１．EPP（Endpoint Protection Platform）

エンドポイントを保護することを目的とし、エンドポイントに侵入したウイルスやマルウェアなどを検知・駆除し、エンドポイントを保護します。機械学習や振る舞い解析などの技術を活用して、未知のウイルスも検知できるようになっていますが、いくらEPP が進化しても巧妙化した攻撃を100%防ぐことは不可能です。そこで、攻撃を受けた後の対策まで提供する「EDR」が必要です。

２．EDR（Endpoint Detection and Response）

脅威の検出・封じ込め・調査・復旧という４つの機能によって、ネットワークに接続されたエンドポイントを守ります。しかし、いくら脅威を検出しても、それがどのように侵入してきたのかを分析するためにはネットワークやサーバとの連携が必要になります。そこで、エンドポイントだけでなく、より広い領域にわたって対策を行う「XDR」が必要です。

ネットワーク・デイバス上でやり取りされているファイルのハッシュ値（SHA-256）をCiscoがクラウド上で管理するデータベースに照合し、マルウェア、信頼できるベンダーファイル、不明なファイルの3種類に分類します。この時、マルウェアと判定されたファイルは即時隔離されますが、他の2種類のファイルに関してもファイルの存在する場所がクラウド上のコンソールに記録され、後でマルウェアと判定された場合でもファイルの場所が記録されているため即座に隔離を隔離されます。

ネットワーク上でのファイルの拡散状況やデバイス内でのファイルの挙動を時系列に沿って記録します。ファイルの作成、移動、コピー、実行といった動作から、ハッシュ値、ファイルパス、通信先アドレス、親プロセスといった情報まで記録するため、マルウェアの感染経路、感染範囲の調査が可能です。マルウェア自体の挙動は勿論のこと、マルウェアが作成したファイルやマルウェアがダウンロードしてきたファイルなど、第2、第3のマルウェアが疑われるファイルの挙動履歴も可視化されます。更に、疑わしいファイルを上述の「ファイル サンドボックス」に送付できます。「ファイル サンドボックス」での解析の結果、マルウェアと判定された場合は、上記「クラウドリコール」によって自動的に隔離されます。

「多面的な防御」、「継続的な脅威の検出」、「インシデント対応」を実現

• エンドポイントとテレワーカーを高度なマルウェアから保護し、マルウェアの侵入/拡散の防止から感染後の修復にまで対応
• マルウェアの検出とブロッキング、感染状況の確認、パストレースふるまい分析、ターゲット修復、マルウェア影響レポート
• 応答時間の短縮と修復の自動化によりさらなる攻撃を防ぎ、被害を軽減して再感染のリスクを排除
• 単一目的の検出テクノロジーでは通常発見されない侵害の兆候を、ネットワークとシステムの両方のレベルで検出
• シスコの Security Intelligence Operations のグローバルネットワークをセンサーとして利用し、さらに、Talos Security Intelligence and Research Group から収集した毎月数十億に及ぶマルウェアサンプルの分析結果を有効に活用して、統合セキュリティ インテリジェンスによる保護を実現
• 感染したエンドポイントをネットワークから隔離し、フォレンジックデータを損なうことなく脅威を抑止。修復の完了時にはエンドポイントを迅速に再アクティブ化
• 侵害を受けたシステム
• 最新システムの AV レポート
• 脅威の根本原因
• エンドポイントによって生成されたトラフィックに対する脅威の洞察
• CVE の詳細と CVSS スコアに基づく、エンドポイント全体のアプリケーション脆弱性の追跡
• Malware Analytics が返すスコアは、シスコのセキュアサンドボックスに送信された上位ファイルに対して評価可能

Orbital Advanced Search（Orbital クエリによる高度な調査）

100以上のカタログクエリにより、セキュリティ調査と脅威の追跡をシンプル化。任意または全てのエンドポイントで複雑なクエリを迅速に実行できます。また、現在の状態のスナップショットを取得することで、任意のエンドポイントで発生した事象をより詳細に把握できます。また、下記のタスクを迅速に実行できます。

• 脅威追跡：悪意のあるアーティファクトをほぼリアルタイムで検索）
• インシデント調査：インシデントの根本原因を迅速に把握
• IT運用：ディスク領域、メモリ、およびその他のIT運用の状況を確認
• 脆弱性とコンプライアンス：バージョンやパッチのアップデートなど、エンドポイントが現在のポリシーに準拠しているか確認

Secure Malware Analytics（旧Threat Grid）クラウドサンドボックス

• 環境全体のファイルと不審なふるまいを迅速に分析。マルウェア分析と脅威インテリジェンスにより脅威に迅速に対応
• 数百万ものサンプルや数十億ものマルウェアのアーティファクトを基にして、ファイルのふるまいを分析。マルウェアに関するグローバルな履歴情報が得られるため、マルウェアが何をしているか、組織にどの程度の影響を及ぼすかを把握可能
• マルウェアの主な動作指標と、それに関連する攻撃を特定。予想される影響の大きさ基づいて優先順位を付けることで時間を節約
• ユーザが脅威を迅速に把握して対応できるようにし、堅牢な検索機能、相関関係、詳細な静的分析と動的分析を提供。実行するサンプルに安全にアクセスし、マルウェアのふるまいを直接監視するためのグローブボックスのようなツールを提供
• 既存のセキュリティ製品およびプロセスとの統合や自動化を支援する優れた API によって、迅速なマルウェア脅威検出とすみやかな対応が可能

「侵害の痕跡」を調査してどのような攻撃を受けているのかを分析

• 24 時間365 日、検出制御で見落とされた「IoC（Indicators of Compromise）：侵害の痕跡」を検出するための仮説主導型「Cisco SecureX 脅威ハンティング」
• 全てのコンテキスト（ネットワークとクラウド全体）をカバー
• 侵害インシデントの開始、検出、攻撃手法・戦術サマリーをタイムラインでレポート
• 推奨される修復、リカバリ手順の提示