SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~適応型保護編~

セキュリティ
2022.09.29

はじめに

本記事ではSymantecのエンドポイントセキュリティ製品SES Completeに関する記事全3回の掲載を予定しております。
その他記事は以下リンクよりご確認ください。
【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~EDR編~

【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~Active Directoryの脅威保護編~

本記事⇒【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~適応型保護編~

Symantecのセキュリティ製品といえばまず何が思い浮かぶでしょうか。
おそらくエンドポイントセキュリティ製品で現在も幅広くご利用いただいているSEPではないかと思います。
現在でもSymantecは進化を続けており、SEPから後継製品であるSESと呼ばれる製品がリリースされております。以前から防御機能としてあるシグネチャベース、機械学習といった保護機能やIPSやパーソナルファイアウォールなどといった多層防御を実現しており、SESではEDRや最新の防御機能を提供しており進化を続けております。
SESにはSES EnterpriseとSES Completeの2種類ラインナップされており本記事ではSES Completeに搭載されている先進セキュリティ機能についてご紹介いたします。
 
 

SES Complete機能概要

SES Completeのイチ押し機能として以下3点あります。

・検出と対応(EDR)、脅威ハンティング
ユーザーが利用するクライアント端末やサーバーにおける不審な挙動を検知し、対応を支援する機能です。エンドポイント端末がサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。EPPが「マルウェアの侵入を防ぐ」ことを目的とするのに対し、EDRは「侵入を検知し、即座に対処できるようにする」ことを目的にしている点に違いがあります。

・Adaptive Protection(適応型保護)
Adaptive Protection(適応型保護)は、お客様のエンドポイント環境の振る舞いを一定期間学習し、MITERや脅威データベースとの相関分析を行います。分析によりお客様専用の黒判定ルールや白判定ルールを自動で作成します。複雑な操作は不要で適応型保護機能から提示されたルールを1クリックで有効化するだけでございます。

・Active Directoryの脅威保護
Active Directoryを常時セキュリティ監査し、囮を使うことで過剰検知なしで侵入を早期検知します。さらに侵入後もフォレンジック調査を自動的に実行し、検知したインシデントに対応します。標的型攻撃の大半がActive Directoryを悪用しており、これに対してSESCは、Detection(騙し、疑似餌)を配置することで脅威の水平移動、横展開を阻止し、クレデンシャル情報の搾取を防ぎます。

SESC.png

 

本記事では、「Adaptive Protection」についてご紹介いたします。その他SESの基本的なご紹介に関してはコチラの記事からご覧ください。

SEPとSESは何が違うの? SES(Symantec Endpoin Security)基本概要説明

 

Adaptive Protection(適応型保護)のご紹介

 サイバー攻撃の振る舞いを検知する機能は多くのセキュリティベンダーが搭載しております。主な検知手法はシグネチャによる定義ファイルによる検知や機械学習で検知する手法です。このような一般的な振る舞い検知では、正常なファイルや挙動を誤って攻撃と判定してしまうのを回避するために「黒」と判定したものだけをブロックする検知手法になります。
しかし、近年のサイバー攻撃にはWindowsの正規ツールなどのアプリケーションを利用してサイバー攻撃を実施するLiving Off The Land ( LOTL:環境寄生型/自給自足型 ) 攻撃というものが台頭しております。こういった「黒」と判定でき辛い「グレー」のふるまいに対してはEDRの検出でインシデント対応を行う事が一般的ですが、その場合はインシデント対応に追われお客様の負担を増大させてしまう事も起こります。

 こういった、LOTL攻撃やお客様の負担を軽減するためにSES CompleteではAdaptive Protection(適応型保護)というお客様の環境に適合した振る舞い検知、保護といった機能が提供されております。Adaptive Protectionはまず、SESがインストールされている端末のお客様環境の振る舞いを約90日間ほど学習を行い、MITERやSymantecの脅威データベースとの相関分析を行います。
これにより、お客様専用の環境で起こっている振る舞いの頻度に応じてルールをで作成します。
下記図にあるように振る舞いの発生頻度に対して色別にマーキングを行い、学習後に振る舞い許可、ブロックといったアクションを設定いたします。
adaptiveprotection2.png


また、本機能はEDRと連携しており、EDRのインシデントで検出した振る舞いをAdaptive Protectionによりボタンひとつで振る舞い隔離といった操作が可能となります。
EDRで検出した画面からの設定手順でございますが、EDRで検知したインシデントに対してアクションの設定からボタンひとつで振る舞いを隔離するといった操作で設定完了となります。

adaptiveprotection3.png

運用の一例をご紹介いたします。Adaptive Protectionを適用いただくと基本的にはクラウド管理コンソールのダッシュボードからマップをご確認いただきます。
縦軸にアプリケーション、横軸に振る舞いが記載があり特定アプリケーションの振る舞いに対してマッピングしているような表示となります。
学習後は、マッピングされた振る舞いを選択いただく事でアクションを設定できるので「許可」、「モニタ(ログのみ)」、「拒否(隔離)」といったアクションを設定します。

adaptiveprotection4.png

まとめ

いかがでしたでしょうか。
今回ご紹介したApdaptive Protectionのポイントはこちらです。Adaptive Protectionを利用する事で主に運用面で大きくメリットを見出せる機能だと思います。

・近年台頭しているLOTL攻撃に対して継続的な監視を実施
・EDRと連携し、インシデントの振る舞いに対しても防御することが可能
・GUIでボタンのみの操作

SESは従来から提供しているEPPの他、端末のログから人や機械学習での分析で未知の脅威を検出する脅威ハンティングとエンドポイントに必要なセキュリティ機能をオールインワンで提供しております。
本記事をご覧いただき、SESに興味もっていただいた方やご検討いただく方いらっしゃいましたら是非、一度弊社にお問い合わせください!

まとめ.png


 

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
宮尾 優一