top
JA  /  EN

CrowdStrike

この度GSXは、アジア太平洋および日本地域のCrowdStrike「BEST CORPORATE PARTNER 2020」に選出されました。

CrowdStrike Falcon ホワイトペーパー ダウンロード
CrowdStrike Falcon ホワイトペーパー ダウンロード
境界防御からエンドポイント防御へ 根本原因が分からなければ対症療法しかできない ディップが「EDR」を選んだ理由

FALCON PREVENT 15 DAYS FREE TRIAL はこちらから

FALCON PREVENT 15 DAYS FREE TRIAL とは? CrowdStrike Falcon Preventの15日間フリートライアルプログラムは、実際にNGAVソリューションであるFalcon Preventをご利用いただいた上で、その実装性/利便性/強力な保護力を実感いただくための試使用プログラムです。無償提供となりますので、是非ご利用ください。

CrowdStrikeが必要とされる背景

エンドポイントを狙うサイバー攻撃

企業や民間団体そして官公庁等、特定の組織及びその委託先(サプライチェーン)に対して、機密情報等を窃取することを目的とした標的型攻撃やランサムウェアによる被害が相次いでいます。
いずれもメール、Webサイトを利用しPC(エンドポイント)をウイルスに感染させ、攻撃するものです。

■「情報セキュリティ10大脅威」組織編*

「情報セキュリティ10大脅威」組織編  - GSX|グローバルセキュリティエキスパート株式会社

*IPA「情報セキュリティ10大脅威」から抜粋。 
https://www.ipa.go.jp/security/vuln/

従来のマルウェア対策で守れるのは、攻撃全体の約半分程度

一方でエンドポイントへの高度な攻撃に用いられるのは、マルウェアを使わないファイルレス攻撃(マルウェアフリー)と呼ばれるものであり、従来のマルウェア対策で守ることができるのは、攻撃全体の半分程度と言われています。

従来のマルウェア対策で守れるのは、攻撃全体の約半分程度

ブレイクアウトタイム内に攻撃に対処する

また、攻撃に対処するためには、攻撃者が最初に侵入したエンドポイントからネットワーク内の他のシステムへの侵入を開始するまでの間(ブレイクアウトタイム)に、検知する必要があります。

ブレイクアウトタイム内に攻撃に対処する

CrowdStrike製品の紹介

CrowdStrikeの特徴

CrowdStrikeは、クラウドに収集された全世界の端末の振る舞いログを監視し、標的型攻撃をリアルタイムに判断・通知します。
これにより、従来のマルウェア対策では検知できない攻撃を速やかに検知し、対処することが可能です。

CrowdStrikeの特徴

CrowdStrikeの多層防御

CrowdStrikeは、Prevention機能により従来のマルウェアによる攻撃を防御します。加えて、EDR(Endpoint Detection and Responce)機能とOverwatch(後述)によりマルウェアフリー(マルウェアを使わないファイルレス攻撃)を含めた、エンドポイントに対するすべての攻撃を防御します。

CrowdStrikeの多層防御

①標的型攻撃の有無をリアルタイムに判定・通知

CrowdStrikeはクラウド上にある最新の脅威インテリジェンスを利用し、EDRのアラートに対してリアルタイムに標的型攻撃かどうかの判断や、
攻撃者情報を確認することができます。攻撃者の目的や手法を知ることで、有効な防御策を検討することが可能です。

①標的型攻撃の有無をリアルタイムに判定・通知

すべての標的型攻撃は「人」が行っており、バラマキ型と標的型攻撃では対策が異なります。
脅威インテリジェンスによる標的型攻撃の「リアルタイム」な特定は、守る側の負荷軽減にもつながります。

②専門化がすべての振る舞いログをリアルタイムに監視

Overwatchとは、専門家が24時間365日ログを監視し、新しい脅威を常にハンティングする機能です。EDRでは自動的に検知できないような、高度な攻撃を検知することが可能です。

専門化がすべての振る舞いログをリアルタイムに監視

Overwatchでしか見つけられない例

以下のようなnet useやwhoamiというコマンドは、管理目的で日常的に利用されており、これだけでアラートを上げてしまうと、膨大な誤検知がでてしまうので、機械的には判断が難しい例になります。

net use \\10.100.11[.]236\c$ "REDACTED" /user:[redacted]\[redacted]
whoami

しかし、Overwatchチームはこのコマンドの使用方法を、ツールで詳細確認することで、攻撃者による攻撃なのかどうかを判断してからアラートを生成します。
例えば、この前後に実行されているコマンドや、時間範囲内に同じコマンドが他のホストで実行されていないか、外部通信が行われているか、普段実行されているユーザと異なる権限で実行されていないか、など目視で確認します。

ReconnaissanceCMD: ipconfig
CMD: net view
CMD: net list
CMD: net show
CMD: net use z:
CMD: nslookup win-dc

<ー
この調査用のコマンドはOverwatchチームが実際にユーザに送ったメールの例です。これらはすべて正規のコマンドになるため、このような攻撃者による環境の調査を機械的にすると誤検知が多く発生してしまう例になります。

③調査に必要な情報もリアルタイムにクラウドに収集

CrowdStrikeのEDR機能は、攻撃の初期侵入から検知に至るまで、調査に必要な情報をプロセスツリーにより可視化します。
攻撃がいつ、どこから始まり、どのような影響を与えたかを、一つの画面内で確認することができます。

③調査に必要な情報もリアルタイムにクラウドに収集

容易な導入・運用

管理サーバーはクラウドサービスとして提供されるため、構築は不要です。
エンドポイントに導入するエージェントは軽量なカーネルモードで動作します。自動的にアップグレードされ、再起動は不要です。

容易な導入・運用

  • 再起動不要
  • シングルエージェント(追加モジュール不要)
  • エージェントの自動アップグレード
  • ダイナミックグルーピングによるポリシー制御
  • ブロック機能
  • エージェント の自動更新
  • RTR機能の制限
  • USBメモリの制限
  • API連携
  • 監査ログ
  • ログのローカルへのダウンロードサポート

1つのプラットフォームですべての環境をカバー

CrowdStrike Falcon PlatformはPC端末(ワークステーション)をはじめ、サーバ、モバイル等、様々な環境を単一のエージェントでカバーできます。複数の管理コンソールは必要ありません。

1つのプラットフォームですべての環境をカバー

MDRサービス for CrowdStrike Falconの紹介

MDRサービス サンプルレポート

MDR(Management Detection and Response)サービスは、CrowdStrike Falconにより検知・ブロックされたセキュリティ侵害の痕跡を分析し、具体的な影響の把握、当該エンドポイントの隔離による脅威の拡散抑止、脅威除去および復旧支援を行うサービスです。
本サービスによって、お客様のCrowdStrike Falconの運用負荷を大幅に軽減します。

MDRサービス概要

FALCON PREVENT 15 DAYS FREE TRIAL はこちらから バナー押下時にクラウドストライクのサイトに遷移します。遷移先画面にて御社ご担当社様情報を入力ください。

MDRサービスの流れと内容

アラート発生後、一次レポートまでの提出を24時間365日対応します。危険度の高いアラートが発生した場合でも即時対応が可能です。

MDRサービスの流れと内容

アラート解析
危険度判定
CrowdStrike Falcon のアラート解析により危険度を判定し、現状把握と早期対応に必要な情報を通知します。
エンドポイント隔離* 危険度が「高」と判定されたエンドポイントを隔離し、CrowdStrike Falcon 管理サーバとの通信を除くネットワークアクセスを遮断します。
一次レポート 発生後一時間以内に、危険度「高」「中」アラートの概要および推奨対応をレポートします。
二次レポート 発生後翌営業日以内に、一次レポートの内容に加え、アラート解析結果と詳細分析情報をレポートします。
脅威除去・復旧支援 エンドポイントに残存する脅威を除去するため、特定プロセス停止やファイル隔離を支援します。
月次レポート 過去6ヶ月のアラート件数、および前月内に発生したアラートのサマリ情報をレポートします。

*アラート発生後即時隔離するか、電話連絡後許可を得て隔離するかは選択可能です。

MDRサービスレポートサンプル

一次レポート

MDRサービスレポートサンプル 一次レポート

二次レポート

MDRサービスレポートサンプル 二次レポート

月次レポート

MDRサービスレポートサンプル 月次レポート
FALCON PREVENT 15 DAYS FREE TRIAL はこちらから バナー押下時にクラウドストライクのサイトに遷移します。遷移先画面にて御社ご担当社様情報を入力ください。

導入事例

ディップ株式会社様

https://www.gsx.co.jp/casestudy/dip-net_001.html

株式会社 竹中工務店様

https://www.gsx.co.jp/casestudy/takenaka_001.html

Pagetop
CrowdStrike Falcon ホワイトペーパー ダウンロード
CrowdStrike Falcon ホワイトペーパー ダウンロード
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。