Sophos Endpoint Agent の概要

ソフォスは、多くの一般的なビジネス向けアプリケーションよりも少ないエージェントフットプリントを維持しながら、強力な攻撃対象領域の削減、脅威の防止、検出と対応機能を提供します。競合他社のソリューションの多くは、保護の強さよりもエージェントのサイズを優先するため、同じような豊富で幅広い機能を備えていません。

優れた保護が必要ではありませんか?

脅威対象領域の削減

攻撃を早期に阻止することは、攻撃チェーンの後半で攻撃を監視して修復することよりもリソースの消費が少なくなります。エンドポイントでネットワークトラフィックを傍受することで、企業ネットワーク内外のユーザーに強力な保護効果がもたらされます。このような脅威対象領域の削減機能がすべて備わっていないソリューションでは、攻撃がシステムに侵入する前にブロックする機会が少なくなります。

Web 保護

Web 保護は、アウトバウンドブラウザ接続を傍受し、悪意のある Web サイトまたは疑わしい Web サイトを宛先とするトラフィックをブロックします。ユーザーがマルウェア配信やフィッシング Web サイトに誘導されるのを防ぐことで、配信段階で脅威を阻止します。

 

Web コントロール

Web コントロールは、同じトラフィック傍受テクノロジーを使用しているため、アダルトサイトやギャンブルサイトなど、望ましくないコンテンツや不適切なコンテンツへのアクセスをブロックできます。

 

ダウンロードレピュテーション

ダウンロードレピュテーションは、ダウンロードされたファイルを分析し、SophosLabs のグローバル脅威インテリジェンスを使用して、感染率、経過時間、ソースに基づいて判定を行い、レピュテーションが低いファイルや不明なファイルをブロックするようにユーザーに促します。

 

アプリケーションコントロール

アプリケーションコントロールを使用すると、脆弱なアプリケーション、環境に不適切なアプリケーション、不正な目的で使用される可能性のあるアプリケーションをブロックできます。ソフォスは、アプリをブロックまたは監視するための事前定義されたカテゴリを提供し、ハッシュで個々のアプリケーションをブロックする負担を軽減します。

 

周辺機器 (デバイス) コントロール

周辺機器 (デバイス) コントロールを使用すると、リムーバブルメディア、Bluetooth、モバイルへのアクセスを監視およびブロックして、特定のデバイスがネットワークに接続できないようにすることができます。

 

データ流出防止 (DLP)

データ流出防止 (DLP) は、機密データを含むファイルの転送を監視・制御します。たとえば、従業員が Web ベースのメールを使用して、機密ファイルを自宅に送信できないようにします。

 

サーバーロックダウン

サーバーロックダウンでは、信頼できるアプリケーションとその関連ファイルのみが、他のファイルを実行および変更できます。ソフォスは、インストールされたソフトウェアを記録し、安全性を確認し、サーバーがロックされている間に信頼できるアプリケーションの実行を許可します。

 

 

脅威の防止

攻撃チェーンの早い段階でより多くの脅威を阻止することで、より少ないインシデントの調査に集中できます。一部の検出および対応ソリューションは、エージェントのフットプリントを削減するために、包括的な予防策を提供して、調査のためのテレメトリの収集に重点を置いています。ソフォスは、第三者機関テストで一貫したトップスコアを獲得することで有効性が検証されているように、より広範な脅威防御機能を提供します。

徹底的なランサムウェア対策 (Cryptoguard)

ビデオを見る

ソフォスの CryptoGuard テクノロジーは、ファイルの内容を監視して悪意のある暗号化を検出し、リアルタイムでブロックします。コンピュータ上で直接実行されている場合はもちろん、ネットワークに接続している感染デバイスからの暗号化も検出します。この普遍的なアプローチにより、ローカルやリモートのランサムウェアはもちろん、新種のランサムウェアからもデータを守ることが可能です。ソフォス独自の自動ロールバックメカニズムは、攻撃者の標的となりがちなボリューム シャドウ コピー サービス (VSS) に頼らずに、暗号化されたファイルを元の状態に戻すのが特徴です。

Sophos Endpoint は、堅牢なゼロタッチのエンドポイント防御を提供し、リモートランサムウェアにも対応します。

 

Adaptive Attack Protection

ビデオを見る

適応型攻撃防御は、「ハンズオンキーボード」攻撃が検出された場合に、エンドポイントでより積極的な保護が自動的に有効になり、リモート管理ツールやレピュテーションの低い実行ファイルを試行するなど、攻撃者によって一般的に実行されるアクションをブロックします。

他のベンダーは、アクティブな攻撃者に対して同等の適応型防御を提供していません。

 

マルウェア対策を搭載したディープラーニング (AI を活用)

ディープラーニング (AIを活用した) マルウェア対策は、バイナリを分析して、ファイルの属性や予測的な推論に基づいて決定を下します。ディープラーニングは、新しい脅威や未知の脅威を含むマルウェアを検出してブロックする高度な機械学習です。

 

Live Protection

Live Protection は、SophosLabs の最新のグローバル脅威インテリジェンスをリアルタイムで検索し、追加のファイルコンテキスト、判定検証、誤検知の抑制、ファイルレピュテーションを実現することで、ソフォスの包括的なオンデバイス保護を拡張します。ソフォスの Tier 1 脅威調査では、当社の広範な製品ポートフォリオとグローバルな顧客ベースから追加のライブインテリジェンスを提供します。

競合の一部のベンダーは、事前にトレーニングされた機械学習モデルのみに依存しています。

 

動作解析

動作解析は、プロセス、ファイル、レジストリイベントを長期にわたって監視し、悪意のある動作やプロセスを検出して阻止します。また、メモリスキャンを実行し、実行中のプロセスを検査して、プロセスの実行中にのみ明らかにされた悪意のあるコードを検出し、検出を回避するために実行中のプロセスのメモリに悪意のあるコードを埋め込む攻撃者を検出します。

 

エクスプロイト対策

エクスプロイト対策は、アプリケーションメモリを強化し、ランタイムコード実行ガードレールを適用することで、プロセスの統合性を保護します。Sophos Endpoint の 60種類以上のエクスプロイト対策テクノロジーがデフォルトで有効になっています。トレーニングや調整は不要で、ネイティブの Windows OS や他のほとんどのエンドポイント セキュリティ ソリューションが提供する保護をはるかに超えています。

競合の一部のベンダーは、広範なエクスプロイトの緩和策が欠けているか、大幅な手動調整が必要です。

 

アプリケーションロックダウン

アプリケーションのロックダウンは、一般的にこれらのプロセスに関連付けられていないアクションをブロックすることで、ブラウザやアプリケーションの誤用を防止します。たとえば、Web ブラウザや Office アプリケーションが PowerShell を起動しようとしている場合などです。

 

Antimalware Scan Interface (AMSI)

Antimalware Scan Interface (AMSI) は、スクリプト (PowerShell や Office マクロなど) が安全かどうかを判断します。これには、スクリプトが難読化されているか、実行時に生成されているかどうかなどが含まれ、マルウェアがメモリから直接読み込まれるファイルレス攻撃をブロックします。ソフォスは、AMSI の検出を回避しようとするマルウェアに対する独自の緩和策も備えています。

 

悪意のあるトラフィックの検出

悪意のあるトラフィックの検出は、ブラウザ以外のプロセスからトラフィックを傍受し、悪意のあるアドレスを宛先とするかどうかを分析することで、Command and Control(C2)サーバーと通信しようとするデバイスを検出します。

 

ファイル整合性の監視 (FIM)

ファイル整合性の監視 (FIM) は、Windows サーバー上のシステムにとって重要なファイルに対する変更を識別します。また、場所と除外を定義して、特定のファイル、フォルダ、レジストリキー、レジストリ値に対する変更を識別することもできます。

 

 

検出、調査、および対応

情報量が多いほど、迅速な対応が可能になります。ソフォスは、環境内の疑わしいアクティビティを効果的に調査して対応するために必要な、幅広く詳細なデータを提供します。デバイスアクティビティの包括的なログ記録は、エージェントのフットプリントにはほとんど影響を与えませんが、応答効率には大きな影響を与えます。必要に応じて、デバイス上でこのために使用されるディスク容量と、データが収集される時間を制限できます。

Sophos Data Lake

Sophos Data Lake は、エンドポイント、モバイル、ファイアウォール、ネットワーク、メール、クラウドテクノロジーなど、ソフォスおよびサードパーティ (ソフォス以外) ソリューションの広範なポートフォリオからの包括的なテレメトリを統合します。これにより、複数の攻撃対象領域にわたって重要なデータにアクセスし、AI によって優先順位付けされた脅威検出が可能になります。

 

Live Discover

Live Discover を使用すると、デバイスにクエリを実行してアクティビティを調査できます。これは、osquery テクノロジーを使用して、デバイスのステータスと属性をイベントジャーナルに監視および記録し、ガードレールを使用してデバイスに対するクエリの影響を制限します。Sophos Data Lake では、オフラインのデバイスを含む複数のデバイスについて情報をクエリできます。

 

Live Response

Live Response は、Sophos Central コンソールに安全なターミナルを提供し、デバイスに接続して、セキュリティ上の問題を調査して修正できるようにします。完全で安全な監査済みのシェルアクセスで、コマンドを実行して、疑わしいプロセスの停止、アップデート待ちを含むデバイスの再起動、ファイルの削除などを実行します。

一部のベンダーは、コンソールを通じて限られたコマンドセットのみを提供しています。

 

フォレンジック分析のスナップショット

フォレンジック分析のスナップショット。脅威が検出された場合、現在のアクティビティのスナップショットファイルはデバイスのディスク上に作成されます。これらのフォレンジックスナップショットをリモートで取得して、追加の分析を実行できます。

 

デバイスの隔離

デバイスの隔離を使用すると、脅威を封じ込めるため、または調査中に、エンドポイントをネットワークから分離できます。この隔離により、TCP および UDP トラフィックがブロックされ、デバイスがネットワーク接続を確立できなくなります。

 

サードパーティとの互換性

ソフォスの統合エンドポイントエージェントには、保護機能、検出機能、対応機能が初めからすべて標準で含まれています。組織は、軽量の「XDR センサー」オプションやさまざまなターンキーのサードパーティソリューションの統合を使用した、ソフォス以外のエンドポイント保護でソフォスの検出および対応機能の恩恵を受けることもできます。

競合の一部のベンダーは、サードパーティのエンドポイントテクノロジーの使用をサポートしていません。

 

Sophos EDR/XDR

ソフォスは、すべての主要な攻撃ベクトルにわたって最短時間で脅威を検出、調査、対応できるようにする統合セキュリティ運用プラットフォームとツールを提供します。強力な Sophos EDR (Endpoint Detection and Response) および XDR (Extended Detection and Response) 機能の詳細をご確認ください。

 

sophos-shield-lockup

ソフォスは、パフォーマンスの高いソリューションと最適化されたエージェントのフットプリントを維持しながら、最強の保護を提供します。

エージェントの規模のみに基づいてエンドポイント セキュリティ ソリューションを選択すると、サイバー脅威にさらされる可能性があります。なぜリスクを冒す必要があるのでしょうか?