この記事は、アンチマルウェアと次世代(NG)アンチマルウェアエンジンのCatoアンチマルウェアポリシーの一般的な概要を提供します。 ポリシーのカスタマイズについて詳しくは、マルウェア対策ポリシーの設定をご覧ください。
Catoアンチマルウェアセキュリティポリシーは、悪意のあるファイルがネットワークに侵入するのを防ぐために、2つの保護層を提供します:アンチマルウェアと次世代アンチマルウェア。 両方のレイヤーは、WANおよびインターネットトラフィックから到着するファイルを同時にスキャンします。
- マルウェア対策層は、既知のファイル署名とヒューリスティック分析に基づいてマルウェアの脅威から保護します。
- 次世代アンチマルウェアは機械学習マルウェア検出技術に基づく二層目であり、予測モデルを用いてファイルを良性・疑わしい・悪意のあるものに分類します。 この層はファイルをスキャンし、ファイルが悪意のあるものかどうか示す特徴を探します。 これらのモデルは未知のマルウェアとゼロデイマルウェアを検出することができます。
アンチマルウェアおよび次世代アンチマルウェアエンジンは、接続を順次検査し、トラフィックがルールに一致するかどうかを確認します。 ルールベースの最終ルールは、暗黙のANY - ANYブロックルールであるため、トラフィックがルールに一致しない場合、ファイルは自動的にスキャンされます。 ルールベースの最後のルールは、悪意のある および 疑わしい ファイルに対するデフォルトのANY - ANYブロックルールです。したがって、ルールに一致しないトラフィックの場合、ファイルが自動的にスキャンされ、これらの判定がされたファイルはブロックされます。
ルールベースの最後にあるデフォルトルールセクションで、デフォルトルール設定を確認できます。 これらのルール設定は編集できません。
ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも接続に先に適用されます。 例えば、接続がルール#2に一致した場合、その接続に対してアクションが適用され、アンチマルウェアまたはNGアンチマルウェアエンジンはルール#3以下を無視します。
マルウェア対策エンジンは各ダウンロードされたファイルをスキャンし、ユニークな署名を持つかどうかを確認し、その署名を既知の悪意のあるファイルのデータベースと比較します。 データベースは新しいファイルの署名で30分ごとに更新されます。 このエンジンはヒューリスティック分析を使用してソースコードを調査し、既知のウイルスと比較します。 コードが他のウイルスのコードと一致する場合、そのファイルは悪意のあるものと識別されます。 この層はマルウェアに対する主要な脅威保護です。
カトは、セキュリティレイヤーを追加して脅威保護を提供するため、SentinelOne次世代アンチマルウェアエンジンを実装します。 このエンジンは、ポータブル実行可能ファイル、PDF、およびMicrosoft Officeドキュメントの脅威を検出するAIモデルを使用します。 AIモデルは、マルウェアリポジトリ内の数百万件のマルウェアサンプルから特徴を抽出することで開発されます。 次に、監督された機械学習(SML)を使用して、良性ファイルと悪意のあるファイルの異なる特徴を特定し、相関付けします。 エンジンはこのモデルを使用して未知ファイル内の類似した特徴を識別し、次のように分類します:
- 悪意のあるファイル - ほぼ確実にマルウェア
- 怪しいファイル - このファイルまたは動作はマルウェアに関連する特徴を示すが、それを安全または悪意あると明確に分類する自信またはデータが不十分です。
- 安全なファイル - 安全なファイルの特性を含み、非常に高い可能性でマルウェアではありません
注意
注意: 次世代アンチマルウェアエンジンのAIモデルにより、未知のマルウェアを検出できます。 ただし、まれなケースでは、このモデルが偽陽性を生成し、正当なファイルをブロックする可能性があります。 例外を作成し、ユーザーにファイルへのアクセスとダウンロードを許可することができます。詳細は マルウェア対策ポリシーの設定 を参照してください。
NGアンチマルウェアエンジンはアルゴリズムに基づいており、署名ベースの検知を使用しないため、高頻度の更新は必要ありません。 エンジンのアルゴリズムは数ヶ月ごとに更新されます。
このセクションでは、デフォルトポリシーを使用した場合にアンチマルウェアおよびNGアンチマルウェア保護層がどのようにファイルを同時にスキャンするかを説明します。
デフォルトポリシー使用時には、アンチマルウェアおよびNGアンチマルウェアエンジンがすべてのダウンロードファイルを同時にスキャンし、悪意あるまたは怪しいと分類されたファイルをブロックします。 ファイルダウンロード要求がブロックされた場合、ファイルは廃棄され、イベントが生成されます。 両方のエンジンによってファイルがブロックされた場合、2つのイベントが生成される可能性があります。
アンチマルウェアおよび次世代アンチマルウェアエンジンはHTTPプロトコル、HTTPS、FTPのトラフィックをスキャンします。
デフォルトポリシーに基づき、エンドユーザーがインターネットまたはWANからファイルのダウンロードを開始する際、各エンジンがファイルを同時にスキャンする際の動作は次のとおりです。
-
アンチマルウェアエンジンは、ファイルをスキャンし、ファイル署名およびヒューリスティック分析を使用してファイルが悪意あるか安全かを判定します。
- 判定が悪意ある場合、ファイルはブロックされ、削除され、イベントが生成されます。 ユーザーのインターネットブラウザにブロックページが表示されます。
- 判定が安全の場合、ファイルはダウンロード可能です。
-
NGアンチマルウェアレイヤーは、AIモデルを使用してファイルを悪意ある、怪しい、または安全に分類します。
- ファイルが悪意あるまたは怪しい場合、それはブロックされ、削除され、イベントを生成します。 ユーザーのインターネットブラウザにブロックページが表示されます。
- 判定が安全の場合、ファイルはダウンロード可能です。
注意
注: スキャンされたファイルは削除され、すべての判定に対してCatoによって保持されません。
両方のエンジンが良性という判定を下した場合、ファイルはユーザーに送信されます。その後、イベントはクリーンという判定で生成されます。
統合されたアンチマルウェアスキャンがユーザーエクスペリエンスに目立った遅延を生じさせることはありません。 エンドユーザーはクリーンなファイルをすぐにダウンロードします。
アンチマルウェアおよび次世代マルウェア対策エンジンは特定のファイル形式をサポートしています。 詳細情報は、マルウェア対策保護のための対応ファイル形式を参照してください。 (この記事を見るにはサインインが必要です)
0件のコメント
サインインしてコメントを残してください。