ESETのEDR:EEI(ESET Enterprise Inspector)の新機能を試してみました。

バージョンアップしたEEI(ESET Enterprise Inspector)というEDR製品をラボ環境で筆者が実際に触ってみました。社内では、開発がかなりこだわって作ったと噂されるこの製品がどのような変化を遂げたのか、そして実際にこれを扱うサイバーセキュリティのエンタープライズ市場のユーザーにとってどのようなメリットがあるのかを紹介したいと思います。

#EEIとは

ESET Enterprise Inspector (EEI)は、エンドポイントでのマルウェア対策を30年にわたり手がけてきたESET社の経験と知識を礎に開発されたEDR(Endpoint Detection and Response)製品です。

開発のこだわりを感じさせる製品で、私は以前のバージョン1.2から触り始めましたが、初めて触った時のことをよく覚えています。当時はマルウェアの展開を表すソースツリー(Source Tree)が新鮮で、その美しさに魅了されました。

図1:EEIにみるソースツリーのスクリーンショット

このEEIを使うと何ができるのかというと、組織内の端末から収集したさまざまなアクティビティをもとに、端末上の疑わしい動きを検出・分析・調査し、組織内に潜む脅威をいち早く割り出し、封じ込めることができます。EDRの「R」はResponse(レスポンス)の略で、検出(ED:Endpoint Detection)だけでなく、その後の対応の手助けもやらなければならないという今のご時世を色濃く表した製品となっています。

#ファーストインプレッション

1.2から1.3へのバージョンアップですが、UI(外観)の印象はあまり変わらないものの、以前、上部にあった検索の窓が見当たりません。よくよく見てみると左の機能インデックスタブに虫眼鏡のマークが存在しています。

タブを開いてみると、Searchの窓が大きく鎮座していて検索機能は存在感のあるインターフェースとなりました。

実際に検索したい文字列を入れますが、候補のテンプレートがタブで選べるようになっている為、初心者でも調査したい内容を細かい条件に落としこむことができるようになっています。

これは検索範囲指定が広すぎて、検索時間に時間がかかってしまう、DBに負荷をかけすぎてフリーズさせてしまった経験を持つ自分からすると、運用の安定を考慮した、非常に有効な機能だと感じます。

プロセス検索で全文検索に対応している為、少し意地悪な事を考えPowershellのコマンドラインを全文入力してテストしてみました。全文だとかなりの長さになりますが、結果としては所要時間8秒くらいで、すべての処理が終了しました(イベントサンプルの母数が少ないことはあるものの)。処理中でも進行状況が表示される為、イライラするストレスも少なく、この点も好感が持てました。

運用上、アナリストであれば、ドメインでなく、URL(フルパス)で検索がしたいという衝動に駆られることがよくあると思います。そういった欲求にも答えてくれる内容となっています。

図2:Powershellのコマンドラインを全文でテストしてみました。

#最新機能

MITRE ATT&CKとの連携

個人的にリリース前から2つ気になっている機能があり、まず1つめは、MITRE ATT&CKとの連携です。

ALARMのDetails(詳細)を開けると、MITRE ATT&CK  TECHNIQUESというインデックスがあり、そこで、今回のイベントで使用されたテクニックがMITREデータベースの索引ID(Tから始まる)と共に表示されています。そのリンクを辿れば、テクニックの詳細や付随する情報を確認できるというわけです。

MITREにある情報では特に攻撃手法と対策が網羅されている為、これまで困難だった、「事象は把握したけれど、具体的に何をすれば?」といった疑問が軽減されます。MITREに関する情報はこちらをご覧ください。

図3:MITRE ATT&CK TECHNIQUES機能が追加になりました。

VirusTotalとの連携

2つめは、リファレンス機能です。Adminの設定画面に移動すると、Search Engineの登録画面があります。デフォルトではVirusTotalが登録されていました。VirusToalの詳細はこちらをご覧ください。AlarmのDetailところにFileHash値が確認できるのですが、そのHash値からサイトへ1クリックで飛ぶことができます。

「1クリックでさえもやりたくないな。」と最初は思ったのですが、よくよく考えたらすべてのHashから情報を自動で引っ張ってくるのは無駄の多い作業ですし、オンデマンドで必要な分だけ動かす方が帯域軽減の観点から合理的だと後から思いました。

また、VirusTotalに限らず、自分のお気に入りのエンジンを登録できたり、コメントを入力できるといった内製化を応援する機能はとてもESETらしいアイデアだと感じます。

図4:SEARCH ENGINES INTEGRATIONの機能が追加となりました。

さらに

以上の2点が以前から気になっていた機能だったのですが、触っているうちに、「これはいいな!」と思える機能が更にありましたのでご紹介します。

それは、「Severity Score」カテゴリの追加です。

Version1.2までのクラス分けはSEVERITYの中の基本4分類で、細かい調整ができなかった部分があります。これは欧米人の気質には合致するのでしょうが、日本人にはいささか大雑把に感じていました。

今回の改修で、日本人の繊細さや意向に合致する作りになりました。Scoreはルールの記述上、好きな値に変更できる為、会社毎で独自のルールセットと監視の閾値を設定することが可能になり、運用の応用度が広がったと言えるでしょう。

図5:「SEVERITY SCORE」が追加になりました。

#Version1.3からの新機能一覧

General changelog for version 1.3 of ESET Enterprise Inspector:

•Support for MS SQL server version 2017 or newer
•Increased and supported scalability up to 18 000 endpoints when using MySQL and 5 000 endpoints when using MS SQL
•UI improvements
•New and improved Search functionality
•Cross-referencing of MITRE ATT&CK(TM) Framework
•Scoring system
•Commenting
•Option to search for hash value on VirusTotal and other 3rd party sources
•Auditing
•Expanded Exclusion system
•And many others including performance improvements

#まとめ

今回のバージョンアップ、運用面で気になる部分が修正され、使い勝手が向上しています。なにより、ESETの、この製品への開発の意気込みを肌で感じることができました。

初めて触られる方は、なぜイベントをここまで掘り下げないといけないのか?と不思議に思われるかもしれませんが、それだけ昨今の攻撃が多様化、複雑化しており、IT部門は説明を求められる機会が増えています。これからのサイバーセキュリティの課題は「いかにセキュリティイベントを可視化するのか?」にあります。そういった意味でこのEEIというEDR製品はサイバーセキュリティ業界、エンタープライズ市場の未来に対して明確な答えを持った製品と言えます。

Version1.3の紹介をしたばかりですが、次なるバージョンアップ(V1.4)が2020年度中にリリース予定です。さて今度はどのような進化を遂げるのか? リリースが完了しましたら最新機能とともにまた皆様にお知らせしたいと思います。

ESET社はサイバーセキュリティの専門会社として30年にわたりこの分野のエキスパートとして活躍してまいりました。 

セキュリティでお困りの際には是非ご相談ください

テクノロジー&セキュリティエバンジェリスト