はじめに

本記事ではSymantecのエンドポイントセキュリティ製品SES Completeに関する記事全3回の掲載を予定しております。
その他記事は以下リンクよりご確認ください。
【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～EDR編～

本記事⇒【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～Active Directoryの脅威保護編～

【Symantec】Symantecエンドポイントセキュリティ（SES）イチ押し機能のご紹介～適応型保護編～

Symantecのセキュリティ製品といえばまず何が思い浮かぶでしょうか。
おそらくエンドポイントセキュリティ製品で現在も幅広くご利用いただいているSEPではないかと思います。
現在でもSymantecは進化を続けており、SEPから後継製品であるSESと呼ばれる製品がリリースされております。以前から防御機能としてあるシグネチャベース、機械学習といった保護機能やIPSやパーソナルファイアウォールなどといった多層防御を実現しており、SESではEDRや最新の防御機能を提供しており進化を続けております。
SESにはSES EnterpriseとSES Completeの2種類ラインナップされており本記事ではSES Completeに搭載されている先進セキュリティ機能についてご紹介いたします。
　
　

SES Complete機能概要

SES Completeのイチ押し機能として以下3点あります。

・検出と対応（EDR）、脅威ハンティング
ユーザーが利用するクライアント端末やサーバーにおける不審な挙動を検知し、対応を支援する機能です。エンドポイント端末がサイバー攻撃を受けることを前提に、マルウェアの検知や除去などの初動対処をスムーズに行い、被害を最小限に抑えることを目的としています。EPPが「マルウェアの侵入を防ぐ」ことを目的とするのに対し、EDRは「侵入を検知し、即座に対処できるようにする」ことを目的にしている点に違いがあります。

・Adaptive Protection(適応型保護）
Adaptive Protection（適応型保護）は、お客様のエンドポイント環境の振る舞いを一定期間学習し、MITERや脅威データベースとの相関分析を行います。分析によりお客様専用の黒判定ルールや白判定ルールを自動で作成します。複雑な操作は不要で適応型保護機能から提示されたルールを1クリックで有効化するだけでございます。

・Active Directoryの脅威保護
Active Directoryを常時セキュリティ監査し、囮を使うことで過剰検知なしで侵入を早期検知します。さらに侵入後もフォレンジック調査を自動的に実行し、検知したインシデントに対応します。標的型攻撃の大半がActive Directoryを悪用しており、これに対してSESCは、Detection（騙し、疑似餌）を配置することで脅威の水平移動、横展開を阻止し、クレデンシャル情報の搾取を防ぎます。

　

本記事では、「Active Directoryの脅威保護」についてご紹介いたします。その他SESの基本的なご紹介に関しては以前の記事からご覧ください。

SEPとSESは何が違うの？　SES(Symantec Endpoin Security)基本概要説明

　
　

Active Directoryの脅威保護のご紹介

Active Directoryはユーザー情報やPC情報等企業の環境情報を管理しているため標的型攻撃の際に、必ずと言っていいほど攻撃対象、攻撃経路とされるサーバーになります。
また、Active Directoryには企業のシステム全てにおいて操作可能な権限を持っている特権ユーザーも存在するため、もし攻撃を受けた場合はシステム内をラテラルムーブメントで展開、攻撃範囲がさらに拡大されます。

SESが提供するActive Directoryの攻撃に対する脅威保護として、Active Direcotry内に保有しているクレデンシャル情報の囮をばらまきActive Directory内の偵察を難読化する機能が搭載されています。これにより攻撃者が侵入し特権ユーザーを偵察する次点での侵入を阻止、システム内のドメイン管理の支配を阻止するため攻撃の早期検知が可能となります。
SESのクラウド管理コンソールでポリシーを設定いただき、エージェントをインストールいただく事で利用することが可能なのでクライアント内で何かプロセスを実行したりや特別にリソースを消費するといった事はございません！！

　

SESの管理コンソール上の手順を一部ご紹介いたします。下記の手順はADとSESの連携手順です。連携が完了すると、
クライアント内でインストールされているSESをゲートウェイとして、ADとSymantecのクラウド間で情報の通信を行います。

デバイスにポリシーをActive Directoryの脅威保護に関するポリシーを割り当てていただくと本機能がご利用できます。

機能を適用いただくと、ADのクレデンシャル情報の囮情報が表示されます。下記画像ではWindowsのPowerShellでADのユーザー情報を出力している画面です。
比較してみると、明らかに囮のユーザー情報が多く表示されていることが分かります。囮の単語についても管理コンソール上で操作できるため柔軟な設定が可能となります。本画像では比較対象として分かりやすく、「test」という単語を含めるよう設定しております。
もし、攻撃者が環境に侵入しAD内の情報を利用し侵入しようと試みた際は管理コンソール上でインシデント表示いたします。

まとめ

いかがでしたでしょうか。Active Directoryではお客様の環境ではまず導入されているシステムかと思います。SESにはマルウェアや侵入防御、EDRといったエンドポイントセキュリティ製品には搭載されている機能の他に、Active Directoryの特化したラテラルムーブメントを防止するような防御機能もございます。

SESは従来から提供しているEPPの他、端末のログから人や機械学習での分析で未知の脅威を検出する脅威ハンティングとエンドポイントに必要なセキュリティ機能をオールインワンで提供しております。
本記事をご覧いただき、SESに興味もっていただいた方やご検討いただく方いらっしゃいましたら是非、一度弊社にお問い合わせください！