FireEye
ファイア・アイ
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU
FireEye
ファイア・アイ

エンドポイントでのインシデント検知・解析・解決 「HXシリーズ」


HXシリーズは、エンドポイントで発生したインシデントを検知・解析・解決するエンドポイントセキュリティ製品です。NXシリーズ/EXシリーズの検知情報や、Mandiant(マンディアント)のインテリジェンス情報を元に、感染端末を特定し、隔離することが可能です。同時に他のエンドポイントの感染状況の確認も可能です。

感染端末、影響範囲の特定

  • NXシリーズ/EXシリーズの検知情報を元に、感染端末を特定。同時に同じ脅威を持つ端末も特定
  • Mandiantのインテリジェンス情報を使った潜在的な感染端末の検出
  • 3rdパーティ、独自IOC情報を使った潜在的な感染端末の検出

感染状況の確認、調査、隔離

  • 実端末にマルウェアが送り込まれたのか、感染したのか脅威進度をステータス表示
  • 端末エージェント側でプロセス起動、通信履歴、ファイルの作成、変更、削除などのアクティビティ履歴を自動的に収集。イベント発生時刻に遡って調査可能

どこにいても検知、調査、隔離が可能

  • 社内だけでなく、外出先、リモートサイトにある端末についても検知・調査・隔離が可能

エクスプロイトの検知

  • IOCによる端末の感染検知と並行して、一般的なアプリケーションのエクスプロイトの実行をエージェント単独で検知

管理端末の稼働状況や被害拡散状況を検索

  • 外部より入手したマルウェアファイル名、ハッシュ値のプロセス稼働の有無を調査
  • マルウェアや攻撃者の悪意ある行為をプロアクティブに検索
  • 全ての端末を対象とした被害の拡散状況の分析と追跡

動作イメージ

  • エージェントは常時端末上での動作・変更履歴を記録
  • 各機器(NX/EX)からのアラートをHXに送信
  • HXで各機器からのアラートを受信
  • HXでIndicators(IOC)を自動生成
  • IOCを全端末へ配信し、痕跡の有無を端末側(エージェント)で調査
  • 感染端末を特定し、さらに調査をすすめる調査ファイル(Triage Package)を生成・取得
  • HXから感染端末をネットワーク的な隔離を実行
動作イメージ

IOCの種類

動作イメージ
※IOC (Indicator of Compromise)とは
  • Mandiant社が提唱した、マルウェアなどに感染した端末上に、その存在や脅威の存在を示す痕跡を捜索・検知するための「定義」「規格」
  • IOCを生成出来る情報
    • ファイル名/フォルダパス
    • ファイル/フォルダパス
    • ファイルMD5ハッシュ
    • 起動プロセス
    • レジストリ
    • DNS
    • 外部通信ポート など