一般的なサイバー攻撃は、使いまわしで既知のマルウェアなどが主に使われ、攻撃のプロセスも非常に単純です。IPS・UTM・NGFWに代表される既存ソリューションで、攻撃に対するブラックリスト型の検知・防御が可能です。
これに対して、標的型攻撃は、その標的専用に未知のマルウェアが作成されます。また、その攻撃のプロセスも既存のセキュリティソリューションに検知されない様に、複雑且つ高度化されています。
FireEyeは、標的型攻撃からネットワークを保護する専用アプライアンス機器です。
仮想実行エンジン(MVX)による未知のマルウェアの動的解析による検知、ならびに世界中のFireEyeによる検知情報をベースにしたC&Cサーバ情報共有クラウド(DTI-Cloud)により、コールバック通信を遮断します。
製品ラインナップ
NXの構成イメージ
アラート解析サービスは、通常運用時からGSXにアラートをメールにて共有、またFireEye製品に接続できる環境を設定頂きます。
お客様が解析が必要と判断されるアラートについて、ご依頼を頂く都度解析を実施し結果をご報告させて頂きます。
サービスの流れ
実施内容
項目 | 内容 |
---|---|
ログ分析 | アラート発生に至るまでの経緯やその内容を、FireEyeの膨大なログの中から分析します。 |
対象端末の特定 | アラート対象の端末情報(IP、ホスト名)を特定します。 |
対象メールの特定 | アラート対象のメール情報(From、To、件名)を特定します。 |
防御状況の確認 | 不正通信に対するFireEyeの防御(リセットパケット送出)状況を確認します。 |
マルウェアスキャン |
数十種類のアンチウイルスソフトによる検体スキャンを実施します。 (マルウェア検体が入手できるアラートの場合のみ) |
イベント相関チェック | 関連するアラートとの突合を実施します。(アンチウイルスソフトのアラートを頂戴できる場合のみ) |
対応策の検討 | 対応策を検討し、レポートとして提示します。 |
※上記の実施内容は導入されたFireEye製品の種類あるいはバージョンにより異なる場合があります。
また発生したアラート内容により実施内容も異なります。
※上記の実施内容はFireEye製品のログから読み取れる情報を元に可能な限り実施します。 ≫もっと詳しく
FireEyeはC&Cサーバとの通信を検知するだけですか?発見後にC&Cサーバとの通信を防ぐことはできますか?
FireEyeがリセットパケットを送信し、C&Cサーバとの通信を遮断することが可能です。また、他製品との連携で遮断することも可能です。
FireEye製品ラインナップは全て導入する必要がありますか?
想定する脅威や予算に応じて導入するラインナップは選択可能です。C&Cサーバへの通信を水際で防止する為には最低限NXを導入ください。
自社の機器で発見した脅威情報やマルウェア情報を社外や日本国外に送信したくないのですが・・・
送信はせず、全世界で検出された脅威情報やマルウェア情報を受信のみするライセンス体系もご用意しています。