Veramineセンサーは現在、Windows 7およびWindows Server 2008 R2以降の全ての最新バージョンのWindowsをサポートしています。LinuxおよびMac OS X用のバージョンは開発中です。
簡単に監視しようとする任意のシステムでVeramineの自己完結型のファイルを実行さえすれば展開できます。当バイナリを手動で実行するか、psexec、グループポリシー、SCCM、マシン起動スクリプト、又は使用する任意のデプロイメントテクノロジーを介してデプロイできます。クライアントサイドのコンフィギュレーション設定は必要なしです。
はい、次のビデオ(video)の説明のように、ダウンロードのリンクを受け取り次第、数秒以内でセンサーを導入できますvideo。
Veramineカスタマーポータルを利用することで、センサーを更新、アンインストール、アンロード、又は再起動できます。各Veramineセンサー毎は継続的にVeramineサーバーと通信して、カスタマーポータルを介してネットワーク全体の管理を即座に行うことができます。
センサーは、イベントを収集するWindowsカーネルモードドライバーと、Veramineサーバーを列挙して通信するWindowsユーザーモードサービスで構成されます。
初期の短い列挙期間の後、センサーはCPUの1%未満を消費することを目的としています。最もパフォーマンスの低いクラウドベースの仮想マシン(Azure A0、AWS t2.nano)でセンサーを実行しても、システムの全体的なパフォーマンスにはほとんど影響を与えません。
センサーは、活動のプロセス、ネットワーク接続ユーザーログイン、レジストリ書き込み、リモートファイル操作、SMBプロトコル操作、Windowsサービス構成の変更、プロセス特権の変更、パスワードのダンプなど、ネットワーク上での攻撃を検出し理解するのに必要なすべての可視性とコンテキストを提供します。センサーは、分析と保存のために、サーバーに独特な実行可能イメージもアップロードします。
センサーのユーザーモードコンポーネントは、ポート443でVeramineサーバーへの唯一の送信TCP / IP接続を初期化します。全てのイベントとファイルのアップロードは、このTLS暗号化通信チャネルを通してサーバーに継続的にストリーミングされます。
センサーデータのストリームは、様々なルールベースの機械学習のアルゴリズムを基づきVeramineサーバーによって継続的に分析され、異常な動作を識別します。アナリストは、独自(自分が発見した)の検出アルゴリズムをシステムに補完できます。
Veramineセンサーのホストの可視性により、潜在的な検出機会が豊富になります。最初のv1.0のサーバー側検出アルゴリズムのセットは下記の項目が含まれています:
検出のロードマップには、広範な追加の機械学習とヒューリスティックベースのアルゴリズムの進歩が含まれています。現在テスト中の次の検出アルゴリズムセットには、次のものがあります:
Veramineセンサーは、継続的にクライアント側の動作のストリームをサーバーに送信します。検出アルゴリズムは、何れかのファイルでもなく、その動作のストリームを基づき実行されます。悪意のある動作を説明するアラートには、ホスト及びユーザー、プロセス、ロードされたモジュールを指すメタデータが含まれます。ただし、動作はディスク上のファイルロードからの起源は必要ありません。
いいえ、Veramine検出システムでは署名の更新は必要ありません。検出は既知の悪意あるソフトウェアファイルの特定の属性ではなく、一連の既知の悪意の動作を元に実行されます。そのため、Veramineセンサーは、従来の既存マルウェア対策商品と共存しています。マルウェア対策製品は、Veramineの検出基準を満たさない既知の悪意あるソフトウェアを検出する一方、Veramineシステムは、マルウェア対策製品のシグネチャデータベースに含まれているかどうかに関係なく、ソフトウェアが示す悪意のある動作を検出します。
Veramineアラートは、カスタマーポータル、又は電子メールで確認できます。カスタムの統合オプションは、データとアラートの両方へのアウトバウンドSyslogとインバウンドの直接APIレベルアクセスの両方で利用できます。
Veramineセンサーにより収集された情報は、Veramineサーバーへ送信され、そこで追加のコンテキストと関連付けられ、豊富な検索インターフェイスでVeramineカスタマーポータルを通じて公開され、柔軟なアドホック検索が可能になります。
Veramine のDiscovery機能は、アナリストが次のようなセキュリティ関連の質問に回答したい場合、即座の回答を提供する:
備考:このタイプの検索は、現在実行中のプロセスに対して限定されません。センサーは全てのイベントをサーバーにストリーミングし、この検索は履歴情報とリアルタイム情報の両方に対して実行されます。 Veramine Discoveryアーキテクチャでは、様々な検索タイプが可能であり、幸いことにこの機能の強化で初期の顧客フィードバックに直接対応するためにすでに行えました。
Veramine Discovery機能は、上記のセキュリティ関連の質問に加えて、コンプライアンス関連の要求も簡単に処理できます。例挙げると、
はい。カスタマーポータルを使用することで、次の「通知ルール」を簡単に作成できます。
Veramineカスタマーポータルは、特定のカスタマーに属する特定のホスト、ホストのグループ、又は全てのホストに具体的なアクションを送信するように機能します。各Veramineセンサー毎はサーバーと常時通信しており、リクエストに正に応答します。
現在Veramineの「アクションパック(Action Pack)」機能は開発中です。現行のv1.0の Veramineは、センサーの更新、センサーのアンロード、センサーのアンインストールなどのセンサー管理アクションをサポートしています。センサー開発の現バージョンには、特定のプロセスを強制終了するか、特定のレジストリキーを削除する機能が含まれています。 Veramineセンサーの将来のバージョンには、Yaraプロセスのメモリ検索機能が含まれる予定です。
Features.pdf で参考できます。
Deception.pdf にて参考することが可能です。
Veramineクラウドホスト型オファリンの全てのコンポーネントは、Microsoft Azureデータセンターで実行されます。 Veramineシステムによって保存されたデータは、大分のセキュリティチームによって機密のものだと見なされます。但し、収集および保存されたデータは、コンプライアンス要件によっては、コンプライアンスの目的でその用語を厳密に解釈した場合、個人識別情報(PII)と見なされない場合があります。 VeramineはISO 27001の標準を満たすことを目指している段階です。セキュリティ機密のデータのクラウドホスティングに関する質問については、一緒にやり取りできると幸いです。
はい。カスタマーアカウントは、何れかのVeramineポータルログインに2要素認証を要求するように構成できます。現在、2FAの提供者としてAuthyを使用しています。この追加の検証手順にオプトインすることをお勧めします。
はい。 Veramineサーバーコンポーネントのセルフホスティングに関心のあるお客様に対して、異なるオプションが幾つかのあります。
最も簡単なオプションは、全てのコンポーネントが事前に構成され、起動時に自動起動するように設定されたAmazon AWS AMIイメージを使用する方法です。このオプションは、Amazon AWSで既にバックエンドインフラストラクチャをホストしているお客に最適であり、初期テストと評価を簡単に行うための特に優れたオプションです。単一マシンの設置はテストには問題ありませんが、最終的にほとんどのカスタマーは、本番環境のワークロードをサポートするために、複数のAWSシミュレーターを実行する必要があります。この場合、Veramineの各エンジニアは本番ワークロードに応じて顧客と直接協力し、AWS内のサーバー側インフラストラクチャをスケーリングします。
自己のデータセンターでVeramineサーバーコンポーネントをセルフホストすることを希望するお客に対して、2つのオプションがあります。 Veramineは、調整された既存のVHD又はVMIイメージの利用でお客独自の仮想化インフラストラクチャ内で実行するようにできます。このオプションは、顧客の操作、保守、および更新するのに不便かもしれませんが、Veramineサーバーを自分のデータセンター内のみで実行することを好む顧客向けのオプションとして存在します。 Veramineは、顧客が自分のデータセンターで物理的に配置するためのハードウェアアプライアンスを提供することもします。 Veramineのセルフホストオプションをご希望の場合は、具体的な要件があるか、何か不明点がございましたらお問い合わせください。
経済の規模により、Veramineのクラウドホストサーバーの方は、短期的にも長期的にも大幅に安価になります。 Veramineのインストールを自己管理することの運用コストを考慮しなくても、Veramineのクラウドホスト型オプションはより安価になります。それに、Veramineクラウドホストサーバーをはじめ常に最新のサーバー側検出アルゴリズムの更新を展開し、サーバー側の更新を毎月か四半期ごとに自己管理の顧客に渡します。