「FireEye」の版間の差分
提供: セキュリティ
(→概要) |
|||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
[[FireEye]] とは、米国カルフォルニア州にある[[セキュリティ対策ソリューション]] の企業です。FireEye Web MPS や FireEye Email MPS など[[標的型攻撃]] に対応するためのソリューションを開発・提供しています。 | [[FireEye]] とは、米国カルフォルニア州にある[[セキュリティ対策ソリューション]] の企業です。FireEye Web MPS や FireEye Email MPS など[[標的型攻撃]] に対応するためのソリューションを開発・提供しています。 | ||
| 行9: | 行6: | ||
== 概要 == | == 概要 == | ||
| + | [[FireEye]]は、導入しただけでは終わりません。インシデントの内容によりますが、検知から一次対応や分析調査、二次対応、恒久対策などのフェーズが必要になります。そのため、インシデントに対応するインシデントレスポンスのためのチームが必要になります。分析支援のサービスを提供している企業もあり、そういったサービスを利用する方法もありますが、分析した内容によって、対応が必要になるため、ある程度のインシデントレスポンスのためのリソースを準備しなければなりません。 | ||
[[FireEye]] には、2種類の製品があります。 | [[FireEye]] には、2種類の製品があります。 | ||
| 行16: | 行14: | ||
*: E-mail 内の添付ファイルや[[URL]]を解析します。 | *: E-mail 内の添付ファイルや[[URL]]を解析します。 | ||
| − | [[標的型攻撃]](APT)をシグネチャレスで検知します。[[サンドボックス]]で実際に実行することで APT | + | [[標的型攻撃]](APT)をシグネチャレスで検知します。[[サンドボックス]]で実際に実行することで APT を検知します。Multi-Vector Virtual eXecution engine(MVX)では、[[ゼロデイ]]・[[標的型攻撃]]のトリガーとなる疑わしいWebコンテンツやEメールの添付ファイルを複数の仮想マシン環境で動的な解析を行います。ユーザーエージェントやファイルを実行するアプリケーションにより、どの仮想OSを使用するか、自動的に判断し、特定不能な場合には、複数の仮想OSで並列処理を行います。 |
* 入り口対策: [[ゼロディ攻撃]]や[[標的型攻撃]]メールなどの脅威 | * 入り口対策: [[ゼロディ攻撃]]や[[標的型攻撃]]メールなどの脅威 | ||
| 行22: | 行20: | ||
* 出口対策: マルウェアの通信の脅威 | * 出口対策: マルウェアの通信の脅威 | ||
*: [[C&Cサーバー]] の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、[[C&Cサーバ]]への通信を遮断します。 | *: [[C&Cサーバー]] の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、[[C&Cサーバ]]への通信を遮断します。 | ||
| + | |||
| + | [[FireEye]]は、[[マルウェア]]を検出した場合、アラートメールを送信します。 | ||
| + | [[FireEye]]のWebコンソールでは、検知した数などの統計情報を確認できます。キャッチした検体も保存されていて、あとから検体を確認できます。 | ||
== 参考価格 == | == 参考価格 == | ||
| 行27: | 行28: | ||
* FireEye Email Malware Protection System \ 10,999,000- | * FireEye Email Malware Protection System \ 10,999,000- | ||
| − | == | + | == FireEyeの運用 == |
| + | # FireEyeからのアラートの受信 | ||
| + | # アラートの内容の確認 | ||
| + | #: 誤検知の場合は、ここで終了です。 | ||
| + | # 証拠保全 | ||
| + | #: [[デジタルフォレンジック]] | ||
| + | # ネットワークから端末の隔離 | ||
| + | # 詳細分析 | ||
| + | ## 被害実態 | ||
| + | ## 影響範囲 | ||
| + | ##: [[プロキシ]]のログなどを分析する | ||
| + | # 恒久対策の実施 | ||
| + | |||
| + | == 関連項目 == | ||
* [[セキュリティ対策ソリューション]] | * [[セキュリティ対策ソリューション]] | ||
* [[標的型攻撃]] | * [[標的型攻撃]] | ||
| + | * [[デジタルフォレンジック]] | ||
| + | <!-- | ||
| + | vim: filetype=mediawiki | ||
| + | --> | ||
2013年12月13日 (金) 00:28時点における版
FireEye とは、米国カルフォルニア州にあるセキュリティ対策ソリューション の企業です。FireEye Web MPS や FireEye Email MPS など標的型攻撃 に対応するためのソリューションを開発・提供しています。
読み方
- FireEye
- ふぁいやー あい
概要
FireEyeは、導入しただけでは終わりません。インシデントの内容によりますが、検知から一次対応や分析調査、二次対応、恒久対策などのフェーズが必要になります。そのため、インシデントに対応するインシデントレスポンスのためのチームが必要になります。分析支援のサービスを提供している企業もあり、そういったサービスを利用する方法もありますが、分析した内容によって、対応が必要になるため、ある程度のインシデントレスポンスのためのリソースを準備しなければなりません。
FireEye には、2種類の製品があります。
- FireEye Web MPS(Malware Protection System)
- HTTPトラフィックを対象として、通信を解析します。
- FireEye Email MPS(Malware Protection System)
- E-mail 内の添付ファイルやURLを解析します。
標的型攻撃(APT)をシグネチャレスで検知します。サンドボックスで実際に実行することで APT を検知します。Multi-Vector Virtual eXecution engine(MVX)では、ゼロデイ・標的型攻撃のトリガーとなる疑わしいWebコンテンツやEメールの添付ファイルを複数の仮想マシン環境で動的な解析を行います。ユーザーエージェントやファイルを実行するアプリケーションにより、どの仮想OSを使用するか、自動的に判断し、特定不能な場合には、複数の仮想OSで並列処理を行います。
FireEyeは、マルウェアを検出した場合、アラートメールを送信します。 FireEyeのWebコンソールでは、検知した数などの統計情報を確認できます。キャッチした検体も保存されていて、あとから検体を確認できます。
参考価格
- FireEye Email Malware Protection System \ 10,999,000-
FireEyeの運用
- FireEyeからのアラートの受信
- アラートの内容の確認
- 誤検知の場合は、ここで終了です。
- 証拠保全
- ネットワークから端末の隔離
- 詳細分析
- 被害実態
- 影響範囲
- プロキシのログなどを分析する
- 恒久対策の実施