ブログ(製品・サービス関連)

Host Remediation Moduleでの対応期間の短縮

 M-Trends 2020によると、セキュリティ侵害の発生から検知までに要した日数として定義されるグローバルの滞留時間の中央値は56日でした。攻撃者が組織内に長く滞在するほど、侵害の潜在的な影響は大きくなります。 滞留時間が長いということは、攻撃者がデバイスを感染させたり、バックドアを埋め込んだり、貴重なデータを盗み出したりする機会が増えることを意味します。時間はセキュリティ対応者の敵となります。

レスポンドをさらに遅くする、以下のようなさまざまな阻害要因があります。

  • 組織を保護するためのルール
  • 影響を受ける従業員からの対応が遅いか、まったくない
  • クライアント・マシンの管理に使用されるツールが、デスクトップまたはネットワーク・チームのみ利用可能
  • 感染または侵害によるツールの無効化

これにより、平均応答時間(MTTR)と侵害解決の時間が長くなります。

このことを念頭において、FireEyeはFireEye Endpoint Security用のHost Remediationモジュールを作成しました。迅速に対応し、問題を解決するために、セキュリティ対応者は、しばしば、ユーザデバイスやサーバーへの直接のアクセスを必要とし、アクセスのために他のチームやツールに頼ることはありません。新しいHost Remediationモジュールにより、ユーザーは、対応者がFireEye Endpoint Securityコンソールから管理されたデバイス上からリモートでコマンドを実行できるようにする、高速でリアルタイムのレスポンシブ・シェルを提供されます。対応者には、脅威をすばやく修正したり、エンドポイントで修正アクションを実行したりする能力が用意されました。

方法

新しいHost Remediationモジュールは、すべてのモジュールと同様に、ライセンスを持つお客様が追加料金なしでFireEye Marketからダウンロードできます。ダウンロードが完了すると、このモジュールの導入は、Endpoint Securityコンソールにサーバー・コンポーネントをインストールしたり、Agent Policyを介してクライアント・コンポーネントを有効にしたりするのと同じくらい簡単になります。Endpoint Securityの管理者は、導入後に、FireEye Endpoint Securityのホストセット機能を使用して、すべてのホストまたはホストのサブセットでHost Remediation Moduleを有効にできます。


図1: Agent Policyでのホスト復旧対策の有効化

Host Remediationモジュールは、既存のEndpoint Security(旧称HX) サーバーを使用してエージェント・コミュニケーション・チャネルを行い、相互TLS v1. 2およびAEADモード暗号を使用してエンドポイントと安全に通信します。これにより、サードパーティ製のツールを使用したり、追加のファイアウォール・ルールを設定したり、モジュールが操作を実行できるようにポートを開いたりする必要がなくなります。

さらに、監査のためにHost Remediationモジュール内で発行されたすべてのコマンドを含むセッション・トランスクリプトを使用してログが作成されます。また、Event Streamer module をFireEye Endpoint Securityに活用することで、リアルタイムでFireEye HelixまたはSIEMにコマンドをストリーミングすることもできます。これは、FireEye Marketから追加料金なしでダウンロードすることもできます。

機能

管理者は、Host Remediationのユーザー・インターフェイスを使用して、エンドポイントにリモートで接続し、悪意のあるファイルの削除、またはプロセスの強制終了、感染したシステムを駆除するためのレジストリ・エントリの削除などのネイティブ・オペレーティング・システム・コマンドを実行できます。Host Remediationモジュールでは、カスタム・バッチ・スクリプトまたはPowerShellスクリプトのアップロードまたはドラッグ・アンド・ドロップもサポートされており、より効率的で自動化された復旧対策ステップを実現できます。


図2: ホスト復旧対策通信中

はじめる

この機能を使用すると、セキュリティ対応者は攻撃を迅速かつ安全に収容し、攻撃者がエンドポイントに滞在する期間を短縮し、侵害の影響を軽減できます。

FireEye Endpoint SecurityのHost Remediationモジュールは、FireEye Marketから利用可能です。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:February 17, 2020 「Reduce the Time to Respond With Host Remediation Module