McAfee Threat Intelligence Exchange (TIE) でできること

• エンドポイントとサンドボックスの連携が可能。クライアントPC上で動作した未知の実行ファイルをサンドボックスで解析し、その結果をリアルタイムに取り込み、制御可能
• グローバル脅威情報 (McAfeeレピュテーションサービスなど) と ローカル脅威情報 (ファイアウォールやIPSなどのセキュリティ製品) を集約して、組織内での脅威データベースを構築可能
• 集約した脅威情報は、軽量かつ高速にデータ転送を可能とする技術 (McAfee DXL) を使用して、リアルタイムに製品間で共有することが可能
• 既にクライアントPCに侵入してしまっている未知のマルウェアを、早期に検出・制御することが可能

エンドポイントの標的型攻撃対策

標的型攻撃に有効とされているサンドボックス装置をゲートウェイに設置し、未知の脅威から防御することは可能です。しかし、未知の脅威ファイル自体が暗号化されている場合や、ゲートウェイを通過しないルートでエンドポイントに侵入した未知の脅威ファイルは、エンドポイントで対策を行う必要があります。

McAfee Threat Intelligence Exchange (TIE) は、McAfee VirusScan Enterprise (VSE) と連携するTIEクライアントモジュールを使用して、エンドポイント上で実行された全ての実行ファイルの情報をTIEサーバに送信します。
TIEサーバでは、ローカルのエンドポイントの情報 (ファイル、プロセスおよび環境属性) と最新の総合的な脅威情報 (組織内の感染普及率、経年情報、レピュテーションなど) を組み合わせた情報をベースに、さまざまなリスク許容度を柔軟に設定できます。
この時、エンドポイントから対象のファイル検体を、サンドボックスであるMcAfee Advanced Threat Defense (ATD) で解析することができます。エンドポイントセキュリティでは不可欠なシグネチャーベースやレピュテーションに加えて、サンドボックスの技術を使用してより高度な検知が可能となります。

"Security Connected"を体現するローカル脅威情報データベース

McAfee Threat Intelligence Exchange (TIE) を使用すると、McAfee Global Threat Intelligence (GTI) やサードパーティのフィードなど、グローバルなデータソースから提供された包括的な脅威情報と、ローカルでエンドポイント、ゲートウェイ、サンドボックス等のセキュリティ コンポーネントから受信した脅威情報を集約して組織内での脅威情報データベースを構築します。
集約した脅威情報は、連携する製品で共有・分析することが可能です。管理者は、この情報を使用して環境や組織を保護するセキュリティ対策を調整できます。
マカフィーが提唱する"Security Connected"によって、ITシステムを「面で守る」ことにより、セキュリティ強度を上げながらTCOと人的リソースの削減が可能となります。

脅威情報の共有・活用のリアルタイム性とデータ分析

• 脅威情報の共有・活用のリアルタイム性
  エンドポイントとネットワーク ゲートウェイで検出したマルウェアから詳細な脅威情報を収集し、Data Exchange Layer (DXL) というデータ交換レイヤーを介してミリ秒単位で配信します。 セキュリティコンポーネントは、これらの情報を使用して新たに検出された脅威の攻撃を未然に防ぎます。 Data Exchange Layer (DXL) は次世代プロトコル「MQTT」をベースにし、その特性を活かした脅威情報の共有・連携のプラットフォームです。Data Exchange Layer (DXL) でやり取りされるデータは軽量であるため、高速でリアルタイムな処理が可能となります。

• 迅速な対応のための豊富なデータの分析
  包括的な脅威情報 (グローバル、ローカル、サードパーティ、手動作成) は、McAfee Threat Intelligence Exchange Server によって保存され、重要な問題に対する実用的な情報が分かりやすく表示されます。この分かりやすい表示によって、決定的な証拠が迅速に提供されるため、リスクのある状態のままサードパーティの確認を待つことなく、すぐに保護対策を実施できます。

インシデントの分析に際してTIEが判断する情報

クラウドやローカルの情報ソースまたは内部の調査によって、未知のファイルが不正なファイルであることが確認された場合、TIEサーバから攻撃の挙動に関する以下のような実用的な情報が提供されます。これにより、実際の状況を把握してインシデントに対応することが可能になります。

• エンドポイントに該当の不正なファイルはあるか。 (感染普及率)
• そのファイルは実行されたか。 (感染および未感染のエンドポイントを識別)
• 最初に感染したシステムはどれか。 (最初の発生)
• マルウェアが実行された時間帯で変更されたその他のファイルはどれか。
• 不正と確認されたファイルが実行された感染の可能性のあるマシンはどれか。
• マルウェアはどのように環境に拡散しているか。 (ファイルの経路)
• 自社環境内で特定のファイルを実行するために選ばれたエンドポイントはいくつあるか。
• 他のセキュリティ製品でブロックされていないファイルはどこにあるか。
• 疑わしい(グレー)ファイルで、脅威の可否 (白黒) を判断できるものはあるか。
• 最新の脅威情報に一致する挙動を示すホストはどれか。
• 特定のファイルに対するグローバルレピュテーションと社内のローカルレピュテーションの評価はどうか。
• この数時間で有害と特定されたファイルはいくつあるか。
• 環境内で白、黒、グレーに分類されるファイルはそれぞれいくつあるか。
• すべてのファイルのうち、白、黒、グレーはそれぞれどのくらいの割合を占めているか。
• すべてのファイルのうち、自社環境内のMicrosoft Windowsオペレーティングシステムのバージョン別に白、黒、グレーはそれぞれどのくらいの割合を占めているか。
• 特に攻撃の標的にされているMicrosoft Windows OSはあるか。