問題
- ESET LiveGuard Advanced の脅威分析プロセス
- ESET LiveGuard Advancedのサンドボックスコンポーネントについて詳しく読む
解決方法
詳細
クリックして拡大
高度な永続的脅威には、検出に対する行動的アプローチが必要です。マルウェアが何であるか(シグネチャベース)に基づいてマルウェアを検出しようとするのではなく、行動マルウェア検出はマルウェアが何をするかに依存します。組織のネットワークにセキュリティ・サンドボックスを導入することで、本番環境で実行する前に脅威の検出を強化するセキュリティ・レイヤーを追加します。この追加のセキュリティレイヤーは、ESET LiveGuard Advancedの不可欠なコンポーネントとして、クラウドパワードによる高度な脅威防御の一部です。
ネットワークセキュリティサンドボックスは、隔離されたテスト環境です。この環境のシステムは、疑わしいプログラムを実行し、その動作を観察し、自動化された方法で分析します。ネットワークセキュリティサンドボックスは、エンドポイントで実行される前に、その動作に基づいて悪意のあるサンプルをブロックします。
ネットワーク・セキュリティ・サンドボックスは、アクティブなコードを含むネットワーク・トラフィックをリッスンする複数のタイプのセンサーで構成されています。これらのセンサーはコードの静的解析を行います。サンドボックスには、動作ベースの検出、メモリ内イントロスペクション、機械学習による外挿モデルなど、複数の検出方法を使用する実行中のサンプルを詳細に検査するための仮想実行環境も含まれています。このアプローチは、単にファイルのシグネチャを比較するよりも効率的です。サンドボックスは、バイナリの外見だけではありません。ファイルが何をするかを観察するため、サンドボックスはシグネチャベースの検出よりも、ファイルが悪意のあるものであるかどうかを判断する上でより決定的です。
ESET LiveGuard Advancedの解析では、静的解析、動的解析、メモリダンプ、アンパック、類似性マッチングのために、ESETの内部ツールの多くを使用します。サンプルの動作を評価し、レピュテーションデータと脅威インテリジェンスフィードを使用して検出精度を高めます。
ESET LiveGuard Advancedの脅威分析プロセス
ESET LiveGuard Advancedにサンプルが送信されると、脅威分析のプロセスが始まります:
ディープラーニングを含む複数の機械学習モデルが、サンプルを何百万もの既知のマルウェアサンプルと比較し、類似点を探します。
システムは仮想環境またはサンドボックス内でサンプルを実行します。マルウェアサンプルを騙すためにユーザーの行動をシミュレートし、ディープラーニングのニューラルネットワークモデルを使用して、サンプルの挙動を利用可能なすべての既知のマルウェアサンプルの挙動と比較します。
ESETの受賞歴のあるスキャンエンジンの最新バージョンを使用して、すべてを分解し、異常がないかどうかを分析します。
最終結果は、利用可能なすべての手法に基づいて算出され、お客様に提供されます。
