Trellix

トレリックス

Trellix(旧McAfee)Mvision

Trellix(旧McAfee)社が手掛けるDevice to Cloud セキュリティプラットフォーム

Trellix(旧McAfee) MVISIONラインナップ

Trellix(旧McAfee) MVISIONラインナップ

McAfee MVISION製品概要

  • EDR:MVISION EDR

McAfee独自のインシデント解析ガイド機能を搭載したEDR製品です。エージェントから収集した大量のログ、アラートを収集し、ガイド機能を用いてセキュリティアナリストの思考ロジックを、仮説とQAで表示し対処の仕方をガイドする事で、経験値が高くないアナリストでも高度なオペレーションが可能になります。

  • 次世代AV:MVISION Endpoint

機械学習検知機能 による多層御や、Remediation(ロールバック)による復旧機能などのセキュリティ機能が強化されています。 Windows Defenderをすでにご利用のお客様は、Windows Defender と連携することで、Windows Defender の統合管理機能により、Defenderと併用して運用する事が可能です。

  • ePO:MVISION EPO

セキュリティ基盤の統合管理を実現する SaaS 型プラットフォームです。Windows/Linux/Mac等様々なプラットフォームの端末を一元管理し数万台規模の端末を 1つのプラットフォームで管理可能です。

  • MTD:MVISION MOBILE

中間者攻撃や、不正アクセスポイントといったモバイル機器特有の脅威を検知し、自動対処する事ができます。

  • MTD:MVISION Insights

膨大なセンサーから収集したデータを利用し、さまざまな攻撃を阻止します。

Trellix Endpoint Security ソリューション概要

Trellix Endpoint Security ソリューション概要

MVISION EDR 概要

MVISION EDR 概要

ガイド付き調査機能

MVISION EDRが提供する調査支援機能

ガイド付き調査機能

Trellix(旧McAfee) Endpoint Securityの概要

Windows向けエンドポイントセキュリティは 2つの選択肢があります。

ウイルス対策

  • 既知のマルウェア対策を効率よく実現
  • ルールベースブロックも実施
  • Endpoint Security Threat Prevention
  • 高度なスクリプトスキャン(AMSI連携)
    • Windows10では、パソコンにインストールされているウイルス対策ソフトのスキャン機能を別のプログラムから呼び出せるようにするための新たな仕組みが実装されることになった。「Antimalware Scan Interface(AMSI)」というインターフェースを使って、プログラムの中からウイルス対策ソフトにコンテンツを引き渡し、マルウェアではないかどうかをチェックできる。
    • 悪質なスクリプトは何重もの難読化が施してあったとしても、最終的には可読化され、明白なコードがスクリプト処理エンジンに引き渡される。その段階で、スクリプト処理エンジンはWindows AMSIの新しいAPIを呼び出して、可読化された内容のスキャンを要求できる。
    • Powershell、VB Script、Java ScriptのコードをAMSIがNESに引き渡してスキャンが可能。

脆弱性対策

Endpoint Security Threat Prevention

  • エクスプロイト防止
  • Endpoint Security Threat Prevention
  • エクスプロイト防止
    1. バッファオーバーフローによるエクスプロイト攻撃に対してブロック
    2. Windows DEPの実行防止を有効に設定可
    3. 保護レベルに応じてバッファオーバーフローによる防御をカスタマイズ可(保護レベル最大の場合、誤検知の発生可能性有)

ファイアウォール

Endpoint Security Firewall

  • 柔軟性と堅牢性を備えた Firewall機能
  • ネットワーク隔離も実現
  • ファイアウォール

Web管理

Endpoint Security Web Control

  • 感染ルートの多い Webサイトはマルウェア着弾前に検査を実施
  • Endpoint Security Web Control

次世代ウイルス対策

Endpoint Security Adaptive Threat Protection

  • 機械学習
  • Endpoint Security Adaptive Threat Protection
  • Dynamic Application Containment(DAC)
  • ロールバック機能

Dynamic Application Containment(DAC)

  • 脅威判定できなかったプロセスを監視し、悪意のある動作のみをブロック(封じ込め)
    • ファイルレピュテーションでは「信頼」「脅威」の判定ができなかったプロセスが対象
    • プロセスはシステム上で動作しているが、ルールで禁止されている危険な動作はできないためシステムに影響を与えることはほぼ不可能
  • DACによる動作の制限例
    • ランサムウェアの特徴的な動作
    • NWや外部媒体を使った拡散
    • 他のプロセスに対する不正なアクセス(インジェクション)
    • 別の実行可能な形式のファイルの作成(ダウンローダー、ドロッパーの動作)

ロールバック機能

  • 脅威が行った変更をロールバックし、脅威実行前の元の状態に可能な限り復元します。
    • レピュテーションが「不明」以下のプロセスとその子プロセスの動作を監視します。
    • 監視対象のプロセスが不正な挙動を示すと、プロセスを停止させるとともに、実行前の状態に復元します。

お問い合わせ・資料請求

株式会社マクニカ Trellix 担当

  • TEL:045-476-2010

平日 9:00~17:00