知についてのログについて解説します。 このSaturnの検体においては、cmd.exeからvssadminを呼び出し、delete shadows /all /quiteコマンドにてボリュームシャドウコピーを削除することにより、バックアップから復元できないようにしている動作をTrapsが疑わしいと見なして検知し、その動作を実行前に阻止していることが確認できます。   ▼検証環境 Windows 7 32bit Traps 4.1.2 Content Update 33-2266   ■検体ハッシュ値  (SHA-256) b3040fe60ac44083ef54e0c5414135dcec3d8282f7e1662e03d24cc18e258a9c  
記事全体を表示
tmuroi ‎02-20-2018 08:15 PM
2,725件の閲覧回数
0 Replies
1 Like
パロアルトネットワークスは、CVE-2018-0802を悪用する検体を入手し、 次世代エンドポイントセキュリティ Traps  で検証を実施し、防御可能なことを確認しています。   CVE-2018-0802に関する情報は、こちらに詳細を記載しておりますので、ご参照ください。
記事全体を表示
tmuroi ‎02-05-2018 03:06 AM
2,526件の閲覧回数
0 Replies
パロアルトネットワークスは、CVE-2018-4878の検体を入手し、次世代エンドポイントセキュリティ Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。 本記事を記載している時点では、Adobe社からの修正プログラムは公開されておらず、ゼロデイ脆弱性の状態となっております。       【Trapsエージェント上で攻撃を阻止した画面】 (脆弱性対策機能:DLLSec)                    Adobe Flash PlayerがインストールされたInternet Explorer 11に攻撃ファイル(SWF)を読み込ませると、 Trapsは、CVE-2018-4878の攻撃を阻止することができました。   Trapsが多数持つ脆弱性対策技術の中で、下記の機能により阻止可能であり、 どちらか一方の機能が無効になっていたとしても阻止することが可能です。  ・DLLへの不審なアクセスによる防御(DLLSec)  ・安全でないコードエリアからの疑わしいAPIコール(JIT Mitigation)      【ブロック時のログ】 (脆弱性対策機能:JIT Migigation)                       Trapsでは脆弱性が悪用された場合は、攻撃時に発生した通信やアクセスしたファイル、メモリダンプなどを取得し、調査に必要なデータを取得することができます。   万が一Trapsの脆弱性機能を無効にしており、脆弱性を悪用されて不正なマルウェアファイルが実行された場合でも、Trapsは下記に代表される機能で攻撃を阻止することができます。 ・悪意のあるプロセス制御 ・クラウド上の脅威データベース ・機械学習/静的解析 ・クラウド上での動的解析   ▼検証環境 Windows 7 32bit Internet Explorer 11 + Adobe Flash Player 28.0.0.137 Traps 4.1.1 Content Update 32-2204   ■検体ハッシュ値  (SHA-256) 1a3269253784f76e3480e4b3de312dfee878f99045ccfd2231acb5ba57d8ed0d
記事全体を表示
tmuroi ‎02-05-2018 01:32 AM
2,842件の閲覧回数
0 Replies
パロアルトネットワークスは、ランサムウェア Ursnif の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。 パロアルトネットワークス社のUrsnifの詳細は下記をご覧ください。 https://www.paloaltonetworks.jp/company/in-the-news/2017/traps40_wildfire_ursnif 【Word機能時にTrapsが不正なマクロを検知して阻止した端末画面】 UrsnifのWordファイルを起動すると、上記のようにTrapsはポップアップメッセージを表示してWordの起動を阻止しています。Trapsはファイル全体のハッシュ値に加え、マクロ部分のハッシュをWildFireへ問合せを行うことができます。 また、Trapsエージェント上で動作する静的解析も利用可能なことから、不正なマクロ付きのWordファイルのみを正確に検出することができます。 Trapsは、Ursnifの起動を阻止することができました。 【不審なWordを検知しブロック時のログ】   次に、TrapsのOfficeファイル検査機能を無効化することで、どのような動作になるかを確かめてみます。   【Officeファイル検査を無効にした場合も、疑わしいプロセス作成を検知し、マルウェア起動をブロック】   TrapsのOfficeファイル検査機能を無効にした場合にはマクロが動作しますが、Trapsの子プロセス制御機能にてマルウェア本体の起動前に阻止することができました。   【Wordのマクロが動作し、不審な動作をしたためブロック時のログ】 ▼検証環境 Windows 7 32bit × Traps 4.1.1 ■検体ハッシュ値  (SHA-256) 5b62775a59069e8dcbbf11fff9bb80c7de8f6f77c6a976812e42f4f75ba6c1f8
記事全体を表示
tmuroi ‎10-31-2017 10:41 PM
3,475件の閲覧回数
0 Replies
パロアルトネットワークスは、ランサムウェア WannaCry の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   パロアルトネットワークス社のWannaCryの対応は下記をご覧ください。 https://researchcenter.paloaltonetworks.com/2017/05/traps-protections-wanacrypt0r-ransomware-attacks/     下記はAdobe Flashの脆弱性を悪用し、WannaCryに感染するムービーとTraps導入時のムービーとなります。    【WannaCryに感染するムービー】※クリックで拡大     【WannaCry感染前にTrapsが阻止するムービー】※クリックで拡大   ※通常は1つの検知画面のみ表示され、起動が阻止されますが、  本記事のために起動を阻止しないようにTrapsの設定を変更(ブロック→ログ取得)しマルウェアを起動させ、  ランサムウェア防御(おとりファイル検査)のみブロックする設定としています。     【Trapsでは様々なテクノロジーで防御】  Trapsは、WannaCryの起動を阻止することができました。詳細を見ると、Trapsでは、  脆弱性を悪用する攻撃を阻止 (Just In Time コンパイラを悪用する攻撃、Return Oriented Programmingを利用した攻撃) 不審な実行ファイルの起動を阻止 不審なDLLファイルの起動を阻止 子プロセスの起動を阻止 おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止 できることがわかります。   また、静的解析エンジン、子プロセス制御、脆弱性対策機能にて検知可能であるため、 オフライン環境など、WildFireの脅威情報を取得できない場合でも感染前に阻止できることを示しています。 よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。     ▼検証環境 Windows 7 32bit × Traps 4.1.0 ■検体ハッシュ値  (SHA-256) 1ECCFB5A45DB2D32B1AA41FB890BF4904EC6E82CA50E4AD84E9011C9DABCBF1A
記事全体を表示
tmuroi ‎10-25-2017 11:40 PM
3,461件の閲覧回数
0 Replies
  パロアルトネットワークスは、ランサムウェア Badrabbit の検体を入手し、Traps で検証を実施し、防御可能なことを確認しています。本記事では、技術検証した結果のみを記載します。   パロアルトネットワークス社のBadrabbitの対応は下記をご覧ください。 https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/     【感染時、マスターブートレコードが破壊され、起動時の端末画面】   【Trapsの検知画面】 (通常は1つの検知画面のみ表示され、起動が阻止されますが、  本記事のために起動を阻止しないようにTrapsの設定を変更し、マルウェアを起動させています)   Trapsは、Badrabbitの起動を阻止することができました。 詳細を見ると、Trapsでは、 ・不審な実行ファイルの起動を阻止 ・不審なDLLファイルの起動を阻止 ・おとりファイルを利用した、ランサムウェア起動後のファイルの暗号化処理を阻止 できることがわかります。  (但し、Badrabbitが起動してしまうと、暗号化処理前にマスターブートレコードを変更するため、   おとりファイルを利用した機能ではマスターブートレコードの書き換えは阻止できません)   【不審なDLLを検知しブロック時のログ(静的解析エンジンがrundll32.exeからの不審DLL呼び出しをブロック)】 ※静的解析エンジンにて検知可能であるため、オフライン環境など、  WildFireの脅威情報を取得できない場合でも感染前に阻止することができます。  よってTrapsを利用している場合は本攻撃を未然に防ぐことができたことを示しています。   ▼検証環境 Windows 7 32bit × Traps 4.1.1 ■検体ハッシュ値  (SHA-256) 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
記事全体を表示
tmuroi ‎10-25-2017 11:27 PM
3,394件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community