安全かつ迅速、効率的なマルウェア分析を実現するため、適応型脅威分析を基盤とした次世代サンドボックス「MetaDefender 」を MetaDefender Coreへの統合を発表できることを嬉しく思います。このアップデートにより、コンテンツ・ディサーム・アンド・リコンストラクション(Deep CDR™ テクノロジー)、Multiscanning、File-Based Vulnerability Assessment、データ損失防止、Threat Intelligenceなど、MetaDefender すでに強力な機能群がさらに強化されます。
MetaDefender 、MetaDefender独自の動的解析技術を追加します。動的解析、静的ファイル解析、レピュテーションサービス、YARAシグネチャ照合といった高度な適応型機能を活用し、悪意のあるファイルを検出し、「侵害の兆候(IOC)」を瞬時に抽出します。
MetaDefender 、「MetaDefender 」を、フル機能のリモートエンジンと軽量な組み込みエンジンの2つのバージョンでMetaDefender 。
MetaDefender :リモートエンジンと組み込みエンジンの比較
MetaDefender Core Filescan モジュールには、エンベデッド・エンジンとリモート・エンジンの2種類のエンジンがあります:
- Embedded Engineには、「スキャナー」エンジンが含まれており、これはMetaDefender Core に直接インストールされ、ファイルをローカルで処理します。これは、MetascanやContent Disarm and Reconstruction(Deep CDR™テクノロジー)など、他のMetaDefender Core と同様の機能を備えています。
- リモート・エンジンには個別のFilescan インスタンスが必要で、設定可能なURLとAPI キーに基づいてリモート・サーバーに接続する。サーバーはオンプレミスでもクラウドでもよい。
どちらのエンジンにも以下の特徴がある:
- 静的ファイル解析:ファイルパーサー、ファイル証明書の検証
- 動的解析:Microsoftファイルエミュレーション、PEアンパッキング、フルバイナリ解析、JavaScript/VBSエミュレーション
- Reputation Service:ファジーハッシュ検索、Googleセーフブラウジング
- YARAシグネチャーマッチャー
- 地域社会の動向
- 従来のThreat Intelligence データベース
リモート・エンジンには以下も含まれる:
- 静的ファイル解析:光学式文字認識(OCR)による画像テキスト解析
- 動的分析:PowerShellスクリプトエミュレーション、URLエミュレーション、フィッシング検出
- 評判サービス:OPSWAT 評判ルックアップ
- レポート機能の強化
全機能リストはこちらをクリック。
MetaDefenderを使用してMetaDefender Engine を展開する
Filescan がアップデートサーバーに存在し、インターネットモジュールがアップデートモジュールに設定されている場合、MetaDefender Core が自動的にエンジンをダウンロードし、配置します。手動で配置するオプションもあります。
Filescan リモートエンジンに接続
フル機能のリモートエンジンに接続したい場合は、「インベントリ」→「モジュール」→「 MetaDefender 」 の順に移動し、API と接続先のアドレスを追加してください。
MetaDefenderを使用してMetaDefender モジュールを設定する
グローバル・コンフィギュレーション設定
Filescanグローバルに設定するには、「インベントリ」→ 「モジュール」→ 「MetaDefender 」 の順に移動してください。
グローバル・コンフィギュレーション設定により、ファイルの処理と分析に使用する機能を細かく制御できます。
ワークフローの構成
当社のワークフロー管理機能を使用すると、グローバル設定とは別のワークフローを作成できます。また、Deep Content Disarm and Reconstruction Deep CDR™ テクノロジー)、プロアクティブなデータ漏洩防止(DLP)、カスタムブロックリストおよび許可リストなど、MetaDefender ファイルを分析することも可能です。
カスタムワークフローを作成するには、「ワークフロー管理」→「新規ワークフロー」を開きます。
MetaDefender Engine をMetaDefenderと一緒にご利用ください
検疫モードと帯域外分析
シナリオによっては、ブロックされたファイルをさらに分析するために隔離に送 りたい場合があります。
例えば、Metascanが悪意のあるファイルや疑わしいファイルを特定した場合、そのファイルをセキュリティ・オペレーション・センター(SOC)のアナリストに送信して、戦術、技術、手順(TTP)を理解させ、マルウェアの発生を自動的に調査することができます。
デジタル・フォレンジックおよびインシデント・レスポンス(DFIR)チームは、オリジナル・ファイルを精査し、侵害の指標(IOC)、追加ファイルの詳細などを含む包括的なレポートをFilescan から取得することをお勧めします。
また、「Deep Content Disarm and Reconstruction Deep CDR™ テクノロジー)」を使用してファイルを無害化するとともに、元のFilescan 送信して詳細な検査Filescan 可能です。当社のアウトオブバンド分析により、エンドユーザーには安全なファイルを提供しつつ、アナリストにはマルウェアの感染拡大を調査するために必要なツールを提供します。
ワークフロー管理」→「ワークフロー」→「ワークフローを選択」→「プロセス」→「ブロックされたファイルを隔離 」に移動します。
MetaDefender を使用してファイルを自動的に処理する
MetaDefender を使用すれば、隔離されたファイルを自動的にスキャンし、各ファイルの詳細な分析結果を表示することができます。
「履歴」→「隔離」→「設定」→「MetaDefender 」の順に移動し、「ファイルをMetaDefender に自動的に送信する」を有効にします。
MetaDefender +Filescan Sandbox マルウェア解析と検出機能
当社独自のエミュレーション・エンジンにより、大規模かつ驚異的なスピードでダイナミックなファイル解析が可能になり、有害なファイルをより迅速かつ効率的に検出し、保護することができます。
Adaptive 脅威分析機能
Filescanの動的マルウェア解析は、Microsoft Office文書、PowerShellスクリプト、URLなどをエミュレートします。
マイクロソフト・オフィス・ファイル・エミュレーション
Microsoft Officeファイルをエミュレートし、悪意のあるマクロやその他の隠れた脅威を検出します。
URLエミュレーションとフィッシング検知
Filescan は、リアルタイムでURLをエミュレートすることでフィッシングの試みを検知し、脅威がダメージを与える前に捕まえることができる。
静的解析機能
このアップデートでは、新しい静的マルウェア解析機能が追加され、高度なサイバーセキュリティの脅威に対する保護が強化されています。
ファイル・パーサー
新しいファイル・パーサーは、詳細なファイル情報を提供し、潜在的に有害なファイルを迅速に特定・分離するのに役立ちます。
ファイル証明書の検証
さらに、ファイル証明書の検証は、正当で承認されたファイルのみがネットワーク上で実行されることを保証します。
画像テキスト分析
画像テキスト分析機能は、光学式文字認識(OCR)技術を使用して画像を分析し、画像内の悪意のあるテキストを検出します。この機能は、従来のセキュリティ対策では気付かれなかったテキストベースの脅威を特定するのに役立ちます。
レピュテーション・サービス
レピュテーション・サービスは、OPSWAT (MetaDefender )の新しいサンドボックス機能の重要な構成要素であり、サイバー攻撃から組織を保護するための高度なthreat intelligence 。
ファジー・ハッシュ検索
レピュテーション・サービスの主な機能のひとつにファジー・ハッシュ検索があり、MetaDefender 、既知のマルウェアのハッシュとファイルのデジタル「フィンガープリント」を比較することができる。
これにより、従来のシグネチャベースのアンチウイルス・ソフトウェアによる検出を回避するためにわずかに変更されたファイルであっても、悪意のあるファイルを識別し、ブロックすることができる。
ファジーハッシュルックアップにより、MetaDefender 、疑わしいファイルを迅速かつ正確に特定して隔離し、組織のネットワークとデータをサイバー脅威から守ります。
OPSWAT 評判検索
OPSWAT Reputation Lookupは、400億以上のハッシュを持つファイルレピュテーションデータベースの分析に基づいて、ファイルのレピュテーションのスコアを提供します。
この機能はFilescan リモートエンジンに組み込まれており、有効なMetaDefender Cloud ライセンスと有効なThreat Intelligence モジュールを持つEmbedded Engineユーザーが利用できます。
YARAシグネチャーマッチャー
MetaDefender YARA Signature Matcher は、OPSWAT の強力な機能で、カスタムルールを使用して悪意のあるファイルを検出および識別します。
YARAは、特定の種類のマルウェアを識別するためのカスタムルールを作成するために使用できる柔軟なパターンマッチングツールです。YARA Signature Matcherを使用することで、MetaDefender 、既知の脅威を迅速かつ正確に検出、ブロックするだけでなく、新しい脅威や出現しつつある脅威を特定することができます。
メリット強力、高速、効率的、ダイナミックな分析技術
MetaDefender 、セットアップが簡単で、リソースの使用効率も優れています。1時間足らずMetaDefender 稼働させ、マルウェアからお客様を守ることができます。技術的な詳細については、こちらをご覧ください。
導入オプション
MetaDefender を使用すれば、オンプレミス環境でもクラウド環境でも、Filescan高速かつ動的なマルウェア分析機能を利用できます。リモートエンジンの導入に関する詳細については、MetaDefender のデータシートをご覧ください。
その他の強化およびアップデート
詳細については、opswat.com/products/metadefender/coreをご覧いただくか、当社の重要インフラ・サイバーセキュリティ・エキスパートまでお問い合わせください。
リリース詳細
製品:MetaDefender Core
リリース日:2023 年 4 月 7 日
リリースノート:5.5.0
OPSWAT ポータルのダウンロードリンク:ダウンロード
