Trellix Protection for Native Security のスキャンプロセス

Trellix Protection for Native Security には、従来は追加オプション製品(別売)だった ATP(ライセンス名:ETD)に含まれる機械学習(Real Protect と同等)が標準で含まれます。従来型のパターンマッチングでは検知が難しい脅威も、静的解析および動的解析を行い、高度な分析で未知の脅威を検知します。
※静的+動的なデータ解析を組み合わせたTrellixの独自技術。

静的解析(静的なファイルの特徴を抽出)

ファイル実行前に、膨大な既知のマルウェアの特徴を元にファイル解析を行い、クライアントで検知します。

・ファイルタイプ、・インポートハッシュ、 ・エントリポイント、・リソース、・文字列、・パッカーやコンパイル詳細、・API、・コンパイル時間、・セクション名など。

【紹介動画】Real Protect Clientによる実行前検出
Real Protect Client(2:55)※静的解析。

動的解析(ビヘイビアの特徴とメモリ解析)

ファイル実行後、クライアントでの振舞いの特徴をクラウドで解析します。

・ビヘイビア シーケンス、・プロセスツリー、
・ファイル システム、・レジストリ イベント、
・ネットワーク通信イベント、・ミューテックス、
・メモリの文字列など。

【紹介動画】DACによる制限付き実行とReal Protect Cloudによる振る舞い検知(機械学習による防御)
Real Protect Cloud(1:53)※動的解析。

■+αの機能について【NEW】

Trellix Protection for Native Security および ENS 10.7 以降には、機械学習の他に +α の機能として以下の新機能が含まれます。

●パスワード盗難対策:認証情報(ログイン パスワード)の盗難を防御する機能。(Credential Theft Protection)
【YouTube】Demo(2:04)※英語版のみ
●ファイルレス脅威対策:Windowsの「PowerShell」や「WMI」を悪用したファイルレスマルウェアによる攻撃を防御。
※Attack Behavior Blockingの一機能

■ENSのATPに含まれるDAC(Dynamic Application Containment)について

制限付き実行によって脅威を封じ込める機能です。万一、機械学習による静的解析で白黒判定できなかった場合でも感染を防ぐ事ができます。DACではファイルの実行は可能ですが、DAC 独自のルール(40種類以上)で禁止されている危険な動作はできない為、システムに影響を与える事はほぼ不可能です。
※Trellixの独自技術です

具体的には、書き換えが行われる前のファイルを各ローカルデバイスに記録します。
お客様の環境にも依りますが、現実的な利用環境を考慮した場合、各ローカルデバイスのHDD 上に 5 GB 程度の容量を確保いただきます。

●ロールバック機能:ランサムウェア等に万一感染した場合、感染前の状態に戻す事が出来る機能。