CrowdStrike Falcon
KDDI法人・ビジネス向け「CrowdStrike Falcon」のご案内です。
次世代アンチウィルスとEDR (Endpoint Detection and Response)、脅威ハンティングで脅威リスクに対応する、エンドポイントセキュリティソリューションです。
CrowdStrike Falconとは
CrowdStrike Falconは、組織内のネットワークに接続されているエンドポイントから収集したログデータを保管・監視し、不審な挙動やサイバー攻撃を検知・防御するエンドポイントセキュリティソリューションです。
次世代型アンチウィルス、EDR (注1)、脅威ハンティングの機能を中心に、外部の脅威から端末や情報資産を守ります。
- *注1) EDR:Endpoint Detection and Responseの略称。エンドポイントデバイスの操作や動作の監視を行い、インシデント発生時の対処を行う。
EDRソリューションが必要とされる背景
リモートワークやクラウドサービスの利用拡大が進むなか、エンドポイントを狙うサイバー攻撃は高度化・巧妙化しています。従来型のアンチウィルス製品やファイアウォールなどのセキュリティソリューションでは攻撃を防ぎきることが難しくなり、脅威リスクも高まっています。
そこで、社内ネットワークやインターネットといったネットワークの境界にとらわれない、ゼロトラストアーキテクチャをベースにしたIT環境構築が求められています。
EDRソリューションは、サイバー攻撃を入り口で防御するだけでなく、攻撃者が組織内部に侵入した場合を想定し、万が一端末がマルウェアに感染した場合でも迅速に検知・対応することで、リスクを能動的に封じ込めます。
EPP (注2)「マルウェア感染から防御する」 |
---|
次世代アンチウィルス (NGAV)
|
アンチウィルス製品(AV)
|
EDR 「感染してしまったことを検知し、 その後の対応を行う」 |
---|
|
EDRソリューションの導入により、インシデント発見と即座の対処、その後の迅速な調査・分析が可能になります。
* 注2) EPP:Endpoint Protection Platformの略称です。コンピュータウイルスなどのマルウェア感染からデバイスを保護する。
CrowdStrike Falconの機能
日々生み出されるランサムウェアを効果的に検知・防御
CrowdStrike Falconは、Falcon Prevent (次世代型アンチウィルス) 、Falcon Insight (EDR) 、Falcon OverWatch (セキュリティエキスパートによる脅威ハンティング) をシングルプラットフォームで実現しています。日々生み出されるランサムウェアなどの新しい攻撃手法対策として、セキュリティ侵害を効果的に検知・防御します。
導入後の運用支援
ログ分析基盤、セキュリティ人材、運用スキル/ノウハウをトータルでサポート
EDRソリューションの運用には、アラートが検知された際の的確な事象把握と、検知後の迅速な対処が求められます。膨大な量のアラートを適切に管理するためのチューニングや専門的な知識が求められるため、SOCなどの組織がない場合には、その運用負荷が課題となるケースも少なくありません。
複数のセキュリティサービスのログ・インシデントを一元管理するお客さま向けポータルでインシデント情報やログデータをご参照いただけるほか、膨大なログの中から重要なイベントを抽出し、原因特定・対処方針のアドバイスなどを実施いたします。
ログ分析基盤、セキュリティ人材、運用スキル/ノウハウをトータルでご利用いただけるため、お客さまは新しいセキュリティ監視システムや人的リソースを準備することなく、EDRソリューション・ゼロトラストセキュリティを導入いただけます。
Falcon Prevent
- エンドポイントから収集される膨大なデータを活用し、既知・未知の脅威を検出
- シグネチャを利用しないAI/機械学習エンジンにより、マルウェアを防御
- 振る舞い検知技術により、ファイルレス攻撃を防御
AVでは守れない攻撃もブロック
AIと機械学習を利用した最新のエンジンで、ファイルレス攻撃やエクスプロイトなども防ぎます。また、IOC (Indicator of Compromise) だけでなくIOA (Indicator of Attack) を利用することができ、振る舞いによるブロックがAVでも可能です。
高い防御力
av-comparativesのReal-World Protection Test (August-November) 評価において、block率99.9%と高い性能を発揮しました。(注)
軽量なエージェント
シグネチャー更新やディスク・スキャンなど、パフォーマンスを著しく低下させるタスクを必要としません。約25MBの軽量エージェントで、CPU使用率も1%未満。エージェントが入っていることにユーザーが気がつかない軽さです。
注) Business Security Test 2022 (August - November) - AV-Comparatives
Falcon Insight
- マルウェア攻撃だけでなくファイルレス攻撃まで、既知・未知を問わず広範に脅威を検知
- 管理コンソールから遠隔操作で端末隔離・修復作業が可能
- アラート単位のほか、複数のアラートを集約したインシデント単位での調査が可能
- 検出した攻撃の前後プロセスを、時系列順にわかりやすく可視化
カーネルモードで動作するエージェント
ユーザー・モードで動作しているエージェントでは、攻撃者からその動作を止められてしまいます。カーネル・モードで動作するエージェントは攻撃者もその動作を止めることが非常に困難です。
種類豊富な取得可能ログ
EDRはログから検知するため、ログ種類が多くなればより精度よく脅威を検知します。プロセス・レジストリ・ファイル・ネットワーク・Windowsイベントログ相当など200種類以上のログを取得し脅威を検知します。
充実したレスポンス機能
EDRの「検知」と並ぶもう1つの柱が「対処」機能です。ネットワークからの隔離はもちろん、リモートから多様な操作をエンドポイントに対して行う機能を揃えています。カーネル・モードで動作するため、ファイルのREAD/WRITE、レジストリへの書き込みといった情報や、メモリダンプなどの情報の取得も行えます。
可視化されたプロセス・ツリー
攻撃のプロセスをツリー上でグラフィカルにわかりやすく表示し、解析の効率を高めます。
- *プロセスツリーの一例: 管理画面では、脅威のランク付けとともに、一連の攻撃をプロセスツリーとして表示します。 前後関係を交えた攻撃の全体像を直感的に把握しやすく、さらにドリルダウンして詳細を確認することもできるため、迅速な調査と対処が可能になります。
- *
- *画像はイメージです。
Falcon OverWatch
- CrowdStrikeのセキュリティエキスパートによる脅威ハンティングサービス
- 24時間365日、クラウドにアップロードされるログをエキスパートが人手で監視し、次世代アンチウイルスやEDRで検出が困難な攻撃を検出
- 緊急度の高い攻撃を検知した場合は、管理者へ通知し対処を支援
セキュリティエキスパート
世界中に展開する高度な専門知識を持つエキスパート集団が、世界中からアップロードされるイベントをツールを用いて切り分け、不自然な動きを徹底調査することによって、AIや機械学習でも見つけられなかったツールのみでは検出が困難な攻撃を発見します。その中でも明らかに重大な攻撃が進行しているものについては、管理者さまへEメールにて直接通知。毎日最新の攻撃に対処することで蓄積された経験・ノウハウは、製品側の検知ロジックへ反映されています。
24時間×365日の常時監視
一定期間コンサルタントが入って調査する一般的な脅威ハンティングとは異なり、24時間×365日体制でお客さまの環境を常時監視しますので、攻撃の進行をいつでも食い止めることができます。
追加メニュー
Falcon Prevent Falcon Insight
Firewall Management
CrowdStrike Falcon共通の管理コンソールより、WindowsなどのOSネイティブのホスト型ファイアウォールのポリシー作成、管理、適⽤ができます。
作成されたポリシーはすぐに配信され、数分で展開および動作します。ネットワーク経由の脅威に対する防御をより⾼めるために、環境全体の迅速な可視化と強化が可能となります。
- *画像はイメージです。
Falcon Prevent Falcon Insight
Device Control
社内環境に接続されたデバイスの使用状況を可視化、制御できるサービスです。
USBデバイスの利用履歴、書き出し履歴などの利用状況が表示できます。
これらをログとして保存、エクスポートすることも可能です。
各デバイス・クラスをポリシーで細かく制御することが可能となります。
- *画像はイメージです。
Falcon Insight
Discover
コンピューター、アプリケーション、ユーザーアカウントなどの利⽤状況を可視性し、エンドポイントの衛⽣状態を適切に管理できるようにするサービスです。
エージェントが導入されている端末だけでなく、その端末と同じネットワーク内にある非管理端末やNW機器も可視化できます。
また管理端末のHW情報やリソース、暗号化の状態、アカウントの権限や利用状況、失敗したログオン施行、端末にインストールされているアプリケーションのバージョンや導入有無など、複数の観点から可視化をすることができます。
- *画像はイメージです。
Falcon Insight
Spotlight
OSおよび⼀般的なアプリケーションの脆弱性を含むホスト上の脆弱性を特定するサービスです。
OSや一般的なクライアント系、サーバ系アプリケーションの脆弱性を特定、記録し、優先順付けを行います。
特にWindows OSについては「CVE (Common Vulnerabilities and Exposures)」だけでなく
「KB (Knowledge Base)」の観点でも可視化されるため、脆弱性管理を容易に行うことが出来ます。
- *画像はイメージです。