McAfee MVISION EDRはコンピュータ・セキュリティ関連のベンダーとして世界一の規模を誇るMcAfee,LLCが開発しているEDR製品です。
端末の動作ログを収集・AIによる分析を行い、悪意のある動作を検出・対策。インシデントが発生した際の迅速な対応を支援する機能があります。
また、クラウド管理型のため、お客様環境にサーバを設置することなく手軽に導入することができます。
| 販売元(国内) | マカフィー株式会社 |
| EPP機能 | ○ |
| EDR機能 | ○ |
| 運用コスト | ○ |
| オンプレミス利用 | △ |
| Gertner EDRの口コミ評価 | 4.6 |
| MITRE ATT&CK 検知率(Visibility) | 86.78% |
| 製品ページ | こちら |
McAfee MVISIONの構成
エンドポイントセキュリティ
- McAfee MVISION ePO:効率的なデバイス管理
SaaS型の統合管理サーバ「MVISION ePO」で「MVISION Endpoint」「MVISION Mobile」を一元管理。McAfee製品だけでなく、Windows Defenderなdのサードパーティアプリケーションなどあらゆるエンドポイントセキュリティ環境を単一コンソールで可視化。
- McAfee MVISION Endpoint:Windodwsデバイスの強固なセキュリティ
McaFee Endpoint Security+Windows Defenderで、Windows10独自のセキュリティ機能を強化。機械学習機能、認証情報の窃盗監視機能、ロールバック機能で強固なセキュリティを実現。
- McAfee MVISION Mobile:iOSとAndroidの保護
iOS・Androidデバイスをリアルタイムに保護。ネットワーク接続方法に関係なく、モバイルデバイスの保護をおこない、しかもユーザーの操作性を損わない。
- McAfee MVISION EDR:インシデント発生時の迅速な調査と対処を実現
端末の動作ログを収集、AI分析で悪意のある動作を検出し、インシデント発生時には迅速な調査、対象を可能にする。クラウド管理型のため手軽に導入可能。
クラウド環境セキュリティ
- McAfee MVISION Cloud:クラウドデータの保護
すべてのクラウドデータ、コンテキスト、ユーザーの動作を可視化、送受信される機密情報を一元管理保護。
- McAfee MVISION Unified Cloud Edge:クラウドネットワークセキュリティ
クラウドサービス利用、Web閲覧などの際に、利用者のアクセスポイントを問わずセキュリティを確保。
ライセンス
以下の3つから選択可能
- MVISION Standard
「MVISION ePO」+「MVISION Endpoint」
- MVISION Plus
MVISION Standard+「MVISION Mobile」
- MVISION Protect Plus EDR
MVISION Plus+MVISION EDR
McAfee MVISION EDRの主な特徴
- 端末から取得したデータを詳細に分析することで、悪意のある動作を幅広く検知します。
- 検知した脅威に対し、テクニック及び戦術を表示し、攻撃フェーズの把握を容易にします。
- 脅威解析を自動的に補助し、分析と対処のスピードアップやアナリストの負担を軽減できます。
- 脅威のある端末に対し、リモート操作でネットワーク隔離・脅威の駆除等を行い、被害を最小限に抑えることができます。
機能
【検知機能】
- 検知
実行ファイルの動作解析、レピュテーションなどのインテリジェンス情報を複合的に判断し、脅威を検知します。
- 脅威のふるまい表示
検知した脅威に対し、MITRE ATT&CKマトリクスより、テクニックおよび戦術を表示します。
- 脅威の可視化
サマリー/プロセスツリー/挙動のタイムラインなどを表示します。
【分析機能】
- エキスパートガイド
脅威解析をAIが自動補助します。
- リアルタイム検索
端末の状態をリアルタイムで確認し、情報収集を行うことが可能です。
- トレースデータ検索
端末から取得したデータをクラウド上で保持することで、端末がオフライン時でも調査が可能です。
【レスポンス機能】
- リモートアクション
脅威のある端末に対し、リモート操作でネットワーク隔離、プロセス停止、ファイル削除を行うことが可 能です。
- インシデント管理
脅威毎に状況(ステータス/重要度/経過日数/オーナー)を管理できます。
Gartner Magic Quadrant 2021 for Endpoint Protection Platformsでの評価(抜粋)
位置づけ:リーダー
- マカフィーは、自社のポートフォリオをXDRソリューションに結び付けるための新しいMVISION戦略を開発。
- 標準エンドポイント製品は、ランサムウェアのロールバックなどの高度な保護機能とネイティブOS機能を組み合わせたもの。
- マカフィーのプレミアムMVISION EDRパッケージには、脅威と対策に優先順位を付け、それに応じてレスポンダーに指示するMVISION Insightsが含まれるようになった。
【 強み 】
- McAfee MVISION Insightsは、ユーザーが攻撃対象領域を管理し、攻撃が発生する前に先取りすることを可能にする。これにより、他のソリューションには見られない差別化された機能セットが提供される。
- MITRE ATT&CKフレームワークに対して脅威をマッピング可能。これにより、MITRE評価で一貫して手法を特定することができ、さらに自動化されたAIガイド付き調査機能は、MITRE ATT&CKフレームワークを使用して、より速く、より簡単なアラートトリアージを推進する。
- 広範な修復機能と高度なSOCワークフロー機能が含まれる。ユーザーインターフェイスは使いやすく、EDR機能は市場をリードする同等の機能と一致するようになった。
- マカフィーは、特に古いOSやレガシーOS対応のエージェントを必要する顧客、またはオンプレミスソリューションやアプリケーション制御などのアドオンを必要としている顧客へのサポートを提供している。特にすべての地域の幅広いカスタマーサポートおよびトレーニング環境が評価されている。
【注意点】
- マカフィーは、レガシーインストールベースをMVISIONに変換するのに時間がかかった。クライアントの多くは、オンプレミスバージョンのMcAfee ePolicy Orchestrator(ePO)とMcAfee Endpoint Security(ENS)を引き続き使用している。
- 一部のMcAfeeのお客様は、古いバージョンのMcAfee ePOおよびMcAfee VirusScanEnterpriseからMcAfeeENSへのアップグレードを引き続き行っているが、研究開発の取り組みと販売の焦点はクラウドソリューションにあり、オンプレミスの顧客はできるだけ早くアップグレードする必要がある。
- マカフィーは、XDRソリューションの一般提供を発表した。 ただし、ネットワークトラフィック分析、クラウドアクセスセキュリティブローカー(CASB)、またはユーザーとエンティティの行動分析(UEBA)はまだ含まれていない。
- マネージド検出および応答ソリューションは昨年リリースされたが、まだ顧客からの採用はあまりない。
2020 Carbanak and FIN7 Evaluationの結果
| Detection Count(検出総数) The total number of detections from the evaluation:評価から検出した総数 | 274/174 |
| Analytic Coverage(分析範囲) The proportion of substeps that contained a detection that provides additional context(e.g., General,Tactic,Technique):検出のうち追加のコンテキストを含むサブステップの割合 | 93/174 |
| Telemetry Coverage(複数のセキュリティレイヤーのカバー) The proportion of substeps that produced a detection with minimal processing:最小限の処理で検出を生成したサブステップの割合 | 148/174 |
| Visibility(可視性) The proportion of substeps with either an analystic or a telemetry detection:分析またはテレメトリ検出のいずれかを使用したサブステップの割合 | 151/174 |