top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

CrowdStrike Falcon クラウドストライクファルコン

CrowdStrike Falcon

セキュリティ脅威の変化

かつては愉快犯が中心であった外部脅威がランサムウェアに代表されるように身代金目的や企業の機密情報の搾取など、仮に被害にあった場合には金銭的実害が出るケースが増加しています。

  セキュリティ脅威 代表的なセキュリティ対策
1990年代前半 愉快犯的なウイルスが発生 トレンドマイクロ社が アンチウイルスソフトを発売
1990年代後半 インターネットウイルスの発生
「メリッサ」「コードレッド」「ニムダ」
アプライアンス型の FireWall
特定の通信を遮断することで防御する
2000年代~ セキュリティ攻撃の高度化
「セキュリティ・ホール」「自動化」「自己増殖」
IDS、IPS、UTMなど侵入攻撃を能動的にブロックする仕組みが必要となる
攻撃のWeb化
HTTP通信を利用したウイルスの感染
被害の拡大スピードと影響範囲の拡大
WebGatewayなど
通信内容と通信先のレピュテーション
2010年代~ 難読化
標的型攻撃など特定の対象に対して周到に準備された攻撃
サンドボックス製品
隔離された環境で実際に実行した結果により攻撃を判定
複雑化
単独ログ(事象)だけでは攻撃の特定が困難
SIEM製品
複数製品のログを組み合わせることで脅威を検知可能とする

攻撃の変化

これまでの脅威対策は特定の原因(例.マルウェアなど)を発見する試み
しかし、近年は特定の原因が存在しない攻撃が増加

攻撃の変化と深化

攻撃の変化と深化

仮に侵入されても発見できる対策が必要

侵入し、調査し、乗っ取り、盗難する。

対処するには、「発見」「対処」できる仕組を 事前に準備する必要があります

※ 一連の攻撃シナリオにおいて、最初期の感染はまだ「調査」「基盤構築」段階となる。
この間に、赤の点線で囲まれている(犯人が盗みたい情報と出口に到達する前)間に攻撃を「検知」し、迅速かつ効果的に「対処」しなければ犯行が遂行されてしまいます。

仮に侵入されても発見できる対策が必要

侵害を早期発見・対処するために必要なこと

  • ・侵害の進行を見つける
  • -ログ記録をシステムとは別に保存している必要がある
    (侵害の過程で自らの痕跡を消すため)
  • -不正な挙動の検知
    -Powershellやエクセルマクロなどによる感染の検知
    -権限昇格や内部侵入拡大の検知
    -システムファイルのシステムデータの改変
    -プロセスの活動ログ(システムデータへのアクセス、ネットワークアクセス、システム制御)
  • ・侵害の範囲を特定する
  • -ログインユーザー/サービス/カスタムIOCによる影響範囲調査
    -端末全体への不正な挙動の調査
    -レジストリ操作ログ、ファイルI/Oログ、プロセス起動ログの調査
  • ・侵害を隔離する
  •  -特定端末のNW隔離(隔離ログ、隔離中端末の確認が可能)

最新の攻撃に対する対策の難易度と課題

攻撃の深化による検知難易度 ◆攻撃された際に、痕跡が残らない場合が多いため、何をされたのかを把握するのに時間や工数がかかる。
 →対応までに時間がかかり被害が拡大する。

ネットワーク型セキュリティの限界 ◆悪意のあるファイルを利用しないため、ユーザーが行う通常のオペレーションと攻撃の差を判断しにくい。
 →センサーでの検知システムでは攻撃を受けていることに気づきにくい

エンドポイントによるログ収集と対処が有効!

エンドポイントセキュリティの種別について

エンドポイントセキュリティの種別について

エンドポイントの情報でインシデントを発見する

エンドポイントの情報でインシデントを発見する
top

CrowdStrike Falconの概要

クラウドストライク社が提供するCrowdStrike Falconは、リアルタイムに未知のマルウェアやゼロデイ攻撃を検知し、標的型サイバー攻撃から企業や組織を保護するエンドポイント型セキュリティ製品です。

CrowdStrike Falconの概要

CrowdStrike Falconの機能

CrowdStrike Falconは、次世代アンチウイルス(NGAV)~ エキスパートによるスレットハンティングまで、エンドポイントにおける網羅的な検知・分析・対応を行います。

 
機能名(モジュール名) 一般名称 役割対象となる脅威
Falcon Prevent EPP マルウェアや怪しい振る舞いブロック 機械的に検出可能な攻撃手法(マルウェア、振る舞い)
Falcon Insight EDR 検出した脅威への対応(詳細調査、事後対応)
Falcon OverWatch スレットハンティング エキスパート(人)の目による脅威検出 機械的に検出不可な高度な攻撃手法
  • 基本アーキテクト

    軽量なカーネルセンサーが低負荷で端末のイベントを都度収集し、クラウド上の管理サーバにアップロードします。それを元に検知・ブロック、調査、スレットハンティング等が実施されます。

    収集ログ例) プロセスの作成・終了
    ドライバロード・アンロード
    ネットワークアクティビティ
    スレッドの作成・終了
    ログイン情報
    ファイルの読込・書込・実行

  • ネットワーク隔離による対処

    管理サーバから端末に対し、NW隔離を実施することができます。管理サーバ以外の通信はブロックされますが、宛先の許可設定を行うことで、任意の宛先には通信可能です。

    CrowdStrike Falconの機能

    本動作はカーネルレベルで操作されるため、ユーザーが解除することはできません。

  • NGAVによるマルウェアブロック/隔離機能

    本機能の対象は、EXE、DLLなどの実行ファイルとなります。オフライン環境でも動作するため、一次的にインターネット接続できないような状況でも動作します。

    検出されたファイルは安全な形式で隔離されます。万が一、悪意のないファイルが検出された場合でも管理コンソールから、リリースやホワイトリスト化を行うことが出来ます。

  • ファイルレス攻撃への対応

    Powershellやスクリプトを利用し、痕跡を残さないファイルレス攻撃の検 知・ブロックや分析に対応しています。

    スレットハンティング

    機会面で検出できない攻撃を人も目により24/365で監視し、検出が可能です。

組織における活用イメージ

インシデント・レスポンス支援

Falconは CSIRT におけるインシデント・レスポンスの各マイルストーンを効果的に支援します。

インシデント・レスポンス支援 フロー

  • エンドポイントの情報収集
    ・IT資産情報
    ・起動プロセス
    ・ログ 等
  • ・マルウェアの検知
    ・マルウェアレス攻撃の検知
    ・分析・可視化
  • ・エビデンスの保全
    ・脅威の隔離
    ・被害状況・影響範囲の特定を支援する情報

管理サーバーを構築する必要はありません。エンドポイントにセンサーをインストールした時から EDR+EPP がスタートします。

  • ・フライトレコーダーにより、攻撃者がアクセスしたドキュメントや実行したコマンドを可視化
  • ・インターネット接続が可能な環境であれば、端末からリアルタイムにクラウド上の管理サーバにログが保存される為、端末のロケーションに依存せず、いつでも端末の可視化が可能
  • ・クラウド上にログが保管されるため、仮に端末上のログを削除するようなアクテビティが発生した場合も、後追い調査が可能
  • ・検知したイベントから特徴を抽出し、ビッグデータとの照合により攻撃者を特定※

※CrowdStrike社が認知している攻撃者からの攻撃である場合に限ります。

top

MDRサービスの概要 1

CrowdStrike Falcon Platformのエンドポイント・セキュリティにおける各製品導入後のサポートとして、24時間365日のセキュリティ監視サービスです。エンドポイントでの不正な挙動の検知の通知と、検知後の即時遮断や感染後の対応方法のご助言などを行います。

VDI利用時の構成例

MDRサービスの概要 2

弊社がご提供するMDRサービスは、エンドポイントにおいて検知、分析、封じ込め、除去、回復、支援などのインシデント対応サービスをご提供し、サイバー攻撃を受けてしまった後の対策までもご支援させていただき、真のセキュリティ強化を実現します。

VDI利用時の構成例

MDRサービスの位置付け

脅威状況の把握と適切な対策方法の助言

CrowdStrike Falconが検出するアラート情報は、検出されるまでの過程を余すことなく記載しており、インシデント・レスポンスを実現するにあたり極めて有益です。本サービスをご利用いただくことで、お客様に掛かる運用負荷を軽減し、インシデント・レスポンスの深掘りなど、本来の業務に時間を充当することを可能にします。

脅威状況の把握と適切な対策方法の助言

MDRサービス セキュリティ監視内容

弊社がご提供するMDRサービスは、エンドポイントにおいて検知、分析、封じ込め、除去、回復、支援などのインシデント対応サービスをご提供し、サイバー攻撃を受けてしまった後の対策までもご支援させていただき、真のセキュリティ強化を実現します。

  • ①脅威検知
    CrowdStrike Falconからのアラート通知を24時間365日でお受付します。
  • ②脅威分析
    アラートの内容から過検知判断を行い、お客様環境への影響度(実害発生の有無、外部通信の発生等)を分析します。分析結果に応じて3段階のインシデント重要度を決定します。
  • ③脅威封じ込め
    インシデント重要度がCritical(高)と判断した場合、当該エンドポイントのネットワーク隔離を実施します。
  • ④脅威除去支援
    マルウェアの除去に関するQ&A対応をご提供します。
  • ⑤回復支援
    パッチの適用等、再発防止策に関するQ&A対応をご提供します。
  • サポート窓口
    受付時間:24時間365日
    受付方法:電話/メール
  • 定期レポート
    月次レポートを毎月の月初5営業日以内にご報告します。

MDRサービス インシデント重要度定義

MDRサービスでは、アラート通知の重要度を以下の3種類に分類し、重要度に応じて電話やメールにてお客様にお知らせしております。

重大度 判定基準 SOC対応 通知 お客様側対応 説明
・High以上のアラート
・以下2条件に合致するもの
①Prevensionされていない
②外部通信している
  OR
 マルウェアの可能性が高い
・電話及びメールによるご連絡・ネットワーク隔離の実施・解析レポートのご提出

*お客様との取決め次第では、Criticalアラートの場合はSOC側でお客様の確認を待たずに、先行して隔離する事も可能です。
アナリストが重要インシデントと認識後、60分以内を目途に、当該エンドポイントの隔離と速報通知をお送りします。その後、翌営業日以内を目途に詳細な解析レポートをお送りします。 当該ホストの調査もしくは再セットアップなどのご対応
対応完了時の隔離解除連絡
マルウェアなどによる攻撃とそれによる侵入が成功している可能性が高いと判断されたアラートを想定しています。
High以上のアラート
高に該当しないもの
・メールによるご連絡
・解析レポートのご提出
重要インシデントかどうかの判断後60分以内を目途に、速報通知をお送りします。その後、翌営業日以内を目途に詳細な解析レポートをお送りします。 解析結果のご確認 攻撃に関連するインシデントの可能性がありますが、現状では侵入には成功していないアラートを想定しています。
Mediumによるアラート 管理画面上でアラートを蓄積
※ご依頼によって、解析
*Mediumレベルは危険度低ですが、最大45日分(※)、ログとして保存されます。
分析の結果、必要に応じて通知させて頂きます。 必要に応じてアラートの確認と、弊社への解析依頼 攻撃活動でない、もしくは成功しなかった可能性の高いものとなります。

MDRサービス サンプルレポート

アラート情報の読解にはマルウェアの挙動やサイバー攻撃に関する知識が必要になります。
弊社がご提供するMDRサービスでは、「何が起きているのか?(何の脅威によって感染したのか?)」「どのくらい危険なのか?(何が原因で感染したのか?」」「具体的にどうすればよいのか?(どのような経路で感染に至ったのか?)」といった情報をセキュリティアナリストがわかりやすく、アラートが発せられる都度ご報告します。お客様はCrowdStrike Falconのログを確認することなく、レポートの指示に従い、対処をしていただくことで実運用の負荷が軽減されます。

MDRサービス サンプルレポート
Pagetop