脅威ハンティングツール「ThreatSonar」

サイバー攻撃には目的によって種類がいくつかありますが、その中でも情報資産を狙うようなサイバースパイの攻撃は特に高度化しており、既存のセキュリティ製品をすり抜けて潜伏し攻撃が行われます。既に潜伏した脅威を検知・検出することは既存のセキュリティツールだけだと難しく、検出するための手法の1つとして「脅威ハンティング」があります。「脅威ハンティング」は、収集したPCやネットワークのデータを、攻撃者の行動や良く使用するテクニックなどの知見によってふるいにかけ、そこから不審な痕跡を見つけ潜伏している脅威を検出する手法です。

ThreatSonarは「脅威ハンティング」を実施するための情報収集と、データ解析、脅威分析を行うためのプラットフォームです。Team T5社がインシデント対応の中で培ってきた最新の攻撃手法に関する高度な知見から作成されており、潜伏している脅威を検出するために最適化されています。そして、整理されたユーザインターフェースにより、解析結果の確認とそこから見つかった痕跡からの更なる調査が容易に実施可能です。

ThreatSonarの特徴

1. 軽量なスキャンツールと簡単に設置可能なサーバ
   • 軽量なスキャンツール
   • 1. スキャンツールはインストールが不要で、ユーザーモードで動作
     2. スキャンツールは30分程度のスキャン (お客様環境により異なる) を行い、PCのログオフで自動的に削除される
     3. スキャン時のCPU使用率の制限が可能
     4. 検出と調査情報の収集に特化し、ファイル削除・プロセス停止・通信遮断機能はないため端末への影響は軽微
   • 簡単に設置可能なサーバ
   • 1. ThreatSonarサーバは仮想アプライアンスで提供され、簡単に設置可能
     2. 様々なプラットフォームに対応（VMware、VirtualBox、Xen、AWSなど）
     3. 弊社のクラウドサーバのテナントを使用することも可能（サーバ設置不要）
2. 脅威ハンティングに使いやすい機能群
   • 独自の脅威インテリジェンスに基づく脅威モデリングの実装
   • プロセスメモリーのスキャン機能
   • プロセスファイルの書込みや実行時間のタイムライン機能
   • 統計的な外れ値の調査機能
3. 脅威ハンティングに必要な情報を様々な視点で調査可能なインターフェース
   独自のモデリングによる脅威レベルがファイルやイベント毎に表示され、それらが端末の脅威レベルとなるため調査の優先順位は容易に確認可能。また、収集した情報をファイル毎、ネットワーク情報、プロセスの書込み/実行の時間軸での情報など、様々な視点で確認することができ、それにより悪意のある操作の痕跡を詳細に調査することが可能

ユースケース

• 使用方法例
• 1. 感染被疑のある端末・機器の迅速な調査
  2. PC定期診断

• 使用範囲例
• 1. 全OA端末の定期診断
  2. 海外拠点やグループ会社のセキュリティ強化
  3. サーバなどの重要資産のセキュリティ強化
  4. エージェントがインストール出来ない制御端末などのセキュリティ強化

• スキャンツール対応OS

※マイクロソフトセキュリティ更新プログラムKB948963、KB968730が適用されていること