シマンテックは2018年4月17日、標的型攻撃によるマルウェア感染を検知・調査・修復するEDR(エンドポイント検出・対処)機能群を提供するアプライアンス機器「Symantec Advanced Threat Protection」(ATP)を強化したと発表した。検知した脅威について、詳細な情報を提供できるようになった。
クラウド上で提供している脅威分析機能に、米Symantecが2010年から専門チームを立てて取り組んでいるデータ分析機能「Target Attack Analytics」(TAA)を搭載した。より詳細な分析データを得られるようになったとしている。
拡大画像表示
ATPは、標的型攻撃によるマルウェア感染を検知・調査・修復するソフトウェア群を搭載したアプライアンス機器である。エンドポイント用マルウェア対策ソフト「Symantec Endpoint Protection」(SEP)などから、疑わしい活動に関するイベント情報を集め、クラウドで分析する。
クラウド上では、サンドボックス機能を使って、疑わしいファイルの振る舞いを調べる。SOC(セキュリティオペレーションセンター)機能も提供し、術報を相互に関連付けて、何が重要なのかといった優先順位を付ける。さらに、エンドポイントで攻撃を遮断するといった修復作業を実施できる。これらの、脅威の検出、優先順位付け、調査、修復までを、単一のコンソールで実施できる。
拡大画像表示
今回、ATPを強化し、検知した脅威について、より詳細なデータを提供できるようにした。具体的には、これまでの機能群に加えて、詳細なデータ分析が可能な機能であるTarget Attack Analytics(TAA)を搭載した。米Symantecでは、2010年から同機能を使って脅威を分析してきたという。今回、このデータ分析機能を製品に搭載し、ユーザーに提供するようにした。
TAAでは、情報収集(エンドポイントや各種センサーなどから、ファイル情報やシステムイベントなどの情報を収集)、データの蓄積(毎秒12万件のセキュリティイベント)、糸口を発見(機械学習による脅威の検知など)という3つのステップでデータを分析する。検知した脅威について、詳細な情報を提供するとしている。レポートには、脅威の影響を受けるマシン、攻撃チェーン、各段階の攻撃の詳細を記載する。