記事検索

検索ワードを入力してください。
Sky Tech Blog
SKYSEA Client View EDRプラスパックオプションに​関する​ご留意いただきたい​ポイント

SKYSEA Client View EDRプラスパックオプションに​関する​ご留意いただきたい​ポイント

SKYSEA Client ViewのEDRプラスパックは、FFRI yaraiを利用してマルウェアを検知し、SKYSEA Client Viewが対処する連携機能を提供します。この記事ではEDRプラスパックの留意点について説明しています。

SKYSEA Client ViewにはEDRプラスパックというオプション機能があります。
この機能はFFRIセキュリティ社のFFRI yaraiをSKYSEA Client Viewのオプションとしてご利用いただくライセンスが含まれています。
FFRI yaraiがマルウェアを検知し、その対処をSKYSEAが行う、といった様々な連携機能をEDRプラスパックという名称でご提供しています。

SKYSEA Client Viewの製品ページでも紹介していますので、こちらもご覧ください。

この記事では、本機能の提案活動を現場で実施する際に、よく説明させていただくポイントをいくつか紹介いたします。
本機能をご提案いただく際、またご導入をご検討いただく際にはご参考にしていただけますと幸いです。

連携の​仕組みに​ついて

連携の仕組みとして、FFRI yaraiからSKYSEA Client Viewへ、検知したマルウェアの情報をsyslogで送ることで、機能を実現しています。
FFRI yaraiはsyslogでどこかへ通信するのではなく、syslogを自分自身(Localhost)に送って同端末内のSKYSEA Client Viewのエージェント機能がそれを拾う仕組みとなります。
そのため、FFRI yaraiがマルウェアを検知した際に、その情報を自分自身(Localhost)にsyslogで送信するための設定が必要となります。 具体的な設定方法としては、レジストリにその旨記載することになりますが、1台ずつその設定を行うのは手間なので、一律にその設定値をレジストリに記述するためのスクリプトをご用意しています。
こちらをSKYSEA Client Viewで配布実行していただく運用を想定しています。

SKYSEA Client Viewの​「隔離」​機能を​利用すると、​FFRI yaraiの​「駆除」​機能が​利用できない

SKYSEA Client Viewの「隔離」機能とは、FFRI yaraiが検知したマルウェアの拡張子をSKYSEA Client Viewが変更し、実行できないようにする機能です。拡張子を変える動作のため、FFRI yaraiで検知した時点でのファイル名と異なるものになってしまい、FFRI yaraiからそのファイルの駆除ができなくなってしまいますので、ご注意ください。

「他端末での​存在調査」​機能の​実装に​ついて

SKYSEA Client Viewの機能として、「他端末での存在調査」という連携機能があります。
これはFFRI yaraiの「ハンティング」機能との連携になります。
FFRI yaraiの「ハンティング」機能は、指定したハッシュ値を持ったファイルが、端末内にあるかどうか検索を行う機能となります。
この機能を利用する場合、あらかじめPC内部のファイルすべてのハッシュ値を計算しておき、また、新たなファイルが作成、コピーされた際にはそのハッシュ値をリアルタイムに計算する設定をしておく必要があります。
FFRI yarai単体での「ハンティング」機能は、スケジュール実行するか、任意のタイミングで実行する必要があります。
SKYSEA Client Viewと連携することにより、1台の端末で新たなマルウェアが見つかったときに、自動的に他の端末に対して、FFRI yaraiの「ハンティング」機能を実行して同様のハッシュ値を持ったファイルが存在していないか検索をかける、という機能となります。

「他端末での​存在調査」​機能は​SKYSEA Client View の​ネットワーク遮断の​連携対象に​ならない

FFRI yaraiがマルウェアを検知したときに、SKYSEA Client Viewが該当の端末をネットワーク遮断する連携機能があります。ネットワーク遮断する際、SKYSEA Client View、FFRI yaraiによる通信は自動的に許可されていますので、遮断状態の端末に対しても、遠隔で復旧することが可能です。 この機能はEDRプラスパックご採用いただいた多くのお客様でご利用いただいている機能かと存じます。
この機能ご利用いただく際の注意点として、上記「他端末での存在調査」機能でマルウェアが見つかった場合においてはSKYSEA Client Viewによるネットワーク遮断の対象とならない点があります。
厳密には、FFRI yaraiの「ハンティング」機能と連動したネットワーク遮断ができません。
ネットワーク遮断の連携機能はFFRI yaraiの各マルウェア検知エンジンが直接マルウェアを検知した際にご利用いただける機能となります。

FFRI yaraiの​シリアルナンバーが​正しい​ものか確認する

ご導入前ご検討時に製品を弊社からお貸出しして、運用に見合うかどうかを検証していただくことが可能です。
このパターンでご採択いただくことも多いのですが、この場合、FFRI yaraiのシリアルナンバーが本番用のシリアルナンバーに切り替わっていることをご確認ください。
FFRI yarai管理コンソール上の、クライアント管理画面で、各端末に割当たっているシリアルナンバーを確認できます。
こちらが製品版に切り替わっていなければ、切り替えの作業のご実施をお願いいたします。
お貸出しするシリアルナンバーには期限があり、期限を過ぎてしまうと機能が利用できなくなります。

以上になります。

実際ご導入をご検討されたい場合、またお客様へご提案されたい場合は弊社営業へご連絡いただけますと幸いです。


XFacebookLINE
Sky株式会社のソフトウェア開発や製品、採用に関するお問い合わせについては、下記のリンクをご確認ください。
お問い合わせ
ホーム