Symantec

シマンテック
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Symantec

シマンテック

Symantec ATP:Endpoint

Symantec ATP:Endpoint

SEPエージェントを活用したEDR「ATP:Endpoint」

ATP:EndpointはSEPエージェントを活用することで、EDR用に追加のエージェントを必要とせずにエンドポイントでの「事後対応(初期対処・調査分析)」と「高度な脅威の検知」を実現するシマンテックのEDR(Endpoint Detection and Response)製品です。

ATP:Endpointを活用することで、以下のような対応を実現することができます。

  • 感染端末の迅速かつ柔軟なネットワーク隔離
  • 検索機能による迅速な感染範囲の特定、疑わしいファイルの削除
  • 端末動作の常時ログ記録と、ログを活用したインシデント調査
  • 物理環境を備えたクラウドサンドボックス機能による、疑わしいファイルの解析
  • 高度なスクリプトベースの攻撃検知

ATP:Endpointのカバー範囲

SEPとATP:Endpointを組み合わせることで、1エージェントでエンドポイントセキュリティの理想形を実現できる「All-in-One EDR」を実現できます。その中で、ATP:Endpointは「対応する」「気づく」の部分をカバーします。

エンドポイントセキュリティの理想形

ATP:Endpoint動作イメージ

ATP:Endpointは、SEPエージェントとそれを管理するSEP Managerと連携して動作します。ATP管理コンソール上で実行された端末隔離やファイル実行禁止といった命令は、SEP Mangaerを経由してSEPエージェントがインストールされた端末へ命令されます。

一方で、端末アクティビティログの送信や、各端末へのファイル検索といった処理は、ATP:EndpointとSEPエージェント間で直接実行されます。

※ATP:Endpointは別途アプライアンス(仮想or物理)を立てる必要があります。

お客様環境に合わせた柔軟な端末隔離

ATP:Endpointを利用することで、非常に柔軟な端末隔離を実現できます。SEPのファイアウォール機能を活用するため、端末隔離時にどのような状態とするか?を任意に設定することができ、感染の拡大防止と調査効率化や操作ログの断絶回避を両立できます。

また、端末隔離以外にもファイル削除・ファイル実行禁止といった機能で初期対処を行うことができます。

フライトデータレコーダー&クラウドサンドボックスによる詳細調査

フライトデータレコーダーによる端末アクティビティログの収集、クラウドサンドボックス(Cynic)による疑わしいファイルの解析によって、発生したインシデントの詳細調査を行うことが可能です。クラウドサンドボックス(Cynic)では、仮想環境だけでなく物理環境も備えているため、仮想環境を検出することでサンドボックス環境を回避するようなマルウェアも解析可能です。

フライトデータレコーダーによるログ記録と検索

エンドポイント端末で行われたアクティビティの常時記録と
Elastic Searchをベースにした迅速な検索が可能

クラウドサンドボックス(Cynic)

疑わしいファイルの動作をステップごとに表示し、重要度を分析
また、その結果を総合してファイルの最終評価を決定

PowerShell Detectionによる不正コマンドの検知

アンチウイルス機能をすり抜けるような高度な脅威によって実行される、疑わしいPowerShellスクリプトをATP:EndpointのPowerShell Detection機能によって検知することができます。

不審なPowerShell実行を検知することで、高度なファイルレス攻撃に対応