単一のセンサーで動作するため
複数エージェントの管理が不要
EDRにおける振る舞いデータの収集やNGAVにおける防止機能は、単一のエージェントとして提供されるため、管理や更新の作業を簡略化できます。
Cybereason Sensor
サイバーリーズン センサー
簡単な導⼊、軽快な動作
Cybereasonは⾼度なエンドポイント検知・対応プラットフォームで、ネットワーク環境とエンドポイントへの負担を最⼩限に留めながら、必要な情報を収集し、複雑な攻撃を分析します。
センサーの特長
Cybereason EDRのセンサーは、ユーザーモードで運用されるため、エンドポイントへの影響を最小限に抑えながら、攻撃の検知に必要なデータへのアクセスが可能になります。
単一のセンサーで動作するため
端末へのCPU負荷が低く
通常業務に影響なし
センサーは、データ収集、管理コンソールからの指示による軽い処理のみをおこない、最低限の負荷で実行されます。
低い通信量で
社内ネットワークに影響なし
センサーは収集した振る舞いのメタ情報を圧縮してから送信するため、通信量を低く抑えることができます。
大規模なモニタリングを実現する
独自プロトコル
大規模な組織において脅威を可視化するには、エンドポイントから百万単位のデータを毎⽇収集する必要があります。これほど多くのデータを運⽤するためには、適切な導⼊が⾏われないと、ネットワークのオーバーヘッドとなります。また、帯域幅が限られている遠隔地でも、同様の状況であるため、大規模なモニタリングを実現する独自プロトコルを採用しています。
エンドポイントのデータを効率的に収集
「Cybereason」は情報を効率的に収集できるよう、独自のプロトコルを採用しています。このプロトコルは、データの使⽤量を最⼩限に留めながら、システムの変化を追跡することができます。
Cybereasonのセンサーは、少ないオーバーヘッドでも、以下のように多⾓的な情報を収集することができます。
- プロセス情報:
- 親⼦プロセス、メモリ使⽤、ネットワーク接続、プロセスの開始・終了時間等
- 接続情報:
- ローカル&リモートIPアドレス、ポート・プロトコル、接続情報、送受信バイト等
- ファイル情報:
- ファイルの属性、バージョン、ハッシュ等
- ⾃動再⽣情報:
- レジストリ&環境設定情報等
- ユーザー情報:
- ユーザー名、ドメイン、パスワード
攻撃の阻⽌:
隔離、対処、防止
Cybereason センサーは、脅威の検知に加えて、攻撃を防⽌することも可能です。
攻撃を受けた機器のネットワーク隔離
Cybereasonは攻撃を受けた機器のネットワーク接続を阻⽌し、隔離することで、セキュリティ侵害を防ぎます。
検知済みの脅威への対処
Cybereason EDRが脅威を検知すると、遠隔からプロセス停止、 ファイル隔離、レジストリキー削除等の対処作業を行うことができます。
またリモートシェルにより、攻撃者が作成したスケジュールタスクの削除やローカルユーザーの削除なども実施することが可能です。
ランサムウェアの検知と防止
Cybereasonはファイルやネットワーク活動を分析することで、ユーザーファイルの⼤規模な暗号化をおこなうランサムウェアを検知します。さらに、おとりファイルを仕掛けることで、ランサムウェアの対策を⾏い、被害を防ぎます。
既知のマルウェアの検知と自動駆除
Cybereasonは、マルウェアを検知し、実行を防止するカーネルレベルのコンポーネントを提供します。これにより、侵⼊のさらなる拡⼤を防ぐことができます。
未知のマルウェアの検知と防止
Cybereason NGAVは、未知のマルウェアを検知し、実行を防止し、ファイルを自動隔離するコンポーネントも提供します。これにより、未知の攻撃に対しても侵⼊のさらなる拡⼤を防ぐことができます。
ファイルレスマルウェアの検知と防止
Cybereason NGAVは、PowerShellや.NETなどを用いたファイルレス攻撃を自動で検知し、それらの実行を防止する機能を提供します。これにより検知が難しい正規のOSプロセスを悪用した環境寄生型の攻撃にも対応することができます。
センサーの対応OS
| OS(PC) | OS(SERVER) |
|---|---|
| Windows 10 (May 2019 Updateまで) | Windows Server 2019 |
| Windows 8.1 | Windows Server 2016 |
| Windows 8 | Windows Server 2012 R2 |
| Windows 7 SP1 | Windows Server 2012 |
| Windows Server 2008 R2 SP1 |
| OS | REQUIRES KB | NOTES |
|---|---|---|
| Windows 7 SP1, Windows 8.1, Windows Server 2012 R2 |
KB2999226 | センサーが機能するために必要。 |
| Windows 7 SP1, Windows Server 2008 R2 SP1 |
KB3033929 | SHA256署名をサポートするために必要。他のMicrosoftパッチもこの機能を提供している可能性があります。 |
| OS |
|---|
| macOS Catalina (10.15) |
| macOS Mojave (10.14) |
| macOS High Sierra (10.13) |
| macOS Sierra (10.12) |
| OS | フルサポート | 限定サポート(※1) |
|---|---|---|
| CentOS 6 and 7 | ● | |
| Red Hat Enterprise Linux 6 and 7 | ● | |
| Red Hat Enterprise Linux 8 | ● | |
| Oracle Linux 6 and 7 | ● | |
| Ubuntu 14 LTS and 16 LTS | ● | |
| Ubuntu 18.04 | ● | |
| SLES 12 | ● | |
| Debian 8 and 9 | ● | |
| Amazon Linux AMI 2017.03 | ● |
- (※1)限定サポートとは、当該オペレーティングシステムでセンサーのアップグレードとインストール/アンインストールが可能であり、基本的な機能がサポートされていることを意味します。基本的な機能とは、Cybereasonサーバーとの通信、プロセスと静的端末情報の収集などです (インターフェイスなど)。他の収集アクションと対処アクションはサポートされません。
- ※すべてのLinuxオペレーティングシステムは、Python 2.7以降またはPython 3.0以降がインストールされている必要があります。Linux 32ビットオペレーティングシステムはサポートされていません。
古いOSへの対応
| OS | バージョン | サポートされる 最新のセンサーバージョン |
|---|---|---|
| Microsoft Windows | XP SP3 | 18.0 |
| Vista | 18.0 | |
| Server 2003 | 18.0 | |
| Server 2003 R2 | 18.0 | |
| Server 2008 | 18.0 | |
| Server 2008 R2 | 18.0 | |
| Mac OS | Yosemite (10.10) | 18.0 |
| El Capitan (10.11) | 18.0 | |
| Amazon Linux | 2017より前のすべてのバージョン | 18.0 |
- ※古いオペレーティングシステムの場合、特定のセンサーバージョンまでのセンサーがサポートされます。このバージョンより後のセンサーをインストールする前に、エンドポイントをサポートされているオペレーティングシステムにアップグレードすることをお勧めします。これを行わないと、センサーの完全な機能が保証されません。
OSごとの対応機能
| 機能 | WINDOWS 7SP1、8、8.1、10、WINDOWS SERVER 2008 R2 SP1、2012、2012 R2、2016、2019 | MAC (すべてのバージョン) |
LINUX (すべてのバージョン) |
|---|---|---|---|
| ファイルのダウンロード | ● | ● | ● |
| ファイル検索 | ● | ||
| 端末の隔離 | ● | ● | |
| プロセスの終了 | ● | ● | ● |
| 実行防止 | ● | ||
| ファイルの隔離 | ● | ●(※1) | ● |
| リモートシェル | ● | ||
| レジストリの削除 | ● | ||
| ランサムウェアのサスペンド/ サスペンド解除 |
● |
- ※1 Mac用センサーの場合、DMGファイル、およびOSXオペレーティングシステムでインターネットからダウンロードしたファイルの隔離はサポートされていません
センサーのシステム要件と管理UI接続ブラウザ
センサー:ハードウェア要件
| コンポーネント | 要件 |
|---|---|
| 端末のRAM | 1GB |
| CPU | デュアルコア2GHz、コアi3以上か同等 |
| 使用可能なディスク容量 | 150 MB以上 |
| ネットワーク接続 | イーサネット or Wi-Fi |
| コンポーネント | 要件 |
|---|---|
| 端末のRAM | 2GB |
| CPU | デュアルコア2GHz、コアi3以上か同等 |
| 使用可能なディスク容量 | 1.5 GB以上 |
| ネットワーク接続 | イーサネット or Wi-Fi |
その他の要件
- 「TLS通信」の記載要件を満たしている必要があります。
- WindowsエンドポイントでCybereasonのシステムトレイアイコンと通知を表示するには、エンドポイントで .NET Framework 3.5を有効にする必要があります。
- KB要件を満たしていることを確認します (Windowsエンドポイント)。
- DPIコレクションを有効にすると、さらに30MBのRAMが使用 (または部分的に使用) されます (Windowsエンドポイント)。
- Linuxエンドポイントでは、端末にglibcをインストールする必要があります。
Cybereason UI(管理画面)のサポートブラウザ
- Cybereason UIは、最新バージョンのChromeをサポートします。
