はじめに

本記事ではSymantecのエンドポイントセキュリティ製品SES Completeに関する記事全3回の掲載を予定しております。
その他記事は以下リンクよりご確認ください。

本記事⇒【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～EDR編～

【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～Active Directoryの脅威保護編～

【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～適応型保護編～

Symantecのセキュリティ製品といえばまず何が思い浮かぶでしょうか。
おそらくエンドポイントセキュリティ製品で現在も幅広くご利用いただいているSEPではないかと思います。
現在でもSymantecは進化を続けており、SEPから後継製品であるSESと呼ばれる製品がリリースされております。以前から防御機能としてあるシグネチャベース、機械学習といった保護機能やIPSやパーソナルファイアウォールなどといった多層防御を実現しており、SESではEDRや最新の防御機能を提供しており進化を続けております。
SESにはSES EnterpriseとSES Completeの2種類ラインナップされており本記事ではSES Completeに搭載されている先進セキュリティ機能についてご紹介いたします。
　
　

SES Complete機能概要

SES Completeのイチ押し機能として以下3点あります。

・検出と対応（EDR）、脅威ハンティング
ユーザーが利用するクライアント端末やサーバーにおける不審な挙動を検知し、対応を支援する機能です。エンドポイント端末がサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。EPPが「マルウェアの侵入を防ぐ」ことを目的とするのに対し、EDRは「侵入を検知し、即座に対処できるようにする」ことを目的にしている点に違いがあります。

・Adaptive Protection(適応型保護）
Adaptive Protection（適応型保護）は、お客様のエンドポイント環境の振る舞いを一定期間学習し、MITERや脅威データベースとの相関分析を行います。分析によりお客様専用の黒判定ルールや白判定ルールを自動で作成します。複雑な操作は不要で適応型保護機能から提示されたルールを1クリックで有効化するだけでございます。

・Active Directoryの脅威保護
Active Directoryを常時セキュリティ監査し、囮を使うことで過剰検知なしで侵入を早期検知します。さらに侵入後もフォレンジック調査を自動的に実行し、検知したインシデントに対応します。標的型攻撃の大半がActive Directoryを悪用しており、これに対してSESCは、Detection（騙し、疑似餌）を配置することで脅威の水平移動、横展開を阻止し、クレデンシャル情報の搾取を防ぎます。

　

本記事では、「検出と対応（EDR）、脅威ハンティング」についてご紹介いたします。その他SESの基本的なご紹介に関しては以前の記事からご覧ください。

SEPとSESは何が違うの？　SES(Symantec Endpoin Security)基本概要説明

　

検出と対応（EDR）、脅威ハンティングのご紹介

クライアント内への侵入や感染後の対応として感染プロセスの発見、ウィルスの検出やその後の隔離や防御、感染した端末の特定や分析、感染端末や全体の復旧まで補うのがEDRの主な機能です。
SymantecのSESにもEDR機能が搭載されて、各特徴を紹介いたします。

　
・リアルタイム分析とインシデントの提供
検出の部分にあたる機能ですが、クラウド分析が前提となりEDRのインシデント画面は全てクラウド管理コンソールに表示されます。分析結果としてインシデント概要と推奨処理はもちろん、インシデントの可視化として端末とファイル間の関係とプロセスの推移を記したプロセスツリーをインシデント画面から確認いただけます。

インシデント概要の画面となります。

インシデント可視化のクライアント端末とファイル間の関係です。こちらで端末で実行されたファイルや実行推移をグラフィカルに確認ができます。

実行プロセスの推移を示したインシデントのプロセスツリーです。プロセスを選択するとプロセス情報が表示されインシデントの分析を行います。

　

　

・充実した対応機能
EDRは、検出と"対応"を含めて機能を提供しておりますがSESでは豊富な対応機能を搭載しております。
インシデントの分析完了時の初動対応としてまず行う端末の隔離、ファイルの隔離はもちろん、固有機能として振る舞いの隔離といった事が可能です。
こちらは、SESCの機能であるお客様環境の振る舞いを一定期間学習しMITRE ATT&CKに基づき分析、悪しき挙動を隔離するAdaptive Protecionと連携して利用します。
Adaptive Protectionについては別の記事でご紹介いたしますのでそちらも是非ご覧ください！

下記図では、振る舞いの隔離のピクチャ画面となります。

また、下記例としてデバイス隔離の画面操作となりますが隔離画面もGUIでシンプルな操作が可能となります。

他にもクラウドを経由してPowershellへアクセスする事もできる為、リモート上で該当端末を操作して分析する事も可能です。

　

　

・単一コンソール、単一エージェントで提供
Symantecは従来から防御機能としたEPPとしてエンドポイントセキュリティ製品を提供しているため、SESCでは従来のEPPの防御機能と今回ご紹介したEDRの検出と対応機能をクラウド上の単一管理コンソールで提供されます。
クラウドコンソールのダッシュボード画面となりますが、こちらでSESの提供する全機能が提供されます。

クライアント端末にインストールするエージェントですが、こちらも単一のエージェントで利用が可能となりクライアント上の運用ではこれまでのSEPとほぼ変わらず利用できます。

まとめ

いかがでしたでしょうか。今回はEDRにフォーカスしてご紹介いたしました。SymantecのエンドポイントセキュリティであるSESではEDRの他に概要でご紹介したTDADの脅威保護や、適応型の振る舞い保護等を提供しております。そのほか従来から提供しているEPPの他に端末のログから人、機械学習での分析で未知の脅威を検出する脅威ハンティングとエンドポイントに必要なセキュリティ機能をオールインワンで提供しております。
SESが気になった方やご検討される方いらっしゃいましたら是非、一度弊社にお問い合わせください！