❏Sophos Intercept Xで簡単にEDRをはじめたい

先日「Sophos XGシリーズ＋Intercept Xで簡単にVPN経由の自動監視が可能」という記事をご紹介したところ、簡単ならSophosのIntercept Xを利用してみたいというお声を頂き第二弾企画「Sophos Intercept Xで今すぐ始められるEDR」をご紹介させて頂きます。

前回の記事ではSophos Firewall(UTM機器)とSophos Central(クラウドコントローラー)を連携することで、Sophos Intercept Xがインストールされた端末をより強固にコントロールできる部分をご案内しましたが、今回はSophos Firewall不要！Sophos Intercept XとSophos Centralのみで今すぐ始められる簡単EDRをご紹介します。

そして今回ご案内するSophos Intercept XとSophos Centralは無償評価版をSophos公式サイトからダウンロードすることが可能です。本記事のステップ②インストール編では詳しくDLやインストール方法を案内していきますので記事を読み進めるだけで、Sophos Intercept Xを理解し、インストール・セットアップ・動作検証まで行えます！ぜひ最後まで一緒に検証してみてくださいね。

❏Sophos Intercept Xの新ライセンス(2021/7~)

Sophos Intercept Xは2021年7月1日から新しいライセンスが登場し、新ライセンス形態となります。

現在Sophos Intercept Xのライセンスをご利用頂いているパートナー様につきましては、ライセンス移行の対象となる場合には個別にご案内メールが届きますのでご安心ください。大きな変更点として以下となります。

• 「Intercept X Advanced EDR(CIXAEDR)」が「Intercept X Advanced with XDR(CIXAXDR)」へ統合
• 「Central Endpoint Protection(CEP)」が廃止、新たにCentral Intercept X Essentials(CIXE)」がリリース

■「Intercept X Advanced EDR(CIXAEDR)」が「Intercept X Advanced with XDR(CIXAXDR)」へ統合

現在「Intercept X Advanced EDR(CIXAEDR)」と「Intercept X Advanced with XDR(CIXAXDR)」の二つのIntercept Xをフル活用したライセンスがありますが、こちらが今後「Intercept X Advanced with XDR(CIXAXDR)」に統合されます。そのため本資料ではEDRを活用するメリットのご案内は「Intercept X Advanced with XDR(CIXAXDR)」を利用することを前提としご案内させて頂きます。

■「Central Endpoint Protection(CEP)」が廃止、新たにCentral Intercept X Essentials(CIXE)」がリリース

既存のSophos CentralとIntercept Xの最小機能ライセンス「Central Endpoint Protection(CEP)」が無くなり、「Central Intercept X Essentials(CIXE)」へと変更となります。同ライセンスのServer対応バージョンにあたる「Central Server Protection(CSP)」につきましても、同様に「Central Intercept X Essentials for Server」へと移行となります。

----

詳細はこちらに記載が御座いますが、注意事項として既存の最小規模ライセンス「Central Endpoint Protection(CEP)」に含まれていた機能と新最小規模ライセンス「Central Intercept X Essentials(CIXE)」では含まれる機能が異なります。Intercept X Essentials(CIXE)　は対応できる範囲が狭くなっていることをご注意ください。

そのためSophos Intercept XとSophos Centralを柔軟に使いたい場合や、今後Sophos Firewallと連携しセキュリティを強化していきたい場合には「Intercept X Advanced with XDR(CIXAXDR)」または「Intercept X Advanced(CIXA)」での導入をお勧めしております。

では新ライセンスの機能比較を確認していきましょう。

このようにアンチウイルス関連の機能やゼロトラストとして機能する次世代型プロテクション機能を利用するためには「Intercept X Advanced with XDR(CIXAXDR)」または「Intercept X Advanced(CIXA)」をおすすめしております。

■機能紹介：根本原因解析（RCA）

「Intercept X Advanced with XDR(CIXAXDR)」または「Intercept X Advanced(CIXA)」で利用可能な特徴的な機能のひとつとして根本原因解析（RCA）があげられます。攻撃の根本的な原因をグラフィック表示することで、以下の情報を分かりやすく読み取ること可能となります。

• 検出したイベント（脅威名称・関連ファイル情報・発生日時・ユーザー情報・感染元）
• 根本的な原因箇所のマーク
• 影響の種別（接続した・書き込んだ等）を矢印の方向で説明
• 因子を色でファイル・プロセス・レジストリ・ネットワークを区別することで分かりやすく可視化

❏Intercept X Advanced with XDRのメリット

「Intercept X Advanced with XDR(CIXAXDR)」を利用することで以下の機能が解放されることがポイントです。

• 【脅威ハンティング】　ディープラーニングによるファイル分析
• 【ITオペレーション】　SophosLabs インテリジェンス・データベースを利用した新しい脅威調査および対応機能

これによりディープラーニングを利用したより強固な脅威保護と、攻撃を受けた場合にセキュリティ専門チームであるSophos Labsによるセキュリティインシデントの対応支援など充実した専門チームからの支援が可能となります。脅威分析まで時間をかけてするのは難しい場合には是非取り入れていきたいですね。

■機能紹介：ディープラーニング

Intercept X Advanced with XDRでは非常にすぐれたAIを採用しています。

2017年に買収した米invincea社の技術を統合したAIベースでのディープラーニングを採用しています。 アメリカの国防高等研究画局のプロジェクトに参画した技術者により開発された技術エンジンや50万以上のサンプルをよみこんだ特許を持ったAI技術、性能面でも誤検知が最も少なくパフォーマンスが優秀であることを第三機関テストで証明して見せました。Intercept X Advanced with XDRではミリ秒単位で高度な驚異でも識別することが可能です。 さらにソフォスのディープラーニングアーキテクチャでは高度な圧縮を実現することで少ないコンピューター処理と容量で実現が可能となりました。

■機能紹介：SophosLabs インテリジェンス

セキュリティインシデントが発生した際に「SophosLabs」がIT管理者のリソースを増やすことなくより迅速・正確・分かりやすくセキュリティインシデント対応を支援します。

Sophos Labsでは以下の機能を提供します。特徴的な部分として脅威対応/分析だけでなく、脅威分析や対応の自動化を行うことでより迅速に管理者へのレスポンスを行うことが可能です。

• 自動化：脅威分析の対応と自動化 / 指数関数的にスケールするLabs
• 脅威対応：事象に対するリアルタイム対応 / 24時間365日のオペレーション(英語対応)＊＊
• 脅威分析：30年の経験に基づく分析 / 応用可能なソリューション創造
• 品質管理：リソースの効率性と品質の維持 / リスクマネジメントの徹底

　　＊＊脅威対応にはManaged Threat Defenseサービスが必要となります。

【AI分析と自動化によって行われたセキュリティ分析・対応方法（日本語対応可）】

第一回では「Intercept X」の機能やライセンス形態についてご紹介しました。第二回ではさっそく「Intercept X Advanced with XDR」を導入していきましょう！