Capture Client とは
Capture Client(EDR - Endpoint Detection and Response-)は、ソニックウォール社が販売する次世代型エンドポイントセキュリティです。分散型AI(機械学習)による振る舞い検知機能を搭載し、近年猛威を振るうランサムウェア対策にも優れ、もし感染したとしても暗号化されたファイルをバックアップから復元、感染したPCをネットワークから隔離など充実した対応機能を備えています。マルウェアによる攻撃を防ぐことはもちろんですが、どんなに優れたエンドポイント製品でも日々進化し増殖するマルウェアを100%防ぐのは難しいという観点から侵入後の対策にも柔軟に対応するエンドポイントです。
※Capture Clientの詳細はこちらで確認が出来ます。
Capture Client の機能
- EDRライクな攻撃の可視化
- アプリケーションのホワイトリスト/ブラックリスト化
- 検知した脅威情報を表示
- コンテンツフィルタリング
- WINDOWSサーバーのサポート
- デバイスだけで簡易FWが設定できる機能
- RTDMI技術による強力なCAPTURE ATP
- 内部NWにCapture Clientが入っていないデバイスや不審なデバイスを検出する機能
- 過去から現在までのデバイスログに対してクエリ投げることができ、攻撃タイムラインとか調査可能
- 管理コンソール上から対象デバイスでPowershellやbashで任意のコマンドが実行可能
- SentinelOne側が用意した、過去によく過検知しがちなアプリケーションのリスト
Catpture Clientの特色
Capture Client の攻撃阻止のながれ
OSやプロセスから詳細な情報を収集し、リアルタイムにイベントを相関することで、各イベントを個々のストーリーとしてまとめられ、ローカルDBに一時的に保存されます。脅威として特定されたストーリーは脅威ストーリーとして、管理コンソールに記載され、1年間保存されます。不要と判断されたストーリーは随時ローカルDBから削除されていきます。
ランサムウェア対策の対応
ランサムウェアによってPC上のファイルが暗号化されてしまっても、CaptureClientではロールバック機能によって暗号化前の環境に復元することで被害を縮小化します。
・Windowsのみ、かつVSS(Volume Shadow Copy)が有効であることが条件
・VSSのスナップショットは4時間ごとに取得(WindowsOSの仕様による)
・ランサムウェアによってはVSSを削除するタイプもあるため万全の対策というわけではない
ランサムウェアの被害経路
自動拡散
メールや改ざんされたWebサイトの閲覧によってランサムウェア機能を含むマルウェアをダウンロード。マルウェアに含まれるペイロードが被害端末上で自動実行されることで、ワームのように拡散する。
攻撃者による手動での拡散
標的型攻撃のプロセス内においてランサムウェアが実行される。攻撃者が環境に侵入し、管理者レベルの権限を獲得することにより環境全体に広く展開する。
最近では二重脅迫ランサムウェアといった手口が有名。
EDR導入のアプローチ
EDRは効果的なソリューションだが、システム環境によってはその効果が限定的になることもある。基本的なセキュリティ対策がなされた上でEDRを導入することで最大限の効果を見込める。
※IPA:中小企業の情報セキュリティ対策ガイドライン https://www.ipa.go.jp/files/000055520.pdf