CrowdStrike製品の紹介
CrowdStrikeの特徴
CrowdStrikeは、クラウドに収集された全世界の端末の振る舞いログを監視し、標的型攻撃をリアルタイムに判断・通知します。
これにより、従来のマルウェア対策では検知できない攻撃を速やかに検知し、対処することが可能です。
CrowdStrikeの多層防御
CrowdStrikeは、Prevention機能により従来のマルウェアによる攻撃を防御します。加えて、EDR(Endpoint Detection and Responce)機能とOverwatch(後述)によりマルウェアフリー(マルウェアを使わないファイルレス攻撃)を含めた、エンドポイントに対するすべての攻撃を防御します。
①標的型攻撃の有無をリアルタイムに判定・通知
CrowdStrikeはクラウド上にある最新の脅威インテリジェンスを利用し、EDRのアラートに対してリアルタイムに標的型攻撃かどうかの判断や、
攻撃者情報を確認することができます。攻撃者の目的や手法を知ることで、有効な防御策を検討することが可能です。
すべての標的型攻撃は「人」が行っており、バラマキ型と標的型攻撃では対策が異なります。
脅威インテリジェンスによる標的型攻撃の「リアルタイム」な特定は、守る側の負荷軽減にもつながります。
②専門家がすべての振る舞いログをリアルタイムに監視
Overwatchとは、専門家が24時間365日ログを監視し、新しい脅威を常にハンティングする機能です。EDRでは自動的に検知できないような、高度な攻撃を検知することが可能です。
Overwatchでしか見つけられない例
以下のようなnet useやwhoamiというコマンドは、管理目的で日常的に利用されており、これだけでアラートを上げてしまうと、膨大な誤検知がでてしまうので、機械的には判断が難しい例になります。
net use \\10.100.11[.]236\c$ "REDACTED" /user:[redacted]\[redacted]
whoami
しかし、Overwatchチームはこのコマンドの使用方法を、ツールで詳細確認することで、攻撃者による攻撃なのかどうかを判断してからアラートを生成します。
例えば、この前後に実行されているコマンドや、時間範囲内に同じコマンドが他のホストで実行されていないか、外部通信が行われているか、普段実行されているユーザと異なる権限で実行されていないか、など目視で確認します。
ReconnaissanceCMD: ipconfig
CMD: net view
CMD: net list
CMD: net show
CMD: net use z:
CMD: nslookup win-dc
<ー
この調査用のコマンドはOverwatchチームが実際にユーザに送ったメールの例です。これらはすべて正規のコマンドになるため、このような攻撃者による環境の調査を機械的にすると誤検知が多く発生してしまう例になります。
③調査に必要な情報もリアルタイムにクラウドに収集
CrowdStrikeのEDR機能は、攻撃の初期侵入から検知に至るまで、調査に必要な情報をプロセスツリーにより可視化します。
攻撃がいつ、どこから始まり、どのような影響を与えたかを、一つの画面内で確認することができます。
容易な導入・運用
管理サーバーはクラウドサービスとして提供されるため、構築は不要です。
エンドポイントに導入するエージェントは軽量なカーネルモードで動作します。自動的にアップグレードされ、再起動は不要です。
- 再起動不要
- シングルエージェント(追加モジュール不要)
- エージェントの自動アップグレード
- ダイナミックグルーピングによるポリシー制御
- ブロック機能
- エージェント の自動更新
- RTR機能の制限
- USBメモリの制限
- API連携
- 監査ログ
- ログのローカルへのダウンロードサポート
1つのプラットフォームですべての環境をカバー
CrowdStrike Falcon PlatformはPC端末(ワークステーション)をはじめ、サーバ、モバイル等、様々な環境を単一のエージェントでカバーできます。複数の管理コンソールは必要ありません。
