Trellix(旧FireEye) Endpoint Securityとは
アンチウイルス(EPP)、次世代ウイルス対策(NGAV)、EDRを組み合わせたエンドポイントセキュリティソリューションです。検知エンジンとして「従来型アンチウイルスエンジン」「機械学習(AI)エンジン」「振る舞い検知エンジン」「侵害活動データ(IOC)エンジン」の合計4つのエンジンを搭載しており、エンドポイントを多重防御します。エージェントプログラムはカーネルモードで動作するため、悪意ある動作を正確に判別するとともに、活動ログを細かく収集します。
特徴
◆ 4つの異なるエンジンを搭載。攻撃を多角的に検知し、防御
- シグネチャに基づく既知の脅威を検知(Malware Protaction)
- 機械学習に基づく未知の脅威や高度な攻撃の検知(Malware Guard)
- ふるまい検知によるアプリケーションやWebのエクスプロイト検知(Exploit Guard)
- FireEye脅威インテリジェンスに基づく検知(RealTime Indicator)
◆ わかりやすく使いやすい直感的なインターフェース
このようなお悩みを解決します
- 脅威に対して、エンドポイントにも常に最新のセキュリティを施したい
- 未知の脅威にも対応したセキュリティを導入したい
- マルウェアに感染したファイルにアクセスしてしまった場合でも対処できるセキュリティを利用したい
主な機能
マルウェア・プロテクション:従来型アンチウイルス
リアルタイムスキャン
- アクセス時にファイルをスキャン
- ネットワークファイルのスキャン(有効/無効の設定可能)
スケジュールスキャン
- 日次/週次/月次/ウイルス定義更新時/システム起動時
- スキャンレベル:フルディスク、クイックスキャン、アクティブメモリ
ファイル隔離
- 暗号化してエンドポイントに90日間隔離(設定変更可能:1日~365日)
- 復元/削除
- Endpoint Security Serverにダウンロード
その他
- Windows OSファイルや重複ファイルはスキャンをスキップ
- Windows早期起動マルウェア対策ドライバー対応(ELAM:Early Launch AntiMalware)
マルウェア・ガード:機械学習(AI)による未知のマルウェア対策
◆ 数億の実行形式ファイルを収集(exe、dll、sysなど)
◆ FireEye製品・サービスから最新の未知のマルウェアを収集
◆ 2,000以上の静的フィーチャを抽出して独特の特徴を学習
- ファイルバイトのランダム度
- ファイルヘッダー
- アドレステーブル など
◆ 人の手による学習データの補正
◆ 学習データの暗号化配信
◆ 他社AVとの併用可能
◆ ユーザデータを外部へ送信しない構成(1Way)もサポート
エクスプロイト・ガード:侵入初期で使われるエクスプロイトを検知・ブロック
検知可能なエクスプロイト手法例
- Memory Corruption(BOF、ROP など)
- Heap spray
- MS Office Macros
- Embedded binary launch
- Java sandbox bypass
- Kernel exploit
サポートアプリケーション
- ブラウザ: IE、FireFox、Chrome
- ブラウザプラグイン
- Adobe Acrobat、Flash
- MS Office: Word、Excel、PowerPoint
- Wordpad
- Java Applet runner
リアルタイムインジケータ:全エンドポイントへIOCを配布して攻撃をリアルタイムで検知・ブロック
- IOCは実際の侵害活動に基づいて生成
- 生成されたIOCはすべてのエンドポイントに配布
- IOCに一致するエンドポイントをすべて隔離することで、インシデントクローズを宣言可能