Sophos Endpoint Agent の概要

Web プロテクションは、アウトバウンドブラウザ接続を傍受し、悪意のある Web サイトまたは疑わしい Web サイトを宛先とするトラフィックをブロックします。ユーザーがマルウェア配信やフィッシング Web サイトに誘導されるのを防ぐことで、配信段階で脅威を阻止します。

Web コントロールは、同じトラフィック傍受テクノロジーを使用しているため、アダルトサイトやギャンブルサイトなど、望ましくないコンテンツや不適切なコンテンツへのアクセスをブロックできます。

ダウンロードレピュテーションは、ダウンロードされたファイルを分析し、SophosLabs のグローバル脅威インテリジェンスを使用して、感染率、経過時間、ソースに基づいて判定を行い、レピュテーションが低いファイルや不明なファイルをブロックするようにユーザーに促します。

アプリケーションコントロールを使用すると、脆弱なアプリケーション、環境に不適切なアプリケーション、不正な目的で使用される可能性のあるアプリケーションをブロックできます。ソフォスは、アプリをブロックまたは監視するための事前定義されたカテゴリを提供し、ハッシュで個々のアプリケーションをブロックする負担を軽減します。

周辺機器 (デバイス) コントロールを使用すると、リムーバブルメディア、Bluetooth、モバイルへのアクセスを監視およびブロックして、特定のデバイスがネットワークに接続できないようにすることができます。

データ流出防止 (DLP) は、機密データを含むファイルの転送を監視・制御します。たとえば、従業員が Web ベースのメールを使用して、機密ファイルを自宅に送信できないようにします。

サーバーロックダウンでは、信頼できるアプリケーションとその関連ファイルのみが、他のファイルを実行および変更できます。ソフォスは、インストールされたソフトウェアを記録し、安全性を確認し、サーバーがロックされている間に信頼できるアプリケーションの実行を許可します。

ユニバーサルランサムウェア対策 (CryptoGuard) は、業界で最も堅牢なランサムウェア対策保護を提供します。悪意のある暗号化の兆候がないかファイルの内容を常に監視し、ローカルで実行されている場合でも、侵害されたリモートデバイスで実行されている場合でも、問題のあるプロセスをブロックします。ソフォス独自のロールバックメカニズムは、攻撃者が頻繁に標的とするボリューム シャドウ コピー サービス (VSS) に依存することなく、暗号化されたファイルを元の状態に戻すことができます。

ほとんどのベンダーは、リモートランサムウェアに対して同等の保護レイヤーセットを提供していません。

適応型攻撃防御は、「ハンズオンキーボード」攻撃が検出された場合に、エンドポイントでより積極的な保護が自動的に有効になり、リモート管理ツールやレピュテーションの低い実行ファイルを試行するなど、攻撃者によって一般的に実行されるアクションをブロックします。

他のベンダーは、アクティブな攻撃者に対して同等の適応型防御を提供していません。

ディープラーニング （AIを活用した） マルウェア対策は、バイナリを分析して、ファイルの属性や予測的な推論に基づいて決定を下します。ディープラーニングは、新しい脅威や未知の脅威を含むマルウェアを検出してブロックする高度な機械学習です。

Live Protection は、SophosLabs の最新のグローバル脅威インテリジェンスをリアルタイムで検索し、追加のファイルコンテキスト、判定検証、誤検知の抑制、ファイルレピュテーションを実現することで、ソフォスの包括的なオンデバイス保護を拡張します。ソフォスの Tier 1 脅威調査では、当社の広範な製品ポートフォリオとグローバルな顧客ベースから追加のライブインテリジェンスを提供します。

競合の一部のベンダーは、事前にトレーニングされた機械学習モデルのみに依存しています。

動作解析は、プロセス、ファイル、レジストリイベントを長期にわたって監視し、悪意のある動作やプロセスを検出して阻止します。また、メモリスキャンを実行し、実行中のプロセスを検査して、プロセスの実行中にのみ明らかにされた悪意のあるコードを検出し、検出を回避するために実行中のプロセスのメモリに悪意のあるコードを埋め込む攻撃者を検出します。

エクスプロイト対策は、アプリケーションメモリを強化し、ランタイムコード実行ガードレールを適用することで、プロセスの統合性を保護します。Sophos Endpoint の 60種類以上のエクスプロイト対策テクノロジーがデフォルトで有効になっています。トレーニングや調整は不要で、ネイティブの Windows OS や他のほとんどのエンドポイント セキュリティ ソリューションが提供する保護をはるかに超えています。

競合の一部のベンダーは、広範なエクスプロイトの緩和策が欠けているか、大幅な手動調整が必要です。

アプリケーションのロックダウンは、一般的にこれらのプロセスに関連付けられていないアクションをブロックすることで、ブラウザやアプリケーションの誤用を防止します。たとえば、Web ブラウザや Office アプリケーションが PowerShell を起動しようとしている場合などです。

Antimalware Scan Interface (AMSI) は、スクリプト (PowerShell や Office マクロなど) が安全かどうかを判断します。これには、スクリプトが難読化されているか、実行時に生成されているかどうかなどが含まれ、マルウェアがメモリから直接読み込まれるファイルレス攻撃をブロックします。ソフォスは、AMSI の検出を回避しようとするマルウェアに対する独自の緩和策も備えています。

悪意のあるトラフィックの検出は、ブラウザ以外のプロセスからトラフィックを傍受し、悪意のあるアドレスを宛先とするかどうかを分析することで、Command and Control（C2）サーバーと通信しようとするデバイスを検出します。

ファイル整合性の監視 (FIM) は、Windows サーバー上のシステムにとって重要なファイルに対する変更を識別します。また、場所と除外を定義して、特定のファイル、フォルダ、レジストリキー、レジストリ値に対する変更を識別することもできます。

Sophos Data Lake は、エンドポイント、モバイル、ファイアウォール、ネットワーク、メール、クラウドテクノロジーなど、ソフォスおよびサードパーティ (ソフォス以外) ソリューションの広範なポートフォリオからの包括的なテレメトリを統合します。これにより、複数の攻撃対象領域にわたって重要なデータにアクセスし、AI によって優先順位付けされた脅威検出が可能になります。

Live Discover を使用すると、デバイスにクエリを実行してアクティビティを調査できます。これは、osquery テクノロジーを使用して、デバイスのステータスと属性をイベントジャーナルに監視および記録し、ガードレールを使用してデバイスに対するクエリの影響を制限します。Sophos Data Lake では、オフラインのデバイスを含む複数のデバイスについて情報をクエリできます。

Live Response は、Sophos Central コンソールに安全なターミナルを提供し、デバイスに接続して、セキュリティ上の問題を調査して修正できるようにします。完全で安全な監査済みのシェルアクセスで、コマンドを実行して、疑わしいプロセスの停止、アップデート待ちを含むデバイスの再起動、ファイルの削除などを実行します。

一部のベンダーは、コンソールを通じて限られたコマンドセットのみを提供しています。

フォレンジック分析のスナップショット。脅威が検出された場合、現在のアクティビティのスナップショットファイルはデバイスのディスク上に作成されます。これらのフォレンジックスナップショットをリモートで取得して、追加の分析を実行できます。

デバイスの隔離を使用すると、脅威を封じ込めるため、または調査中に、エンドポイントをネットワークから分離できます。この隔離により、TCP および UDP トラフィックがブロックされ、デバイスがネットワーク接続を確立できなくなります。

ソフォスの統合エンドポイントエージェントには、保護機能、検出機能、対応機能が初めからすべて標準で含まれています。組織は、軽量の「XDR センサー」オプションやさまざまなターンキーのサードパーティソリューションの統合を使用した、ソフォス以外のエンドポイント保護でソフォスの検出および対応機能の恩恵を受けることもできます。

競合の一部のベンダーは、サードパーティのエンドポイントテクノロジーの使用をサポートしていません。

ソフォスは、すべての主要な攻撃ベクトルにわたって最短時間で脅威を検出、調査、対応できるようにする統合セキュリティ運用プラットフォームとツールを提供します。強力な Sophos EDR (Endpoint Detection and Response) および XDR (Extended Detection and Response) 機能の詳細をご確認ください。