McAfee Deep Defender

データシート
McAfee Deep Defender
「OSの階層を超えた」セキュリティで、隠れた脅威を検出、排除
主な利点
• カーネルレベルのビヘイビア監視によ
り、ルートキットなどの未知の脅威を検
出、削除し、ゼロデイマルウェアを阻止
• インテルとの初の統合テクノロジーで
あるDeepSAFEテクノロジーをメモリー
とOSの間に配置し、メモリーとCPUの
監視をリアルタイムで実行
• McAfee ePOによる統合管理で、効率
的な導入、ポリシー管理の一元化、
脅威の可視化の強化、レポートの
統合を実現
• 従来のOSベースの保護では検出で
きなかった低階層レベルの脅威を排
除。イメージの再適用や修復にかかる
コストを削減し、全体的なセキュリティ
を強化
• ステルス型マルウェアが増加する中、
McAfee Labs™では3ヶ月でほぼ11万
の新しいマルウェアを検出
「StuxnetやZeusなどのステルス型マル
ウェアについて把握しておくべき最も重
要なことの1つが、これらのマルウェアは
侵入したコンピューターを完全に制御し
てしまうということです。カーネルレベル
とファームウェアレベルで動作するルー
トキットにより、マルウェアが潜伏して複
製を行い、上書きされないよう自身を保
護し、ウイルス対策や他の防御を無効化
することが可能です」
—McAfee LabsのDavid Marcus
およびIntelのThom Sawicki
『The New Reality of Stealth
Crimeware』
(ステルス型クライムウェアの新たな現実)
http://www.mcafee.com/
stealthcrimeware
ステルス型マルウェアが昨今のサイバー犯罪の主な手段となっており、ルートキットのような潜
伏手法を使用した未知のマルウェアが増加しています。サイバー犯罪者は、このような低階層
で動作するコードを利用してオペレーティングシステム(OS)ベースの保護を回避しています。
McAfee® Deep DefenderTMは、McAfee® DeepSAFE TMテクノロジーが実現する新世代の
ハードウェア支援型セキュリティにより、リアルタイムのカーネル処理のビヘイビア監視を行い、高
度なステルス型攻撃を検出、排除します。McAfee ePolicy Orchestrator ®(McAfee ePOTM)
およびMcAfee Global Threat IntelligenceTM(McAfee GTITM)と統合されたMcAfee Deep
Defenderは、セキュリティをOSの下の階層にまで拡張して、隠れたゼロデイ脅威を阻止します。
企業のエンドポイントは、ウイルス対策製品や他のOS
ベースの防御を回避するステルス型マルウェアの脅威に
晒されています。サイバー犯罪者は、OSに内在する脆弱
性を悪用し、起動時にはマルウェアの存在を隠してシステ
ムが正常に見えるようにマルウェアを設計しています。
このような目に見えないマルウェアは容易に感染を拡大
し、セキュリティ対策を無効化し、ネットワークの認証情報
や機密情報を盗み出します。セキュリティが侵害された
エンドポイントを修復するには、イメージを完全に再適用
する必要があるため、ITスタッフとエンドユーザーは業務
を何時間も中断せざるを得ない状況になります。
オペレーティングシステムの階層を超えて保護
マカフィーとインテルの共同開発によって、物理メモリー
に常駐するコンポーネントを保護するために、CPUとOS
の間で動作するハードウェアレベルのセキュリティを実現
しました。McAfee Deep Defenderは、動作中のドライ
バーやその他のソフトウェアを確実に認識し、OSの起動
前、起動中、起動後に脅威が侵入する前に、それらの脅
威を検出、駆除できます。
メモリーとCPUのリアルタイムの監視
McAfee Deep Defenderでは、VMXルートモード
で実行されるメモリーソフトウェアレイヤーのMcAfee
DeepSAFE® テクノロジーを利用し、パフォーマンスへの
影響を最小限に抑えながら、カーネルメモリーとCPUイベ
ントの保護をリアルタイムで提供します。
この低階層における可視化によって、ステルス型マル
ウェアが使用する回避手法をMcAfee Deep Defender
が認識できるようにするとともに、管理者がメモリープロ
セスをリアルタイムで確認し、ブロックや拒否アクションを
設定できます。また、ルートキットやステルス型マルウェア
がアクティブになっている場合、McAfee DeepSAFEは
カーネルを変更する動作を検出します。
真のゼロデイ保護
McAfee Deep Defenderでは、ルートキットを検出する
際、そのルートキットに関する定義ファイル情報を必要と
しません。
代わりに、ルートキットが実行する悪意のある行為を
検出することで、真のゼロデイ保護を提供します。
McAfee Deep Defenderは、ルートキットがマルウェア
を隠す前に検出します。次のカーネル保護とメモリー
保護を提供します。
• システムの割り込みディスクリプターテーブル(IDT)と
システムサービスディスパッチテーブル(SSDT )への
書き込みを防止し、ログに記録
• プロセッサシステム移行テーブルへの変更を阻止
• Direct Kernel Object Manipulation(DKOM)の
リストと脅威への変更を防止
• カーネルモードドライバーへの悪意のある添付ファ
イルの除去
• カーネルコードセクションと主要なデバイスドライバー
への悪意のあるインラインフックの禁止
• ドライバーのインポートアドレステーブル(IAT)の悪意の
あるフックを阻止
• カーネルのエクスポートアドレステーブル(EAT)への
悪意のある変更を阻止
• デバイスドライバーからの悪意のあるI/O呼び出しを阻止
• ドライバーのディスパッチ処理への悪意のある変更を
検出
システム要件
• CPU: インテル® Core i3、i5、i7プロセッサ、
インテル ® Xeon® E3、E5、E7プロセッサ
• OS: Windows 7（32ビット/64ビット）、
Windows 8 (32 ビット/64 ビット)、
Windows Server 2008 R2 (SP1、64ビット、
インテル® Xeon® のみ)
• BIOS上でインテルバーチャライゼーション
テクノロジー(VT)の有効化
次のマカフィー製品との互換性テスト済み
• McAfee VirusScan Enterprise 8.7以降
• McAfee Application Control 5.x
• McAfee Endpoint Encryption for PC 5、
5.2.6、5.2.9、6.1
• McAfee Host DLP 9.x
• McAfee Host Intrusion Prevention 8.x
• McAfee Network Access Control 3.2
McAfee GTIを利用して既知の脅威と未知の脅威を
検出、削除
McAfee Deep Defender
McAfee Deep Defenderは、カーネル内の既知のマ
ルウェアと未知のマルウェアをレポート、ブロック、隔離、
および削除します。McAfee VirusScan® Enterpriseは、
McAfee Deep Defenderの検出機能を利用して、影響
を受けたユーザーモードのコンポーネントに対して完全
な駆除を実行します。
疑わしいマルウェアや未知のマルウェアに対しては、
McAfee Deep Defenderはそのコードのフィンガー
プリントをMcAfee GTIネットワークに送信し、どのような
ものであるのかを確認します。確認したマルウェアのフィ
ンガープリントをMcAfee GTIデータベースに追加して、
McAfee GTIが有効になっている他のエンドポイントにも
同様の保護を提供します。
McAfee ePOによる一元管理
McAfee Deep Defenderでは、管理負担を増加させ
ずに既存システムの保護を強化できます。マカフィーの
エンドポイントソフトウェアを実行中のPCとラップトップで
あれば、既存のMcAfee ePOエージェントと管理インフ
ラストラクチャーを使用して、サポート対象のシステムに
McAfee Deep Defenderを容易に導入できます。
また、Mc Afee ePOコンソールを使用して、Mc Afee
Deep Defenderのリアルタイムメモリー処理に関す
るポリシーを容易に作成できます。M c Afe e D e e p
Defenderのインストール後は、McAfee ePOのダッシュ
ボードとレポート機能で隠れた脅威を把握できるようにな
ります。
マカフィー株式会社
OS
McAfee DeepSAFE 䊒䊤䉾䊃䊐䉤䊷䊛
CPU
I/O
䊜䊝䊥䊷
䊂䉞䉴䉪
䊈䉾䊃䊪䊷䉪
䊂䉞䉴䊒䊧䉟
図1. McAfee Deep DefenderがCPUとOSの間に配置された
McAfee DeepSAFEテクノロジーを利用して、新たな地点から
脅威を監視
ステルス型マルウェアの検出をすぐに開始
OS内でのみ機能する既存のウイルス対策では、今日の
高度な技術を備えたサイバー犯罪者が駆使する高度な
回避手法を検出するのは不可能です。McAfee Deep
Defenderは、これらの脅威に対して重要な保護を段階
的に提供することで、従来のエンドポイントセキュリティを
強化します。
McAfee Deep DefenderではMcAfee ePOの一元管
理環境を利用するため、導入が容易です。また、McAfee
VirusScanマルウェア対策エンジンとMcAfee GTIネット
ワークが提供する保護を強化できます。
詳細については、www.mcafee.com/deepdefender
を参照してください。
●製品、サービスに関するお問い合わせは下記へ
www.mcafee.com/jp
東京本社
〒150-0043　東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F
TEL：03-5428-1100(代)　FAX：03-5428-1480
西日本支店
〒530-0003　大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F
TEL：06-6344-1511(代)　FAX：06-6344-1517
名古屋営業所
〒460-0002　愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F
TEL：052-954-9551(代)　FAX：052-954-9552
福岡営業所
〒810-0801　福岡県福岡市博多区中洲5-3-8 アクア博多5F
TEL：092-287-9674(代)　FAX：092-287-9675
McAfee、マカフィーは、米国法人McAfee, Inc.またはその関係会社の米国またはその他の国における登録商標または商標です。
●本書中のその他の登録商標及び商標はそれぞれその所有者に帰属します。©2013 McAfee, Inc. All Rights Reserved. ●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部まで
お問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。
MCADS-DPF-1305b-MC

Download Report