FireEye

提供: セキュリティ
移動: 案内検索
スポンサーリンク

FireEye とは、米国カルフォルニア州にあるセキュリティ対策ソリューション の企業です。FireEye Web MPS や FireEye Email MPS など標的型攻撃 に対応するためのソリューションを開発・提供しています。

読み方

FireEye
ふぁいやー あい

概要

FireEyeは、導入しただけでは終わりません。インシデントの内容によりますが、検知から一次対応や分析調査、二次対応、恒久対策などのフェーズが必要になります。そのため、インシデントに対応するインシデントレスポンスのためのチームが必要になります。分析支援のサービスを提供している企業もあり、そういったサービスを利用する方法もありますが、分析した内容によって、対応が必要になるため、ある程度のインシデントレスポンスのためのリソースを準備しなければなりません。

FireEye には、2種類の製品があります。

  • FireEye Web MPS(Malware Protection System)
    HTTPトラフィックを対象として、通信を解析します。
  • FireEye Email MPS(Malware Protection System)
    E-mail 内の添付ファイルやURLを解析します。

標的型攻撃(APT)をシグネチャレスで検知します。サンドボックスで実際に実行することで APT を検知します。Multi-Vector Virtual eXecution engine(MVX)では、ゼロデイ標的型攻撃のトリガーとなる疑わしいWebコンテンツやEメールの添付ファイルを複数の仮想マシン環境で動的な解析を行います。ユーザーエージェントやファイルを実行するアプリケーションにより、どの仮想OSを使用するか、自動的に判断し、特定不能な場合には、複数の仮想OSで並列処理を行います。

  • 入り口対策: ゼロディ攻撃標的型攻撃メールなどの脅威
    仮想環境で実行し、既知や未知に依存しない脆弱性に対する攻撃やマルウェアの検出を行います。
  • 出口対策: マルウェアの通信の脅威
    C&Cサーバ の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、C&Cサーバ への通信を遮断します。

FireEyeは、マルウェアを検出した場合、アラートメールを送信します。 FireEyeのWebコンソールでは、検知した数などの統計情報を確認できます。キャッチした検体も保存されていて、あとから検体を確認できます。

参考価格

  • FireEye Email Malware Protection System \ 10,999,000-

FireEyeの運用

  1. FireEyeからのアラートの受信
  2. アラートの内容の確認
    誤検知の場合は、ここで終了です。
  3. 証拠保全
    デジタルフォレンジック
  4. ネットワークから端末の隔離
  5. 詳細分析
    1. 被害実態
    2. 影響範囲
      プロキシのログなどを分析する
  6. 恒久対策の実施

関連項目




スポンサーリンク