Cybereason

Cybereason

簡単な導⼊、軽快な動作

Cybereasonは⾼度なエンドポイント検知・対応プラットフォームで、ネットワーク環境とエンドポイントへの負担を最⼩限に留めながら、必要な情報を収集し、複雑な攻撃を分析します。

センサーの特長

Cybereason EDRのセンサーは、ユーザーモードで運用されるため、エンドポイントへの影響を最小限に抑えながら、攻撃の検知に必要なデータへのアクセスが可能になります。

単一のセンサーで動作するため
複数エージェントの管理が不要

EDRにおける振る舞いデータの収集やNGAVにおける防止機能は、単一のエージェントとして提供されるため、管理や更新の作業を簡略化できます。

端末へのCPU負荷が低く
通常業務に影響なし

センサーは、データ収集、管理コンソールからの指示による軽い処理のみをおこない、最低限の負荷で実行されます。

低い通信量で
社内ネットワークに影響なし

センサーは収集した振る舞いのメタ情報を圧縮してから送信するため、通信量を低く抑えることができます。

大規模なモニタリングを実現する
独自プロトコル

大規模な組織において脅威を可視化するには、エンドポイントから百万単位のデータを毎⽇収集する必要があります。これほど多くのデータを運⽤するためには、適切な導⼊が⾏われないと、ネットワークのオーバーヘッドとなります。また、帯域幅が限られている遠隔地でも、同様の状況であるため、大規模なモニタリングを実現する独自プロトコルを採用しています。

エンドポイントのデータを効率的に収集

「Cybereason」は情報を効率的に収集できるよう、独自のプロトコルを採用しています。このプロトコルは、データの使⽤量を最⼩限に留めながら、システムの変化を追跡することができます。

Cybereasonのセンサーは、少ないオーバーヘッドでも、以下のように多⾓的な情報を収集することができます。

プロセス情報:
親⼦プロセス、メモリ使⽤、ネットワーク接続、プロセスの開始・終了時間等
接続情報:
ローカル&リモートIPアドレス、ポート・プロトコル、接続情報、送受信バイト等
ファイル情報:
ファイルの属性、バージョン、ハッシュ等
⾃動再⽣情報:
レジストリ&環境設定情報等
ユーザー情報:
ユーザー名、ドメイン、パスワード

攻撃の阻⽌:
隔離、対処、防止

Cybereason センサーは、脅威の検知に加えて、攻撃を防⽌することも可能です。

攻撃を受けた機器のネットワーク隔離

Cybereasonは攻撃を受けた機器のネットワーク接続を阻⽌し、隔離することで、セキュリティ侵害を防ぎます。

検知済みの脅威への対処

Cybereason EDRが脅威を検知すると、遠隔からプロセス停止、 ファイル隔離、レジストリキー削除等の対処作業を行うことができます。
またリモートシェルにより、攻撃者が作成したスケジュールタスクの削除やローカルユーザーの削除なども実施することが可能です。

ランサムウェアの検知と防止

Cybereasonはファイルやネットワーク活動を分析することで、ユーザーファイルの⼤規模な暗号化をおこなうランサムウェアを検知します。さらに、おとりファイルを仕掛けることで、ランサムウェアの対策を⾏い、被害を防ぎます。

既知のマルウェアの検知と自動駆除

Cybereasonは、マルウェアを検知し、実行を防止するカーネルレベルのコンポーネントを提供します。これにより、侵⼊のさらなる拡⼤を防ぐことができます。

未知のマルウェアの検知と防止

Cybereason NGAVは、未知のマルウェアを検知し、実行を防止し、ファイルを自動隔離するコンポーネントも提供します。これにより、未知の攻撃に対しても侵⼊のさらなる拡⼤を防ぐことができます。

ファイルレスマルウェアの検知と防止

Cybereason NGAVは、PowerShellや.NETなどを用いたファイルレス攻撃を自動で検知し、それらの実行を防止する機能を提供します。これにより検知が難しい正規のOSプロセスを悪用した環境寄生型の攻撃にも対応することができます。

センサーの対応OS

Microsoft Windows
OS(PC) OS(SERVER)
Windows 10 (May 2019 Updateまで) Windows Server 2019
Windows 8.1 Windows Server 2016
Windows 8 Windows Server 2012 R2
Windows 7 SP1 Windows Server 2012
Windows Server 2008 R2 SP1
KB要件
OS REQUIRES KB NOTES
Windows 7 SP1, Windows 8.1,
Windows Server 2012 R2
KB2999226 センサーが機能するために必要。
Windows 7 SP1,
Windows Server 2008 R2 SP1
KB3033929 SHA256署名をサポートするために必要。他のMicrosoftパッチもこの機能を提供している可能性があります。
Mac OS
OS
macOS Catalina (10.15)
macOS Mojave (10.14)
macOS High Sierra (10.13)
macOS Sierra (10.12)
Linux
OS フルサポート 限定サポート(※1)
CentOS 6 and 7
Red Hat Enterprise Linux 6 and 7
Red Hat Enterprise Linux 8
Oracle Linux 6 and 7
Ubuntu 14 LTS and 16 LTS
Ubuntu 18.04
SLES 12
Debian 8 and 9
Amazon Linux AMI 2017.03
  • (※1)限定サポートとは、当該オペレーティングシステムでセンサーのアップグレードとインストール/アンインストールが可能であり、基本的な機能がサポートされていることを意味します。基本的な機能とは、Cybereasonサーバーとの通信、プロセスと静的端末情報の収集などです (インターフェイスなど)。他の収集アクションと対処アクションはサポートされません。
  • ※すべてのLinuxオペレーティングシステムは、Python 2.7以降またはPython 3.0以降がインストールされている必要があります。Linux 32ビットオペレーティングシステムはサポートされていません。

古いOSへの対応

古いオペレーティングシステムでサポートされる最新のセンサーバージョン
OS バージョン サポートされる
最新のセンサーバージョン
Microsoft Windows XP SP3 18.0
Vista 18.0
Server 2003 18.0
Server 2003 R2 18.0
Server 2008 18.0
Server 2008 R2 18.0
Mac OS Yosemite (10.10) 18.0
El Capitan (10.11) 18.0
Amazon Linux 2017より前のすべてのバージョン 18.0
  • ※古いオペレーティングシステムの場合、特定のセンサーバージョンまでのセンサーがサポートされます。このバージョンより後のセンサーをインストールする前に、エンドポイントをサポートされているオペレーティングシステムにアップグレードすることをお勧めします。これを行わないと、センサーの完全な機能が保証されません。

OSごとの対応機能

機能 WINDOWS 7SP1、8、8.1、10、WINDOWS SERVER 2008 R2 SP1、2012、2012 R2、2016、2019 MAC
(すべてのバージョン)
LINUX
(すべてのバージョン)
ファイルのダウンロード
ファイル検索
端末の隔離
プロセスの終了
実行防止
ファイルの隔離 (※1)
リモートシェル
レジストリの削除
ランサムウェアのサスペンド/
サスペンド解除
  • ※1 Mac用センサーの場合、DMGファイル、およびOSXオペレーティングシステムでインターネットからダウンロードしたファイルの隔離はサポートされていません

センサーのシステム要件と
管理UI接続ブラウザ

センサー:ハードウェア要件

NGAV機能なし
コンポーネント 要件
端末のRAM 1GB
CPU デュアルコア2GHz、コアi3以上か同等
使用可能なディスク容量 150 MB以上
ネットワーク接続 イーサネット or Wi-Fi
NGAV機能を有効化 (WINDOWSのみ)
コンポーネント 要件
端末のRAM 2GB
CPU デュアルコア2GHz、コアi3以上か同等
使用可能なディスク容量 1.5 GB以上
ネットワーク接続 イーサネット or Wi-Fi

その他の要件

  • 「TLS通信」の記載要件を満たしている必要があります。
  • WindowsエンドポイントでCybereasonのシステムトレイアイコンと通知を表示するには、エンドポイントで .NET Framework 3.5を有効にする必要があります。
  • KB要件を満たしていることを確認します (Windowsエンドポイント)。
  • DPIコレクションを有効にすると、さらに30MBのRAMが使用 (または部分的に使用) されます (Windowsエンドポイント)。
  • Linuxエンドポイントでは、端末にglibcをインストールする必要があります。

Cybereason UI(管理画面)のサポートブラウザ

  • Cybereason UIは、最新バージョンのChromeをサポートします。

製品・サービス

Cybereason EDR

Cybereason NGAV

Cybereason Mobile

/**/
<8/27 オンライン>インシデントレスポンス体制構築の勘所