FireEye
ファイア・アイ
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU
FireEye
ファイア・アイ

標的型攻撃の検知イベントに応じた運用方法

情報漏えいにつながる外部通信及び標的型攻撃を検知すると、FireEyeがアラートを発します。
その後の運用方法は、利用しているサービス、ネットワーク環境、運用形態等により異なります。

感染拡大を防ぐ運用例

運用例① コールバック通信が既に発生していた場合

感染端末と外部の悪意あるサーバ(C&Cサーバ)との通信が発生していた場合、既に情報が漏えいしている可能性があり、即座に対応しなければなりません。以下のいずれか方法により、このコールバック通信を遮断することができます。

上に戻る

運用例② 未知の脆弱性を突く攻撃を検知した場合

正規Webサイトを見たつもりでも、実際には悪質なサイトへのリダイレクトリンクが貼られており、自動的に悪性なサイトに遷移してしまうケースがあります。悪性なサイトではPDF,Javaなどの未知の脆弱性を突いた標的型攻撃が仕組まれ、感染に至ってしまいます。FireEyeでは、感染に至るまでの一連の経緯を把握することが可能であり、感染元を特定することができます。FireEyeで特定された不正なURLをProxyやURLフィルタに登録することで、二次感染の予防にもつながります。

上に戻る

運用例③ 感染イベント(実行ファイルをダウンロードしていること)が確認された場合

FireEyeで感染イベントを検知した際、マルウェア検体を抽出することが可能です。お客様がクライアント環境でご契約中のアンチウィルス(AV)ベンダーと連携すれば、感染端末からマルウェアを駆除することもできます。

上に戻る


Blue Coat ProxySGとの自動連携

FireEye側が検知した悪意のあるURL及びC&CサーバのURLをBlue Coat側のDeny Policy(禁止URL)として自動的に設定に反映させることが可能になりました。
対応バージョン:FireEye 6.2以降 及び  Blue Coat ProxySG 6.2以降(推奨)

FireEyeが検知した悪意あるURL情報がBlue Coat ProxySGにて自動的にブロックされた状況は、下記のように確認することができます。

Blue Coat Access Logging
 
Blue Coat Reporter