SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Cybereason】EDR & NGAV ポリシー 概略解説

セキュリティ
2023.03.30

❏Cybereasonのポリシーについて

今回は、EDRで注目されているCybereasonのポリシーについてご紹介したいと思います。日本ではEDR製品であるCybereasonの名前は有名なのですが、他社EDRと比較するとWeb等で得られる情報が少ない傾向にあります。そこでご興味がある方も多いのではないかと思い、Cybereasonのユーザーポリシーについてご紹介させて頂きます。

導入の検討材料や、技術的資料としてご一読ください。

センサー毎、グループ毎に設定できるポリシーとしては下記の項目があります。

  • アンチマルウェア
  • エクスプロイト防止
  • ファイルレス保護
  • 振る舞いベースの実行保護
  • アンチランサムウェア
  • アプリコントロール
  • エンドポイント制御
  • コレクション機能
  • エンドポイントのUI設定
  • インフラストラクチャーの設定

各項目について見ていきましょう。


❏アンチマルウェア(対象OS:MAC Linux WIN)

1.PNG

2.PNG

3.PNG

その名の通り、マルウェアを検知、防御する機能でNGAV機能の一部となります。

設定項目としては

  • ファイルスキャンを利用して既知のマルウェアを見つけ、実行防止、隔離、駆除する
    【シグネチャモード】
  • 悪意のあるコードを含むドキュメントを見つけ、実行防止、隔離する
    【振る舞いベースのドキュメント保護】
  • ファイルの内容やメタデータを悪意のあるファイルの既存モデルと比較しつつ、
    インテリジェント分析で未知のマルウェアを検知する
    【AI】

上記3種の設定で検知、防御設定を行う事が可能です。


❏エクスプロイト防止(対象OS:WIN)

4.PNG

エンドポイントに対する脆弱性を悪用する試みをブロックする機能となります。 既知の攻撃のパターンや攻撃テクニックから特定した、一般的な脆弱性の悪用を防止する様々なセキュリティ対策を適用します。

システム、及びプログラムレベルで対策が適用され、OS、プログラムなど様々な脆弱性をついた攻撃(エクスプロイト)の自動検知・防御を行うNGAV機能です。

【機能のON/OFF】と【防止モード(低と高)】のみのシンプルな設定となります。

 低:標準的なセキュリティベースラインを使用するデフォルト構成
 高:Cybereason のセキュリティベースラインを使用するより積極的な構成

検知を除外するプロセスも登録可能です。


❏ファイルレス保護(対象OS:WIN)

5.PNG

6.PNG

7.PNG

正規のプログラムを使用してエンドポイントへ感染を試みる
ファイルレスマルウェア攻撃を検知防御する設定となります。

ファイルレス保護モジュールとして .NET と AMSI を設定可能
この2つを設定しておくことで、PowerShell,.NET,JScriptとVBScript,Excel 4.0マクロを含む
Officeマクロ,Windows Management Instrumentation (WMI)  に対応することが可能です。


❏振る舞いベースの実行保護(対象OS:WIN)

8.PNG

振る舞いベースの実行保護は、プロセスの振る舞いに基づいて、プロセスの悪意のある実行を検知して実行を防止します。

アンチウイルスソフトでは困難だった、正規のソフトウェア機能の悪用を防止する機能です。リサーチデータをエンドポイント上で利用して、イメージ名、コマンドライン、イメージファイルのメタデータ、またはプロセス階層などから異常を検知します。
以前はEDR (Endpoint Detection and Response) でしか実現できませんでしたが、振る舞いベースの実行保護によって、検知をエンドポイントレベルで利用できるようになっています。


❏アンチランサムウェア(対象OS:WIN)

9.PNG

10.PNG

組織内のエンドポイント上にあるランサムウェアを検知、サスペンド、実行を防止します。
振る舞い検知手法と独自の検知手法を使用して、未知のランサムウェアを識別、ランサムウェアの疑いのあるファイルとプロセスを検査し、これらのファイルとプロセスがランサムウェアを実行しようとしているかを評価します。

カナリアファイルの設定も可能で、ファイルの配置場所を設定可能です。
カナリアファイルを有効にした後、何かのプロセスがカナリアファイルの暗号化を試みると、ランサムウェアのプロセスであることをCybereasonが即座に判断し、システムにダメージが発生する前にプロセスを自動的に実行を防止します。

その他、ランサムウェアが行う、シャドウコピーやMBRの設定変更などの検知してランサムウェアと判断する設定も可能です。


❏アプリコントロール(対象OS:WIN)

11.PNG

センサーのアプリケーションコントロールモードを設定します。
ON/OFFの設定のみとなります。

検知した脅威への対策として、ファイルの実行防止設定を行うことがありますが
その際にこちらの設定を有効にすることで、実行防止機能を有効にすることが可能です。


❏エンドポイント制御(対象OS: Linux WIN)

12.PNG

13.PNG

エンドポイント制御を管理し、セキュリティ体制を強化して組織の保護基準に準拠させます。

MDMなどが入っている場合は、そちらで行うことが出来る設定となります。
最低限のエンドポイント制御としてUSBマスストレージやモバイルメディアのアクセス制御設定を行います。

パーソナルファイアーウォール設定も可能で、内向き、外向き共に設定も可能です。


❏コレクション機能(対象OS: WIN)

14.PNG

15.PNG

コレクションとは、どのような情報を収集するかという設定を行うEDR設定の一部となります。

■ ディープパケットインスペクション(DPI)

例として以下が可能となります。

  • プロキシを介して接続しているドメインの可視化
  • Pass the Hash 攻撃の検知 

■非実行ファイルのメタデータコレクション

  • 実行ファイル(exe)では無いファイル(PPTやExcelファイルなど)の属性やファイルパス等のメタデータ収集

■ファイルイベントコレクション

  • ファイルの作成、名前変更、削除などのイベントを収集

■レジストリイベントコレクション

  • 指定したレジストリキーに関して、その作成、削除、変更イベントを収集

なお、実際のファイル自体の収集などを行うことは無く、ファイルパスやファイル属性、
ハッシュ値、署名などのメタ情報を収集します。


❏エンドポイントのUI設定

16.PNG

こちらは、エンドポイントユーザーに対しての通知設定となります。

PCのシステムアイコンにCybereasonのエージェントを表示させるかどうか。および、ランサムウェア保護機能やアンチマルウェア機能などの検知や実行防止、対処等の各種アラートをユーザーに通知するかどうかの設定を行います。


❏インフラストラクチャーの設定(対象OS: WIN)

17.PNG

こちらは、エンドポイントに配布したセンサーを保護する設定となります。

攻撃者、あるいはユーザーによってセンサーが無効化されてしまうことを防ぐために、センサーのプロセスを保護する機能となり、ON・OFFで設定可能です。


❏まとめ

いかがでしょうか。

設定項目はシンプルながら、グループ毎、ユーザー毎で割り振られるこれらの設定でNGAV,EDRとしての機能は十分に果たすことが出来ます。

今から、EDRを導入を検討するのであれば、やはりMDR(Managed Detection and Response)を一緒に導入し、実際の運用に合った形での設定や、運用などを相談しながら日々管理されることをおススメ致します。

他社EDRも含め、ご相談には是非SB C&Sの営業にお声かけください。

尚、本記事の内容はバージョン 21.2.293 の情報となります。日々バージョンアップされており、日々新しい機能も追加されておりますので情報が古くなっている可能性があることをご了承ください。

【コラム】EDRは本当に必要なのか。運用できるだろうか。

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部 1課
橋本 紗代子

関西の湖畔で動物たちと暮らしています。