「FireEye」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> FireEye とは、米国カルフォルニア州にあるセキュリティ対策ソリューション の企業です。FireEye...」)
 
 
(同じ利用者による、間の3版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
[[FireEye]] とは、米国カルフォルニア州にある[[セキュリティ対策ソリューション]] の企業です。FireEye Web MPS や FireEye Email MPS など[[標的型攻撃]] に対応するためのソリューションを開発・提供しています。
 
[[FireEye]] とは、米国カルフォルニア州にある[[セキュリティ対策ソリューション]] の企業です。FireEye Web MPS や FireEye Email MPS など[[標的型攻撃]] に対応するためのソリューションを開発・提供しています。
  
行9: 行6:
  
 
== 概要 ==
 
== 概要 ==
 +
[[FireEye]]は、導入しただけでは終わりません。インシデントの内容によりますが、検知から一次対応や分析調査、二次対応、恒久対策などのフェーズが必要になります。そのため、インシデントに対応するインシデントレスポンスのためのチームが必要になります。分析支援のサービスを提供している企業もあり、そういったサービスを利用する方法もありますが、分析した内容によって、対応が必要になるため、ある程度のインシデントレスポンスのためのリソースを準備しなければなりません。
  
 
[[FireEye]] には、2種類の製品があります。
 
[[FireEye]] には、2種類の製品があります。
行14: 行12:
 
*: HTTPトラフィックを対象として、通信を解析します。
 
*: HTTPトラフィックを対象として、通信を解析します。
 
* FireEye Email MPS(Malware Protection System)
 
* FireEye Email MPS(Malware Protection System)
*: E-mail 内の添付ファイルや[[URL]]を解析します。
+
*: E-mail 内の添付ファイルやURLを解析します。
  
[[標的型攻撃]](APT)をシグネチャレスで検知します。サンドボックスで実際に実行することで APT を検知します。
+
[[標的型攻撃]](APT)をシグネチャレスで検知します。[[サンドボックス]]で実際に実行することで APT を検知します。Multi-Vector Virtual eXecution engine(MVX)では、[[ゼロデイ]]・[[標的型攻撃]]のトリガーとなる疑わしいWebコンテンツやEメールの添付ファイルを複数の仮想マシン環境で動的な解析を行います。ユーザーエージェントやファイルを実行するアプリケーションにより、どの仮想OSを使用するか、自動的に判断し、特定不能な場合には、複数の仮想OSで並列処理を行います。
  
 
* 入り口対策: [[ゼロディ攻撃]]や[[標的型攻撃]]メールなどの脅威
 
* 入り口対策: [[ゼロディ攻撃]]や[[標的型攻撃]]メールなどの脅威
 
*: 仮想環境で実行し、既知や未知に依存しない[[脆弱性]]に対する攻撃や[[マルウェア]]の検出を行います。
 
*: 仮想環境で実行し、既知や未知に依存しない[[脆弱性]]に対する攻撃や[[マルウェア]]の検出を行います。
 
* 出口対策: マルウェアの通信の脅威
 
* 出口対策: マルウェアの通信の脅威
*: [[C&Cサーバー]] の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、[[C&Cサーバ]]への通信を遮断します。
+
*: C&Cサーバ の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、C&Cサーバ への通信を遮断します。
 
+
  
 +
[[FireEye]]は、[[マルウェア]]を検出した場合、アラートメールを送信します。
 +
[[FireEye]]のWebコンソールでは、検知した数などの統計情報を確認できます。キャッチした検体も保存されていて、あとから検体を確認できます。
 
== 参考価格 ==
 
== 参考価格 ==
 
 
* FireEye Email Malware Protection System \ 10,999,000-
 
* FireEye Email Malware Protection System \ 10,999,000-
 
+
== FireEyeの運用 ==
 +
# FireEyeからのアラートの受信
 +
# アラートの内容の確認
 +
#: 誤検知の場合は、ここで終了です。
 +
# 証拠保全
 +
#: [[デジタルフォレンジック]]
 +
# ネットワークから端末の隔離
 +
# 詳細分析
 +
## 被害実態
 +
## 影響範囲
 +
##: [[プロキシ]]のログなどを分析する
 +
# 恒久対策の実施
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[セキュリティ対策ソリューション]]
 
* [[セキュリティ対策ソリューション]]
 
* [[標的型攻撃]]
 
* [[標的型攻撃]]
 +
* [[デジタルフォレンジック]]
 +
* [[インシデントレスポンス]]
 +
* [[SOC]]
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年11月7日 (土) 23:48時点における最新版

FireEye とは、米国カルフォルニア州にあるセキュリティ対策ソリューション の企業です。FireEye Web MPS や FireEye Email MPS など標的型攻撃 に対応するためのソリューションを開発・提供しています。

読み方

FireEye
ふぁいやー あい

概要

FireEyeは、導入しただけでは終わりません。インシデントの内容によりますが、検知から一次対応や分析調査、二次対応、恒久対策などのフェーズが必要になります。そのため、インシデントに対応するインシデントレスポンスのためのチームが必要になります。分析支援のサービスを提供している企業もあり、そういったサービスを利用する方法もありますが、分析した内容によって、対応が必要になるため、ある程度のインシデントレスポンスのためのリソースを準備しなければなりません。

FireEye には、2種類の製品があります。

  • FireEye Web MPS(Malware Protection System)
    HTTPトラフィックを対象として、通信を解析します。
  • FireEye Email MPS(Malware Protection System)
    E-mail 内の添付ファイルやURLを解析します。

標的型攻撃(APT)をシグネチャレスで検知します。サンドボックスで実際に実行することで APT を検知します。Multi-Vector Virtual eXecution engine(MVX)では、ゼロデイ標的型攻撃のトリガーとなる疑わしいWebコンテンツやEメールの添付ファイルを複数の仮想マシン環境で動的な解析を行います。ユーザーエージェントやファイルを実行するアプリケーションにより、どの仮想OSを使用するか、自動的に判断し、特定不能な場合には、複数の仮想OSで並列処理を行います。

  • 入り口対策: ゼロディ攻撃標的型攻撃メールなどの脅威
    仮想環境で実行し、既知や未知に依存しない脆弱性に対する攻撃やマルウェアの検出を行います。
  • 出口対策: マルウェアの通信の脅威
    C&Cサーバ の情報を利用し、脅威を検知し、リセットパケットをクライアントに送信し、C&Cサーバ への通信を遮断します。

FireEyeは、マルウェアを検出した場合、アラートメールを送信します。 FireEyeのWebコンソールでは、検知した数などの統計情報を確認できます。キャッチした検体も保存されていて、あとから検体を確認できます。

参考価格

  • FireEye Email Malware Protection System \ 10,999,000-

FireEyeの運用

  1. FireEyeからのアラートの受信
  2. アラートの内容の確認
    誤検知の場合は、ここで終了です。
  3. 証拠保全
    デジタルフォレンジック
  4. ネットワークから端末の隔離
  5. 詳細分析
    1. 被害実態
    2. 影響範囲
      プロキシのログなどを分析する
  6. 恒久対策の実施

関連項目