コンテンツにスキップ

サーバー脅威対策: Intercept X Advanced

Intercept X Advanced for Server ライセンスをお持ちの場合は、標準のサーバープロテクションのオプションに加えて、脅威対策ポリシーにオプションが表示されます。

ランタイム保護

一部のオプションを使用するには、アーリー アクセス プログラムに参加する必要があります。

ランタイム保護は、エンドポイント上の疑わしい動作や、悪意のある動作・トラフィックを検出することにより、脅威から防御する機能です。

  • ランサムウェアから文書ファイルを保護する (CryptoGuard): ファイルへのアクセスを制限したうえで、アクセスを復旧するための支払いを強請するマルウェアから文書ファイルを保護します。また、リモートから実行されるランサムウェアから、64ビット版のコンピュータを保護することもできます。ランサムウェアが検出された際に実行するアクションを選択できます。実行中のランサムウェアプロセスを終了したり、ランサムウェアプロセスを隔離することで、ファイルシステムへの書き込みを停止したりできます。
  • MBR を上書きするランサムウェアから保護する: マスターブートレコードを暗号化してコンピュータの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。
  • Web ブラウザの重要な機能を保護する (セーフブラウジング): マルウェアによる Web ブラウザの悪用を防止します。
  • 脆弱なアプリケーションにおけるエクスプロイトを防止する: 特にマルウェアに悪用されやすいアプリケーションを保護します。保護するアプリケーションの種類を選択できます。
  • 高度なエクスプロイト対策の設定:

    • 認証情報の窃取を防止する: パスワードやハッシュ情報をメモリ、レジストリ、ハードディスクから窃取しようとする行為を防止します。
    • Code Cave のエクスプロイトを防止する: 正規アプリケーションに埋め込まれた悪意のあるコードを検出します。
    • APC の悪用を防止する: APC (Application Procedure Call) を悪用してコードを実行する攻撃を防ぎます。
    • 権限昇格を防止する: 権限の低いプロセスを高い権限に昇格させ、システムにアクセスしようとする攻撃を防ぎます。ポリシーをサーバーに適用する前に、これらの設定をテストすることを推奨します。
  • プロセスを保護する: 正規のアプリケーションがマルウェアによってハイジャックされることを防止します。次の操作を実行できます。

    • プロセス書き換え攻撃を阻止する。
    • 信頼できないフォルダから .DLL ファイルが読み込まれることを阻止する。
  • CPU のブランチトレースを有効にする: CPU の悪意のあるコードの検知は、プロセッサのアクティビティをトレースして検知を許可する、Intel プロセッサの機能です。ソフォスでは、次のようなアーキテクチャの Intel プロセッサでこの機能に対応しています。Nehalem、Westmere、Sandy Bridge、Ivy Bridge、Haswell、Broadwell、Goldmont、SkyLake、Kaby Lake

    なお、コンピュータに (正規) のハイパーバイザーがある場合、この機能には対応していません。

  • ダイナミックシェルコード対策。隠れたリモートアクセスエージェントの動作を検出し、攻撃者がネットワークを制御することを防止します。

  • CTF プロトコルの呼び出し元を検証する。CTF を悪用しようとするアプリケーションに割り込み、ブロックします。

    Windows コンポーネントにあり、単に「CTF」と呼ばれている脆弱性は、Windows XP までさかのぼるすべての Windows バージョンに存在し、管理者権限のない不正な攻撃者が、サンドボックス内で実行されているアプリケーションを含む、あらゆる Windows プロセスを乗っ取ることを可能にします。

  • 安全でないモジュールのサイドローディングを防止する。ApiSet スタブ DLL を装う悪意のある DLL を、アプリケーションがサイドローディングすることを防ぎます。

    ApiSet スタブ DLL は、古いアプリケーションと新しい OS バージョンとの互換性を維持するためのプロキシとして機能する DLL です。攻撃者は、悪意のある ApiSet スタブ DLL を配置してこの機能を悪用したり、タンパープロテクションをバイパスしてマルウェア対策を終了させたりする可能性があります。

  • MFA サインインに使用されるブラウザの Cookie を保護する。多要素認証 (MFA) Cookie の暗号化に使用される AES キーが、不正なアプリケーションによって復号化されることを防ぎます。

  • Linux のランタイム検知: これによって、Linux サーバーのワークロードとコンテナに対して、ランタイムの可視性と脅威検出機能を提供できます。このような警告は、Sophos Central Admin の脅威解析センターで管理できます。

    このオプションを使用するには、Intercept X Advanced for Server with XDR ライセンスまたは Server MTR ライセンスが必要です。

ディープラーニング

ディープラーニングは高度な機械学習を利用して脅威を検出します。既知および未知のマルウェアや、業務上不要と思われるアプリケーションを、シグネチャを使用することなく識別することが可能です。

修復

  • 脅威グラフの作成を有効にする: 脅威ケースでは、マルウェア攻撃に関連する一連のイベントを調査したり、セキュリティの改善余地のある領域を見つけ出すことができます。