サイト内の現在位置
CylanceOPTICS
エンドポイント向け次世代マルウェア対策製品「CylancePROTECT」CylancePROTECTと連携し、包括的なセキュリティ対策を実現
CylanceOPTICSは、CylancePROTECTと連携して検出範囲を拡大、分析まで行うオプション製品です。
CylancePROTECTが「防御」に特化した製品である一方で、CylanceOPTICSは「事前検知」と「原因分析」に特化した製品です。両製品を利用することで、隠れた脅威の特定と対処を実現可能です。
CylanceOPTICSの提供内容
- 分散型モデルによるイベント情報収集
- 根本原因分析による侵入経路特定
- 隠れた脅威のハンティング
- 脅威の封じ込めによる被害の最小化
- 端末挙動からの動的な脅威検知と対処
CylanceOPTICSの特長
包括的なセキュリティ対策
端末の「防御」だけでなく前後の「分析」「対応」までを含めた対策により、セキュリティのPDCA実施支援に領域を拡大し、脅威の予防を実現します。
防御にフォーカスしたアプローチ
脅威から事前に防御する従来のEPP(Endpoint Protection Platform)としての機能に加え、脅威分析、検知、対応までをカバーするEDR(Endpoint Detection and Response)の要素を取り入れました。
これによりEPP+EDR=EPR(Endopoint Prevention and Response)製品として、脅威に対するエンドポイントでの予防と迅速なレスポンスを1つの製品で実現します。
- 被害が出る可能性が大きい
- インシデント対応が増える
- 運用・管理者の負担が増える
- 被害が出る可能性が少ない
- インシデント対応が少ない
- 運用・管理者の負担が少ない
4つの機能
プリセットされた項目で潜在的な脅威を検知するだけでなく、CylancePROTECTで検知した脅威イベントの原因分析まで行います。
異常動作検知・自動対処
端末にインストールされたエージェントがリアルタイムにイベントを解析。不正な動作を検知し、自動的に防御します。
CylanceOPTICSの検知ルール
BlackBerry社の定めた検知ルールが組み込まれているため、複雑な設定をせずに使用できます。各ルールのOn/Offや検知時の挙動は管理者が設定可能です。管理者が対処しやすい視覚情報に変換
過去7日間のイベント数を表示します。同ページからイベントの詳細も確認可能です。
スレットハンティング
入手した脅威情報等に基づき社内PCの状況を確認。今まで見過ごしていた脅威の有無を調査することができます。
ファイル名やIPv4アドレスで、組織内に潜む脅威情報を検索
エンドポイントにおける特定イベントの有無をリアルタイムで検索可能です。
- ファイル:ファイル名、パス、ハッシュ値(MD5 / SHA256)
- ネットワーク接続:IPアドレス
- プロセス:プロセス名、パス、コマンドライン
- レジストリキー:パス、レジストリ名、レジストリの値 など
根本原因解析
発見したファイルがどのように操作されていたのか時系列で表示し、インシデントの根本原因となったきっかけを明白にします。
トリガーとなったプロセスから時系列でイベントを追跡
ファイルレス攻撃などの検知時に何がきっかけで発生したのかを把握できます。
Focus Dataで特定した情報からInstaQueryを用いてイベントを深堀り
インシデント発生端末が接続していたIPアドレスや実行していたコマンドを視覚化し、円滑な初動対応を支援します。
感染端末隔離
管理コンソールからリモートで端末をネットワーク隔離(最大96時間)。社内への拡散や外部との不審な通信をブロックします。
異常が見つかった端末をリモートでネットワーク遮断
管理コンソールからの操作で、任意の端末をネットワークから切断。脅威の拡散を最小限に留めます。
- 現地まで向かわなくても、管理者によるブラウザを介した迅速な対応を提供
- ロックダウン端末は、管理コンソールから出力される解除キーを直接入力することでのみ再開が可能
利用イメージ
脅威の侵入元を特定
- CylancePROTECTは、マルウェアの本体であるPEファイル(EXE、DLL)のみ検知します。
- CylanceOPTICSはマルウェアの本体をダウンロードしたトリガーやプロセスなどの原因を分析できます。
- 該当ファイルやプロセスを元に再検索することで、感染疑いのある他端末も確認できます。
潜在的な脅威の事前検知
- マルウェアは悪意のあるコードを実行する前に、事前準備を行います。
例:レジストリキーの変更・特定ポートの解放・自身の暗号化など - プリセットで定義された検知ルールを用いることで、感染前の活動も早期検知が可能です。
- 検知された端末では、エンドユーザにカスタマイズ可能なアラートを通知したり、強制的なログオフを実施して操作を止めることができます。
お問い合わせ・関連資料