ブログ(製品・サービス関連)

Endpoint Security 5.1とHelixによる統合脅威検知

セキュリティチームは、ますます巧妙化するフィッシングやランサムウェアなどの攻撃にさらされています。新しい脅威に対処するために、新しいツールを導入することで短期的には問題を解決できるかもしれませんが、長期的には、複雑なレイヤー、新しいアラート発生源、必要となる専門知識が追加されるだけです。また、これらのツールは、内容の前後関係の解析や優先順位付けを行わずにアラートを提供することが多いため、問題はさらに深刻化します。

この問題を解決するために、多くの企業は脅威データを一元化されたデータストアに集め、SIEM(Security Information and Event Management)やSOAR(Security Orchestration, Automation and Response)を使用して脅威データを整理しています。これらのシステムは役に立ちますが、相関関係や攻撃に関する知識がなければ、できることは限られます。

セキュリティ担当者には、脅威情報を一元化し、インジケーターを相関させてアラートを出し、アラートに優先順位をつけて是正措置を講じるという体系的なアプローチが必要です。

FireEye Endpoint Security 5.1 とFireEye Helixの導入

今回リリースされたFireEye Endpoint Security 5.1とFireEye Helixにより、セキュリティ・オペレーションは合理化され、アラートは前後関係に沿ったものになります。Helixは、脅威の検知、調査、対応のための単一の統合ビューを提供し、攻撃対象領域全体の脅威を明らかにします。Endpoint Securityは、保護、検知、対応機能を提供するだけでなく、Helixのデータ収集およびストリーミングの源としても機能します。HelixとEndpoint Securityを組み合わせることで、検知、情報の相関関係、アラートの優先順位付けが可能になります。

Endpoint Security 5.1は、Endpoint Security 5.0で導入されたモジュラー・アーキテクチャをベースに、モジュールの管理を容易にし、新しいモジュールを導入することで、新たな脅威への対応時間を短縮するための高度な検知機能を提供します。さらに、Endpoint Securityのヘルス・ステータスをHelixで表示できるようになり、Endpoint Securityの重要なサービスの健全性と稼働状況をHelixで確認できます。

モジュール

以前のリリースでは、Endpoint Securityで新しいモジュールを導入する場合、FireEye Marketにアクセスしてインストーラーをダウンロードし、インストールしてから有効化する必要がありました。現在では、Endpoint Securityのコンソールにモジュール・タブがあり、お客様は有効化したいモジュールを選択するだけで導入できます。モジュールが利用可能になると、コンソール上に表示され(図1)、管理者は手間をかけずに円滑に導入することができます。


図1: コンソール上のEndpoint Securityモジュールの導入画面

新しい侵害インジケーター(IOC)ストリーミング・モジュールにより、脅威の検知と調査を一元化することができます。IOCストリーミング・モジュールでは、お客様が必要とするメタデータをHelixにストリーミングし、潜在的な脅威を完全に調査するのに必要な期間それを保存することができます。これにより、複数のエンドポイントを同時に調査し、脅威を完全に修復することが可能となります。

このストリーミング・データは、Storytime for Helixで視覚的に表示できる調査の一部として利用することができます(図2)。Storytimeは、アラートと脅威の発生源の全てのメタデータ・イベントの履歴を表示します。このビューを利用して、セキュリティ対応者は、攻撃を最初に侵害されたエンドポイントにまで遡って追跡し、原因を突き止めて修復することができます。脅威を完全に理解した後は、侵害インジケーターを使って組織全体の攻撃の痕跡を見つけ、攻撃者がミッションを完了する前にクリーンアップすることができます。ストリーミング・モジュールとStorytime for Helixは、Windows、macOS、Linuxの各エンドポイントに対応しています。


図2: Storytime for Helixによる可視化

行動を起こす

Endpoint SecurityHelixの両方をご利用中のお客様は、全てのエンドポイントを対象とした検知・対応機能を備えた強力なプラットフォームを活用することができます。このプラットフォームにより、脅威情報を一元化し、インジケーターをアラートに関連付け、アラートに優先順位を付けることで、セキュリティ対応者が適切な是正措置を効率良く講じられるようにすることをお勧めします。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:May 26, 2021 「Unified Threat Detection With Endpoint Security 5.1 and Helix