• 検索結果がありません。

機能紹介:コンテキスト分析エンジン

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "機能紹介:コンテキスト分析エンジン"

Copied!
5
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 5 ページ )

全文

(1)

機能紹介:

コンテキスト分析エンジン

CylanceOPTICS™ による動的な脅威検知と

自動的な対応アクション

(2)

2

コンテキスト分析エンジン - 機能紹介

図 1: CylanceOPTICS の「Detection Environment」オンボーディングページ

すばやく脅威を検知して対応できるかどうか――それにより、些細なセキュリティ侵害で済むのか、トップニュースで報じられる重大な侵害に まで発展するのかが決まります。残念ながら、現在市場に出回っているセキュリティ製品の多くは、迅速に脅威を検出して対応できると うたってはいるものの、そのインフラストラクチャでは、遅延や誤検知、全社規模の可視化における制限などの問題が発生しがちです。 これらの問題を解決するため、Cylance®(以下、サイランス)は、脅威の検知と対応に役立つ新しいアプローチとして、両方の処理をエンド ポイントレベルで行う「コンテキスト分析エンジン」を開発しました。このエンジンによって、組織内のエンドポイントが、人の手を煩わせず に 24 時間体制で動的に脅威を検知して対応アクションを実行できる、独自のセキュリティ管理センターの役割を果たすようになります。その 結果、セキュリティチームは、CylanceOPTICS のコンテキスト分析エンジンにエンドポイントとビジネスのセキュリティを安心して任せられる ので、高度な脅威の調査や、セキュリティインフラストラクチャの全体的な改善といった、ビジネス上重要なプロジェクトに集中できる ようになるでしょう。

コンテキスト分析エンジンとは

CylanceOPTICS のコンテキスト分析エンジン(CAE)は、高性能な分析・相関エンジンであり、エンドポイントでのイベントを監視して イベントの発生をほぼリアルタイムで検知し、悪意のあるまたは疑わしいアクティビティを特定します。エンジンをエンドポイントに展開 すると、クラウドへの接続に依存する(つまり、クラウドへの接続を必要とする)ことなく、24 時間 365 日監視が行われます。CAE のアーキ テクチャは、インテリジェントな意思決定を行ううえで有効なネットワーク接続を必要としないため、パフォーマンスに影響が及ぶリスクを抑え ながら複数の疑わしい侵入経路を継続的に監視できます。 CAE が悪意のあるアクティビティのリスクを発見した場合に、関連付けられた対象のアーティファクトに対して自動化されたアクションが人の 手を煩わせずに実施されるよう設定できます。それらのアクションはエンドポイント上で実施され、クラウドへの接続が不要なので、他の クラウドから脅威の検知と対応を行う製品に生じがちな遅延を抑えられます。 CAE の機能と構成を確認するには、サイランスが提供するクラウドベースの管理コンソールの「Detections」タブにアクセスします。 「Detections」ダッシュボードでは、ユーザーは環境で発生しているイベントのトレンドをすばやく把握して確認できます。このダッシュボード から、ユーザーは該当のイベントを調査したり、それぞれのイベントに対応したりできます。1 つまたは複数のデバイスポリシーに適用できる 検知ルールセットを作成することで、CAE を多くの環境に適合するよう容易に構成できます。 統合された操作環境を提供するため、コンソールの新しい「Detections」セクションは、他の CylanceOPTICS 機能を統合して設計されて います。追加のフォーカスビューを作成したり、ファイルの取得機能を使用して気になるファイルを取得したり、デバイスのロックダウンを 実 施して 感 染 が 疑 わ れるエンドポイントをネットワー クから隔 離したりすることで、CAE によって 特 定 され たイベ ントと アーティファクトから拡張できます。 注:CylanceOPTICS のコンテキスト分析エンジンと対応策を使用するには、CylanceOPTICS 2.1.1000 またはそれ以上がインストールされ ている必要があります。

コンテキスト分析エンジンの構成

デフォルトでは、CylanceOPTICS のコンテキスト分析エンジンの「Rules」や「Response Actions」は構成されていません。そのため、

ユーザーが最初に Cylance 管理コンソールの CylanceOPTICS セクションにアクセスすると、「DetectionEnvironment」オンボーディング

(3)

オンボーディングページには、次のような現在構成されている CAE の設定の概要が表示されます。

• CylanceOPTICS バージョン 2.1.1000 またはそれ以上がインストールされているデバイスの数

• 構成済みの検知ルールセットの数

• 検知ルールセットが選択されているデバイスポリシーの数

注:コンテキスト分析エンジンの「Detections」を有効にするための最小要件を満たすと、オンボーディングページがデフォルトで表示される ことはなくなります。オンボーディングページには、「Settings」スライダをクリックして「DetectionEnvironment」オプションを選択 すれば、いつでもアクセスできます。

検知ルールセットの構成

オンボーディングページの中央のボックスには、テナントに存在する検知ルールセットの数が表示されます。検知ルールセットの構成は コンテキスト分析エンジンの中心であり、エンドポイントに適用する検知ルール、対応アクション、エンドポイント通知などを決定します。 最終的に検知ルールセットはデバイスポリシーベースでエンドポイントに適用されます。つまり、ユーザーが検知ルールセットを選択して デバイスポリシーに適用します。エンドポイントは、ポリシーが適用されたときに目的の検知ルールセットを自動的に受け取ります。 CylanceOPTICS には、次の属性を持つデフォルトの検知ルールセットが含まれます。

• すべてのツールが有効

• すべてのアクションが無効

• すべてのエンドポイント通知が無効

この構成は、テストおよび初期導入を目的として、「チューニング」または「監視のみ」のモードで機能するよう設計されています。ユーザーは 誤検知をトリガする可能性のある環境領域を把握できるため、必要に応じて自動アクションを調整できます。 カスタムの検知ルールセットを作成するには、「Settings」スライダに移動して「DetectionRuleSets」オプションを選択します。この メニューには、現在のすべての検知ルールセットがリストされるとともに、現在の検知ルールセットをコピー、削除、または編集するための オプションが表示されます。また、新しい検知ルールセットを作成するためのリンクも含まれます。 図 2: 検知ルールセットのリスト

(4)

4 コンテキスト分析エンジン - 機能紹介 「CreateNew」ボタンをクリックすると設定ウィザードが表示され、有効にしたいルールを選択することや、実行したい対応アクションを ルールベースで選択することができます。また、ルールセットには一意の名前と説明を指定する必要があります。ウィザードを完了すると、 新しい検知ルールセットがリストに表示され、デバイスポリシーに適用できるようになります。

デバイスポリシーへの検知ルールセットの適用

検知ルールセットを適切に設定すると、そのセットをデバイスポリシーに関連付けて、CylanceOPTICS がインストールされたエンドポイント から検知アラートを受け取るために必要な設定は完了になります。デバイスポリシーを保存すると、そのポリシーが適用されたすべてのエンド ポイントが、サイランスのクラウドサービスから検知ルールセット(ルール、対応アクション、エンドポイント通知の設定)を取得します。 ポリシーに追加されたすべてのデバイスで、サイランスのクラウドサービスに接続された際にこれらの設定が適用されます。

検知アラートの表示と操作

CylanceOPTICSのデフォルトの「Detections」タブでは、コンテキスト分析エンジンで構成されたエンドポイントによってトリガされたアラート について、見やすい詳細なビューがユーザーに提供されます。このダッシュボードから、ユーザーはさまざまな時間枠におけるイベントの トレンド、各検知の重大度、および発生した各検知の概要ビューを参照できます。ユーザーはダッシュボード内のフィルタリング機能とソート 機能を使用し、表示されたデータをさらに掘り下げて、環境全体におけるトレンドをより詳細に把握できます。 図 3: 検知ルールセットの作成

(5)

Cylance Japan株式会社 〒100-6510 東京都千代田区丸の内1-5-1 新丸の内ビルディング10F 各検知イベントには一連のデータがすべて含まれており、そのデータはダッシュボードのテーブルの一番右にある列の「View」ボタンを クリックすると表示できます。結果の「Detection Details」ページには、検知に関する豊富な情報が表示されます。たとえば、検知の名前、 重大度、説明のほか、イベント数、注目されるアーティファクト、その検知に関連付けられた対応アクションが表示されます。 「Detection Details」ページでは、状況に応じてデバイスのロックダウン、ファイルの取得、フォーカスビューを開始することで、より詳細な 操作や調査を行うこともできます。検知に関連付けられた裏付けとなるイベントやアーティファクトをさらに分析して、検知がトリガされた 理由に関する追加のコンテキストを提示し、必要に応じてより踏み込んだ調査や対応を行えるようにすることも可能です。 図 4: 「Detections」ダッシュボード 図 5: 「Detection Details」ページ

参照

今ダウンロードする ( PDF - 5 ページ - 3.28 MB )

関連したドキュメント

認知哲学:ロボットに心があるって、どういうこと?

うのも、それは現物を直接に示すことによってしか説明できないタイプの概念である上に、その現物というのが、

LEROY SOMER M & D New European Commission Regulation (EU) 2019/1781 欧州委員会規制 (EU)2019/1781 Marketing/Business Dev. 02/2020

7IEC で定義されていない出力で 575V 、 50Hz

t-J modelにおける平均場理論

 この論文の構成は次のようになっている。第2章では銅酸化物超伝導体に対する今までの研

ネットワーク側で ROP 攻撃コードを検出する手法の提案 田中恭之 1, 2,a) 後藤厚宏 1 Computer Security Symposium October 2014 概要 : ゼロデイ脆弱性を悪用した標的型攻撃は多くの組織にとって脅威である. 一因として一般に入手

攻撃者は安定して攻撃を成功させるためにメモリ空間 の固定領域に配置された ROPgadget コードを用いようとす る.2.4 節で示した ASLR が機能している場合は困難とな

Alienware Command Center ユーザー ガイド

テストが成功しなかった場合、ダイアログボックスが表示され、 Alienware Command Center の推奨設定を確認するように求め

Microsoft PowerPoint - 米山先生資料.ppt

口腔の持つ,種々の働き ( 機能)が障害された場 合,これらの働きがより健全に機能するよう手当

鈴木榮太郎 ﹃都市社会学原理﹄ 結節機関説の導出と青森調査

つの表が報告されているが︑その表題を示すと次のとおりである︒ 森秀雄 ︵北海道大学 ・当時︶によって発表されている ︒そこでは ︑五

1-1 1.2 溢水影響評価フロー

評価 ○当該機器の機能が求められる際の区画の浸水深は,同じ区 画内に設置されているホウ酸水注入系設備の最も低い機能