標的型サイバー攻撃への対策事例
エンドポイントに潜む脅威の可視化と分析・対応

設計概要

セキュリティ対策の一環として、エンドユーザーが利用するクライアントPCに、「Trend Micro Endpoint Sensor™」Agentを導入し、PC内で不審な動作をするファイルを常に監視させます。
また、脅威が見つかった場合に、該当ファイルの混入経路・他のPCへの感染状況をManagerで確認できます。
脅威の検知条件として、公開されているIOCファイルや、YARAルールに基づき一致するプロセスやファイルを発見します。
発見したファイルを「Deep Discovery Analyzer」の仮想サンドボックスで解析し、脅威を確認した場合にカスタムシグネチャを生成して、攻撃へ迅速な対応を実施します。
カスタムシグネチャは、全エンドポイントにインストールされた「ウイルスバスターコーポレートエディション」に配信し、リアルタイムに検査を実施します。

構築概要

内部ネットワークに接続するPC(約8,000台)すべてに導入し、24時間毎の周期で、すべてのファイルを監視しています。
また、TMES Managerは常時起動している必要性も薄いことから、Single構成とし、DBのバックアップのみ定期的に実施します。
DDANは、2台によるHA構成(Act/Stb)とし、Active機に障害が発生した場合、自動的にStandby機が昇格する仕組みとしています。
エンドポイントPCの利用頻度・平均保存ファイル数から、サンドボックスを6式設定し、8,000台のPCから依頼されるファイル解析を並列処理で実施します。

導入効果

特定のPCのTMES AgentからDDANに解析依頼されたファイルのうち、実際にマルウェア判定されカスタムシグネチャが作成されました。
該当の脅威ファイルに対しては、DDANでカスタムシグネチャを作成し、VBCorp.へカスタムシグネチャを配信して全PCを検査しました。
また、該当のファイルがネットワークに接続する他のPCに存在しないかをTMESで即時確認し、影響が広がっていないことを確認しました。

導入効果