McAfee

マカフィー
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

McAfee

マカフィー

McAfee Dynamic Endpoint

McAfee Dynamic Endpoint ~エンドポイント上での未知の脅威対策~

マカフィーエンドポイントソリューション概要

マカフィーの「脅威対策ライフサイクル」という考え方に基づき、エンドポイントでセキュリティのPDCA「Protect(防御) - Detect(検知) - Correct(修復) - Adapt(適応)」を実現いたします。「脅威対策ライフサイクル」を機能させることにより、「Protect(防御)力」を脅威情報共有(TIE)により高め、仮に防御しきれなくても、迅速にReal Protectで「Detect(検知)」し、且つMARで「Correct(修復)」することが可能になります。

さらにProtect-Detect-Correctを行う過程で得られた知見を「Adapt(適応)」させることで、攻撃を受けるたび、脅威を発見するたびに、仕組みを強固にしていくことにつながります。

次世代エンドポイントセキュリティの重要性

NW上のセキュリティ運用における負荷

  • NW上で怪しい挙動を見つける
    • 無数にある侵入経路(海外拠点、関連会社等)を狙ってくるので、どの端末まで感染が広がっているかの特定
    • 端末内の感染範囲の特定
    • 原因の特定が非常に複雑(対応時間:約1日 or 都度対応)
  • C2サーバへのアクセス先を特定するためにProxy等のログを確認
  • 原因がある程度判明した段階でユーザー端末をクリーンインストール
  • 代替PCを用意し、利用をしていた以前の状態に復旧する作業の実施(ユーザー作業)
    • 業務の停止時間が長い(対抗時間:約1~2日)

サイバー攻撃の高度化、巧妙化

  • アンチサンドボックス、SSL通信を利用する等NWをすり抜ける技術
  • USBをはじめとするNWを経由しないマルウェア感染
  • Power Shellを利用したマルウェアレスの攻撃
エンドポイントを最後の砦とし、未知の脅威検出と対処に備える事が必要

次世代エンドポイントプロテクション 製品コンセプト(ENS)

利便性を損なわない統合型のエンドポイントセキュリティ
矢印
単一モジュールで利用したい機能をON/OFFするだけ

McAfee Dynamic Endpont機能ラインナップ

  • McAfee Endpoint Threat Protection
  • McAfee Threat Intelligence Exchange
  • McAfee Dynamic Application Containment
  • McAfee Real Protect
  • McAfee Active Response

スイート製品ラインナップ

  エンドポイント スイート アドオン スイート
  Endpoint Threat Protection[ETP] Complete Endpoint Threat Protection[CTP] Endpoint Threat Defense[ETD] Endpoint Threat Defense and Response[EDR]
ePolicy Orchestrator
  • 集中管理
Endpoint Security 10.x
(Windows / Linux / Mac)
  • マルウェア対策
  • ホストIPS
  • デスクトップファイアウォール、アクセス制御
  • Web評価/フィルタリング
  • デバイス制御
   
Security for Email Servers
  • グループウェア向けウイルス/スパムメール対策
   
Application Control for Desktop
  • ホワイトリスト型マルウェア対策
     
Dynamic Application Containment
 
Real Protect
 
Threat Intelligence Exchange
   
McAfee Active Response
     

※McAfee Endpoint Protection Essential for SMB (TSH)では、ePOオンプレミスをご利用の場合のみ追加できます

エンドポイント機能紹介

ENS標準機能

アンチウィルス
Firewall

Firewall

ホスト型ファイアウォール機能

Threat Prevention

Threat Prevention

ブラックリストベースのアンチ・マルウェア機能
旧バージョンと比較してパフォーマンス50% UP! DATサイズ40% DOWN!

Web Control

Web Control

URLレピュテーションベースのWebアクセス保護機能

追加機能

次世代アンチウィルス
Firewall

Threat Intelligence Exchange(TIE)

ファイルレピュテーションベースの脅威判定と脅威情報の共有・活用機能

Threat Prevention

Real Protect

機械学習を利用したアンチ・マルウェア機能

Web Control

Dynamic Application Containment (DAC)

未知のマルウェアの動作を制限するアンチ・マルウェア機能

EDR
Web Control

Active Response(MAR)

インシデントレスポンスを効率化する検出・監視・対応機能

アンチウイルス
McAfee Endpoint Threat Protection (ETP)

従来のVirus Scan Enterprise(VSE)がEndpoint Security Threat Preventionとして生まれ変わり、よりパワーアップしてマルウェア対策機能を提供いたします。デスクトップ・ファイアウォール、URLフィルタリングの機能も強化されております。

次世代アンチウイルス
McAfee Threat Intelligence Exchange(TIE)

脅威判定と脅威情報の共有・活用機能

ルールベースの脅威判定

  • TIEは50個以上の独自ルールによってファイルをレピュテーション
  • 信頼性が高いファイルはプロセスの実行を許可し、信頼性が不明なファイルはReal Protect以降の機能で判定
  • 環境に応じてカスタマイズが可能

脅威情報の共有・活用

製品間での脅威情報を共有することで未知の脅威の早期発見と封じ込めを実現

次世代アンチウイルス
Real Protect

機械学習を利用したアンチ・マルウェア機能

機械学習による静的解析(Real Protect Static)

  • チェック項目
    1. ファイルタイプ
    2. インポートハッシュ
    3. エントリーポイント
    4. リソース
    5. 文字列
    6. パッカーやコンパイルの詳細
    7. コンパイル時間
    8. API
    9. セクション名 など

機械学習による動的解析(Real Protect Cloud)

  • 実行後のファイルの振る舞いをベースに、機械学習を用いてファイルをレピュテーション
  • 振る舞いの特徴とメモリ解析
    1. シーケンス
    2. プロセスツリー
    3. ファイルシステム
    4. レジストリイベント
    5. ネットワーク通信イベント
    6. ミューテックス
    7. メモリの文字列など
  • ユニークなコンピュータ識別子を生成
  • AppDataフォルダに移動し、再起動後も残存
  • シャドウコピー、スタートアップ修復、Windowsエラー復旧の動作停止
  • Windowsセキュリティ センター、ディフェンダー、アップデートサービス、エラー報告、およびBITSを停止
  • exporer.exeやsvhost.exeにインジェクション
  • 外部IPアドレスにアクセス

次世代アンチウイルス
Dynamic Application Containment

  • 動作制限機能により脅威を封じ込め
    1. 静的なファイルのレピュテーションでは信頼性も脅威も判定しきれなかったファイルが対象
    2. ファイルの実行は可能だが、DACのルールで禁止されている危険な動作はできないため、システムに影響を与えることはほぼ不可能

DACによる動作制限の例

  • 対象となるファイルに対してDACが行う制限(一部抜粋)
    1. ランサムウェアの特徴的な動作
    2. NWや外部媒体を使った拡散
    3. 他のプロセスに対する不正なアクセス(インジェクション等)
    4. Windowsシステムに対する変更
    5. 別の実行可能な形式のファイルの作成(ダウンローダー、ドロッパーの動作)
  • これらを禁止することで、ゼロデイマルウェアの危険な活動をリアルタイムブロック

EDR
Active Response

端末の潜在脅威の検出と対処を一元的に行うための仕組みを提供

潜在脅威の検出と復旧まで自動化するための仕組み

エンドポイントで活動中・未活動のマルウェアを検出し、封じ込める