Trend Micro Endpoint Sensor：エンドポイントでの調査や対応の迅速化を支援

Trend Micro Endpoint Sensorのポイント

• レジストリの変更など各種アクティビティをカーネルレベルで記録
• 記録したアクティビティを検索し、関連する攻撃動作を可視化
• ネットワーク内の他のエンドポイントを検索することで隠れた脅威を発見

Trend Micro Endpoint Sensorの製品解説

　トレンドマイクロの「Trend Micro Endpoint Sensor」は、端末に侵入したマルウェアなどの活動状況を調べて拡散などの二次的な被害に備えた対応を図る「Endpoint Detection ＆ Response（EDR）」。企業ネットワーク内で確認されたセキュリティインシデントに対して、エンドポイントでの発見、調査、対応の迅速化を支援する。

　各エンドポイントにインストールされるエージェントと、それらのエージェントをコントロールするマネージャソフトウェアで構成されている。エージェントソフトは、各エンドポイント内でのレジストリの変更やプロセスの生成、権限昇格など、攻撃手法として利用される可能性がある各種アクティビティをカーネルレベルで記録する。

　記録した過去のアクティビティ情報をはじめ、ネットワーク監視製品「Deep Discovery Inspector」などのネットワーク監視装置との連携で取得した不審な兆候の情報、脅威情報を共有するフォーマット「OpenIOC」や不正プログラムの識別分類ツール「YARA」などの情報を用いて記録したアクティビティを検索し、関連する攻撃動作を可視化する。可視化された攻撃動作を解析することで、エンドポイントにおける脅威がどのように行われていたかを把握できる。

　さらに、このエンドポイント内部で知り得たファイル名やハッシュ値、攻撃手法として利用されうる各種アクティビティ情報など攻撃に関連する情報を再利用し、ネットワーク内のその他のエンドポイントを検索することで、隠れた脅威を発見する。攻撃の全体を可視化することで、ネットワーク内における点から面への脅威状況を把握し、より迅速にインシデント対応を進められる。