CrowdStrike Falcon

KDDI法人・ビジネス向け「CrowdStrike Falcon」のご案内です。
次世代アンチウィルスとEDR (Endpoint Detection and Response)、脅威ハンティングで脅威リスクに対応する、エンドポイントセキュリティソリューションです。

概要
プラン別機能一覧

CrowdStrike Falconとは

CrowdStrike Falconは、組織内のネットワークに接続されているエンドポイントから収集したログデータを保管・監視し、不審な挙動やサイバー攻撃を検知・防御するエンドポイントセキュリティソリューションです。

次世代型アンチウィルス、EDR (注1)、脅威ハンティングの機能を中心に、外部の脅威から端末や情報資産を守ります。

*注1) EDR：Endpoint Detection and Responseの略称。エンドポイントデバイスの操作や動作の監視を行い、インシデント発生時の対処を行う。

EDRソリューションが必要とされる背景

リモートワークやクラウドサービスの利用拡大が進むなか、エンドポイントを狙うサイバー攻撃は高度化・巧妙化しています。従来型のアンチウィルス製品やファイアウォールなどのセキュリティソリューションでは攻撃を防ぎきることが難しくなり、脅威リスクも高まっています。

そこで、社内ネットワークやインターネットといったネットワークの境界にとらわれない、ゼロトラストアーキテクチャをベースにしたIT環境構築が求められています。

EDRソリューションは、サイバー攻撃を入り口で防御するだけでなく、攻撃者が組織内部に侵入した場合を想定し、万が一端末がマルウェアに感染した場合でも迅速に検知・対応することで、リスクを能動的に封じ込めます。

EPP (注2)「マルウェア感染から防御する」
次世代アンチウィルス (NGAV) • 振る舞い検知/AI/機械学習 • 既知・未知を問わず脅威の検知/ブロック
アンチウィルス製品(AV) • ファイルのパターンマッチング • 既知の脅威の判別/ブロック
※ 検知できない未知のマルウェアもあります。

EDR 「感染してしまったことを検知し、その後の対応を行う」
• エンドポイントの操作を記録/監視し、検知次第すぐに対処する • マルウェアの侵入後に影響を最小限に留めることが目的 • マルウェアの侵入経路の特定、原因解決までの時間短縮

EDR
「感染してしまったことを検知し、その後の対応を行う」

• エンドポイントの操作を記録/監視し、検知次第すぐに対処する

• マルウェアの侵入後に影響を最小限に留めることが目的

• マルウェアの侵入経路の特定、原因解決までの時間短縮

EDRソリューションの導入により、インシデント発見と即座の対処、その後の迅速な調査・分析が可能になります。

*　注2) EPP：Endpoint Protection Platformの略称です。コンピュータウイルスなどのマルウェア感染からデバイスを保護する。

CrowdStrike Falconの機能

日々生み出されるランサムウェアを効果的に検知・防御

CrowdStrike Falconは、Falcon Prevent (次世代型アンチウィルス) 、Falcon Insight (EDR) 、Falcon OverWatch (セキュリティエキスパートによる脅威ハンティング) をシングルプラットフォームで実現しています。日々生み出されるランサムウェアなどの新しい攻撃手法対策として、セキュリティ侵害を効果的に検知・防御します。

クラウド分析プラットフォームでランサムウェアをお客さま管理者に通知

導入後の運用支援

ログ分析基盤、セキュリティ人材、運用スキル/ノウハウをトータルでサポート

EDRソリューションの運用には、アラートが検知された際の的確な事象把握と、検知後の迅速な対処が求められます。膨大な量のアラートを適切に管理するためのチューニングや専門的な知識が求められるため、SOCなどの組織がない場合には、その運用負荷が課題となるケースも少なくありません。

複数のセキュリティサービスのログ・インシデントを一元管理するお客さま向けポータルでインシデント情報やログデータをご参照いただけるほか、膨大なログの中から重要なイベントを抽出し、原因特定・対処方針のアドバイスなどを実施いたします。

ログ分析基盤、セキュリティ人材、運用スキル/ノウハウをトータルでご利用いただけるため、お客さまは新しいセキュリティ監視システムや人的リソースを準備することなく、EDRソリューション・ゼロトラストセキュリティを導入いただけます。

セキュリティアナリストがお客さま管理者に重要アラートの分析とアドバイス

Falcon Prevent

エンドポイントから収集される膨大なデータを活用し、既知・未知の脅威を検出
シグネチャを利用しないAI/機械学習エンジンにより、マルウェアを防御
振る舞い検知技術により、ファイルレス攻撃を防御

AVでは守れない攻撃もブロック
AIと機械学習を利用した最新のエンジンで、ファイルレス攻撃やエクスプロイトなども防ぎます。また、IOC (Indicator of Compromise) だけでなくIOA (Indicator of Attack) を利用することができ、振る舞いによるブロックがAVでも可能です。

高い防御力
av-comparativesのReal-World Protection Test (August-November) 評価において、block率99.9%と高い性能を発揮しました。(注)

軽量なエージェント
シグネチャー更新やディスク・スキャンなど、パフォーマンスを著しく低下させるタスクを必要としません。約25MBの軽量エージェントで、CPU使用率も1％未満。エージェントが入っていることにユーザーが気がつかない軽さです。

注) Business Security Test 2022 (August - November) - AV-Comparatives

Falcon Prevent

Falcon Insight

マルウェア攻撃だけでなくファイルレス攻撃まで、既知・未知を問わず広範に脅威を検知
管理コンソールから遠隔操作で端末隔離・修復作業が可能
アラート単位のほか、複数のアラートを集約したインシデント単位での調査が可能
検出した攻撃の前後プロセスを、時系列順にわかりやすく可視化

カーネルモードで動作するエージェント
ユーザー・モードで動作しているエージェントでは、攻撃者からその動作を止められてしまいます。カーネル・モードで動作するエージェントは攻撃者もその動作を止めることが非常に困難です。

種類豊富な取得可能ログ
EDRはログから検知するため、ログ種類が多くなればより精度よく脅威を検知します。プロセス・レジストリ・ファイル・ネットワーク・Windowsイベントログ相当など200種類以上のログを取得し脅威を検知します。

充実したレスポンス機能
EDRの「検知」と並ぶもう１つの柱が「対処」機能です。ネットワークからの隔離はもちろん、リモートから多様な操作をエンドポイントに対して行う機能を揃えています。カーネル・モードで動作するため、ファイルのREAD/WRITE、レジストリへの書き込みといった情報や、メモリダンプなどの情報の取得も行えます。

可視化されたプロセス・ツリー
攻撃のプロセスをツリー上でグラフィカルにわかりやすく表示し、解析の効率を高めます。

Falcon Insight

*プロセスツリーの一例：管理画面では、脅威のランク付けとともに、一連の攻撃をプロセスツリーとして表示します。前後関係を交えた攻撃の全体像を直感的に把握しやすく、さらにドリルダウンして詳細を確認することもできるため、迅速な調査と対処が可能になります。
*
*画像はイメージです。

Falcon OverWatch

CrowdStrikeのセキュリティエキスパートによる脅威ハンティングサービス
24時間365日、クラウドにアップロードされるログをエキスパートが人手で監視し、次世代アンチウイルスやEDRで検出が困難な攻撃を検出
緊急度の高い攻撃を検知した場合は、管理者へ通知し対処を支援

セキュリティエキスパート
世界中に展開する高度な専門知識を持つエキスパート集団が、世界中からアップロードされるイベントをツールを用いて切り分け、不自然な動きを徹底調査することによって、AIや機械学習でも見つけられなかったツールのみでは検出が困難な攻撃を発見します。その中でも明らかに重大な攻撃が進行しているものについては、管理者さまへEメールにて直接通知。毎日最新の攻撃に対処することで蓄積された経験・ノウハウは、製品側の検知ロジックへ反映されています。

24時間×365日の常時監視
一定期間コンサルタントが入って調査する一般的な脅威ハンティングとは異なり、24時間×365日体制でお客さまの環境を常時監視しますので、攻撃の進行をいつでも食い止めることができます。

Falcon OverWatch

追加メニュー

Falcon Prevent Falcon Insight
Firewall Management

CrowdStrike Falcon共通の管理コンソールより、WindowsなどのOSネイティブのホスト型ファイアウォールのポリシー作成、管理、適⽤ができます。

作成されたポリシーはすぐに配信され、数分で展開および動作します。ネットワーク経由の脅威に対する防御をより⾼めるために、環境全体の迅速な可視化と強化が可能となります。

Firewall Management

*画像はイメージです。

Falcon Prevent Falcon Insight
Device Control

社内環境に接続されたデバイスの使用状況を可視化、制御できるサービスです。

USBデバイスの利用履歴、書き出し履歴などの利用状況が表示できます。
これらをログとして保存、エクスポートすることも可能です。
各デバイス・クラスをポリシーで細かく制御することが可能となります。

Device Control

*画像はイメージです。

Falcon Insight
Discover

コンピューター、アプリケーション、ユーザーアカウントなどの利⽤状況を可視性し、エンドポイントの衛⽣状態を適切に管理できるようにするサービスです。

エージェントが導入されている端末だけでなく、その端末と同じネットワーク内にある非管理端末やNW機器も可視化できます。

また管理端末のHW情報やリソース、暗号化の状態、アカウントの権限や利用状況、失敗したログオン施行、端末にインストールされているアプリケーションのバージョンや導入有無など、複数の観点から可視化をすることができます。

Discover

*画像はイメージです。

Falcon Insight
Spotlight

OSおよび⼀般的なアプリケーションの脆弱性を含むホスト上の脆弱性を特定するサービスです。

OSや一般的なクライアント系、サーバ系アプリケーションの脆弱性を特定、記録し、優先順付けを行います。

特にWindows OSについては「CVE (Common Vulnerabilities and Exposures)」だけでなく
「KB (Knowledge Base)」の観点でも可視化されるため、脆弱性管理を容易に行うことが出来ます。

Spotlight