Cisco AMP Threat Grid - クラウド

Cisco AMP Threat Grid - クラウド




Cisco AMP Threat Grid - クラウド



マルウェアや高度な脅威に対抗するには、可能なかぎり強力なセキュリティ ツールを入手すべきです。Cisco®Advanced Malware Protection(AMP)Threat Grid は、マルウェア分析およびコンテキスト リッチ インテリジェンスという 2 つの優れたマルウェア対策ソリューションを組み合わせた製品です。これを活用すると、セキュリティ担当者はサイバー攻撃にプロアクティブに備え、攻撃を受けても素早く回復することができます。



製品の概要


Cisco AMP Threat Grid は閉じたコミュニティからマルウェアをクラウド ソーシングし、静的/動的分析を含む独自の高度なセキュリティ手法に従ってあらゆるサンプルを分析します。その分析結果と、他の何億ものマルウェアの分析済みアーティファクトとの関連性を調べて、マルウェアの攻撃、動向、流通を大局的に把握できるようにします。セキュリティ チームは、観測されたアクティビティ/特性の 1 つのサンプルと、他の数百万ものサンプルとの関連性を素早く検出することで、過去の履歴およびグローバルなコンテキストに照らしてその動作を十分に理解できます。こうしてチームは、高度なマルウェアによる標的を絞った攻撃や、より広範な脅威に対して、効果的に防御できます。Cisco AMP Threat Grid の詳細レポートには、重要な動作指標や脅威スコアの評価も示されるため、優先的に対処すべき高度な攻撃を見定めたり攻撃から回復したりするための時間を短縮できます。

機能と利点


表 1 に、Cisco AMP Threat Grid の機能と利点を示します。

表1.       Cisco AMP Threat Grid の機能および利点

  機能

  利点

  高度な分析

  •   マルウェアの動作に関する包括的なセキュリティ インサイトを提供します。
  •   サンプル ソース、および Cisco AMP Threat Grid の包括的データベースに保管された関連性のある動作に直接アクセスするためのリンクが備わっています。
  •   さらに調査する目的で、あらゆる情報と分析結果に簡単にアクセスできます。

  高度な動作指標

  •   300 を超える、誤検出が少なくきわめて正確で実用的かつ先進的な動作指標を分析します。
  •   高度な静的/動的分析によって、数多くのマルウェア ファミリや悪意ある動作を含む包括的な指標を生成します。
  •   脅威に関して可能な限り広範囲にわたるコンテキストを提供し、迅速かつ確実に決定を下せるようにします。

  脅威スコア

  •   観察されたアクション、履歴データ、頻度、クラスタリング指標およびサンプルの正確さと重大度を考慮した独自の分析とアルゴリズムにより、脅威スコアを自動的に算出します。
  •   信頼性の高い脅威の優先度を定め、各サンプルの悪意ある動作レベルを示します。
  •   脅威の優先度の評定が改善されます。これにより、マルウェア アナリスト、インシデント対応担当者、セキュリティ エンジニアリング チーム、そして Cisco AMP Threat Grid のフィードを使用する他の製品の効率性と正確さが向上します。

  標準のフィード形式

  •   フィードは標準化されているため、規格化された多数の形式(JavaScript Object Notation(JSON)、Cyber Observable Expression(CybOX)、Structured Threat Information Express(STIX)、コンマ区切り値(CSV)など)に簡単に統合したり、Snort ルールとして統合したりできます。
  •   特定のセキュリティ製品向けに、フィード形式をカスタマイズして利用できます。
  •   経時的な傾向を容易かつ継続的に追跡して、実用的なレポートを生成できます。

  統合用 API

  •   既存のセキュリティおよびネットワーク インフラストラクチャを利用して、脅威インテリジェンスを素早く簡単に運用可能にできます。
  •   Cisco AMP Threat Grid の Representational State Transfer(REST)API により、素早く簡単に統合できます。
  •   ゲートウェイ、プロキシ、セキュリティ情報とイベント管理(SIEM)プラットフォームを含む、多数のサードパーティ製品向けの統合ガイドが用意されています。


包括的なプレミアム フィード コンテンツ


Cisco AMP Threat Grid は、閉じたパートナー/カスタマー コミュニティからマルウェアをクラウド ソーシングし、これによってマルウェアの攻撃、動向、流通を大局的に把握できます。毎月、何百万ものサンプルを分析して、豊富かつ実用的なテラバイト規模のコンテンツを、明確にカテゴリー化された簡単に取り込めるコンテンツ フィードとして抽出します。これにより、広範囲にわたる多種多様な脅威を効果的に防ぎ、攻撃による被害を減らすことができます。Cisco AMP Threat Grid には、事前にパッケージ化されたプレミアム フィードが用意されています。これらのフィードは、たとえば次に示すような多様な脅威を扱います。

  • 各種のトロイの木馬、リモート アクセス型のトロイの木馬(RAT)、マルウェア ファミリ(他のマルウェアを拡散させ、実行可能ファイルのダウンロードなど特定の動作を示すことが知られている)など。
  • アウトバウンド ネットワーク通信の確立を試みて、異常なネットワーク アクティビティを示すマルウェア。例としては、悪意あるネットワーク アクティビティを開始する PDF ファイルや Microsoft Office ドキュメント、さまざまなプロトコルとチャネルで通信するマルウェア、非標準または一致しないネットワーク プロトコルの使用、既知のシンクホールを使った通信が挙げられます。Cisco AMP Threat Grid では、特定の動作指標を使ってフィードを生成します。これらの指標には、アウトバウンド通信の判別に利用されるネットワーク指標などがあります。
  • ホスト上の悪意あるアクティビティ。たとえば、Windows ホスト ファイルやダイナミック リンク ライブラリ(DLL)の改変、悪意あるファイルをインストールして、レジストリを変更することなくホストに存続させるハイジャック手法などです。
  • Cisco AMP Threat Grid によって高い脅威スコアが算定されたマルウェア。

表 2 に、Cisco AMP Threat Grid でサポートされるプラットフォームおよび Cisco IOSR ソフトウェア リリースをリストします。

表 2.       Cisco AMP Threat Grid:サポートされるプラットフォームおよび OS

  製品ファミリ

  サポートされるプラットフォーム

  Cisco AMP Threat Grid 仮想 OS

  •   Windows XP
  •   Windows 7

  Cisco AMP Threat Grid の動的分析

   分析でサポートされるファイル タイプ:

  •    Portable Executable 32-bit(PE32)ファイル:実行可能ファイル(exe)、ダイナミック リンク ライブラリ(dll)
  •    Java アーカイブ(jar)
  •   Adobe Portable Document 形式(PDF)
  •   Microsoft Office ドキュメント:rtf、doc(s)、xls(x)、ppt(x)
  •   ZIP(zip)(コンテナとして)
  •   URL:インターネット ショートカット ファイル(url)
  •   HTML ドキュメント


ライセンス


Cisco AMP Threat Grid には、詳細な分析を行って結果を示す機能があります。これには、プロセス マッピングとレジストリの分析、ネットワーク接続、さらに環境でのマルウェア実行のビデオが含まれます(該当する場合)。また、分析対象インテリジェンス データのバッチ フィードを使用したり、より広範な Cisco AMP Threat Grid データからカスタム フィードを作成したりすることもできます。

さらに、Cisco AMP Threat Grid のお客様は、クラウド ポータルからサンプルを直接送信することも、Cisco AMP Threat Grid API を使ってサンプルを自動送信することもできます。すべてのクラウド サービス エレメントは、1 年間または 3 年間のコンテンツ サブスクリプションとしてライセンスが交付されます。サブスクリプション レベルには、レベルごとのユーザ アカウント数と、Cisco AMP Threat Grid クラウドに分析対象として送信する 1 日あたりのファイル数が含まれます。

表 3 に、調査/分析用 Cisco AMP Threat Grid 仮想 OS へのログイン権限を持つよう作成されたアナリスト アカウント数と、静的/動的分析の対象として手動または API を介して Cisco Threat Grid クラウドに送信できるファイル数をリストします。

表 3.       アナリスト アカウント ライセンス数および分析対象として送信可能なファイル数

  ライセンス レベル:アカウント数

  1 日に送信できる最大ファイル数

  5

  500

  10

  1,500

  25

  2,500

  100

  10,000


シスコとパートナーによるサービス


シスコおよびシスコ認定パートナーによるサービスは、Cisco AMP Threat Grid のプレミアム脅威フィードおよび REST API との統合を計画および実装するお客様を支援します。計画/設計サービスは、既存のインフラストラクチャ、Cisco AMP Threat Grid プレミアム フィード形式、および運用プロセスに応じて提供されるため、高度な脅威フィードを最大限にご利用いただけます。

詳細情報

Cisco AMP Threat Grid マルウェア分析および脅威分析の統合機能について詳しくは、 http://www.cisco.com/web/JP/solution/security/advanced-malware-protection/index.html にアクセスしてください。