CROWDSTRIKE FALCON MALQUERY FAQ

FalconMalQueryは、マルウェア研究者、セキュリティフォレンジック、インシデントレスポンス、サイバー脅威インテリジェンスの各チームが過去のマルウェアサンプルや関連するマルウェアサンプルを見つけてさらに調査できるように設計された、高度なクラウドベースのマルウェア研究ツールです。

Falcon MalQueryは、マルウェア開発者がコードとインフラストラクチャを再利用するという事実に基づいています。この再利用により、追跡可能なフィンガープリントが残ります。マルウェアサンプルでこれらのフィンガープリントまたはアーティファクトを特定できる場合、マルウェアの原型を知ることができ、検知機能を拡張し、理解を深め、組織を保護することができます。

新しいマルウェアサンプルを調査するときは、マルウェアサンドボックス内のファイルを展開させて、興味深い文字列と潜在的に悪意のあるドメインおよびIPを特定することから始めることができます。 Falcon MalQueryは、検索エンジンと同じように使用されます。 Falcon MalQueryの35億を超えるマルウェアサンプルの膨大なコレクション全体で、これらの文字列を検索（またはYARAルールを使用）可能です。結果には、IOC、関連するマルウェアサンプルをダウンロードするためのリンク、アトリビューション、アクタープロファイルへのリンクなどが含まれます。

Falcon MalQueryが動作する様子のデモは、CrowdStrikeTechCenterでご覧いただけます。

攻撃者より早く動き、全体像の中で脅威を理解することが、今日の高度な攻撃から自社を防御するのに必要な戦略的優位性を得る上で重要です。現実には、セキュリティ専門家にとって調査ツールは、とにかく遅すぎます。ある攻撃を理解し先回りして行動するのに、何時間も、何日もかかる場合があります。時間のかかるクエリーやばらばらで不完全なデータセット、そしてあまりに多い誤検知に取り組まなければならないため、脅威を理解し戦略的に阻止するのが困難です。検索エンジンにより、現代の生活の他のすべての面で行われる研究は画期的にスピードアップしていますが、Falcon検索エンジンはサイバーセキュリティで同じことを行うのです。

Falcon MalQueryサービスは、最新の次世代型SOCにおけるマルウェア研究機能をスピードアップし強化することを主な目的にしています。マルウェア研究、セキュリティフォレンジック、インシデント対応、およびサイバー脅威インテリジェンスなどのさまざまなセキュリティ機能を可能にし、これらをサポートするように設計されました。

Falcon MalQueryは効率性の高い検索エンジンで、次のような重要な情報にすぐにアクセスできるため、セキュリティ専門家や研究者の時間を節約します。

• ASCIIやUnicodeを含む、バイトシーケンスまたはバイトパターンの組合せ
• サンプルセットに含まれるサンプル履歴全体へのYARAベースのファイル/サンプル検索 - 選択した一致サンプルのダウンロード機能も含む
• 関連するハッシュ、マルウェア後処理、ファイル属性、マルウェアファミリーおよび攻撃者の属性といった結果と、適切なCrowdStrike Falcon® Intelligence Premium™インテリジェンスレポートへのリンク

次のような、いくつもの重要な違いがあります。

• スピード：Falcon MalQueryはセキュリティ業界最速のマルウェア検索エンジンで、検索ツールの250倍以上の速度です。これは、特許出願中の「n-gram」インデックステクノロジーによって可能になっています。
• 明瞭さ：検索結果は、業界でもっとも大きく完璧なマルウェアのコレクションに基づいています。Falcon MalQueryは、ファイルのメタデータとファイル内の実際のコンテンツの両方をインデックス化するため、すべてのデータを確実に見付けることができます。その結果が脅威インテリジェンスによって補強されるため、脅威の深刻さと全体像が明らかになります。
• 保護：より迅速に正確な検索結果た得られるため、セキュリティ専門家はより優れた保護ルールを構築できます。セキュリティ専門家はこれらのルールを利用して新しい脅威を迅速に突き止めてハンティングできるようになります。また、他に利用しているセキュリティソリューションがあれば、そこにも保護ルールをデプロイすることが可能で、将来的な脅威にも確実に、前もって備えることができます。

Falcon MalQueryでは、以下のタイプの検索がサポートされています。

• ファジー検索：ASCIIやUnicode文字列など、バイトのシーケンスまたはバイトパターンの組合せに対してサポートされています。
• 完全検索：「ファジー」検索と同じですが、結果を返す前にすべての結果を検証します。
• YARAハンティング：これにより、フル機能のYARAルールに基づいて、ファイル/サンプルの検索を実行できます。

Falcon MalQueryはファイルタイプを問わず、必要に応じて新しいファイルタイプを追加できます。現在インデックスされているファイルタイプは、Composite Document Files (CDF)、Compiled Java、Dalvik Dex、Microsoft Word（DOC、DOCX）、ELF 32-/64-ビット、実行ファイル（EXE）、EMAIL、HTML文書、Hangul Word Processor File（HWP）、Java Archive Data、Windowsショートカット（LNK）、Mach-0、PDF、PE32、PE64、Perlスクリプト、PowerPoint（PPT、PPTX）、Pythonスクリプト、バイトコンパイルされたPython、Rich Text（RTF）、ASCII Text、Microsoft Excel（XLS、XLSX）、Shockwave Flash（SWF）などです。

はい。Falcon MalQueryのためにCrowdStrike Falconエンドポイント保護ソリューションを利用する必要はありません。年間サブスクリプション料金があり、お客様は、Falcon管理コンソールにあるFalcon MalQueryアプリケーションを使用してサービスにアクセスできます。登録方法についてはお問い合わせください。

Falcon MalQueryはサブスクリプションベースで、1カ月に実行されるマルウェア検索の回数に基づいてライセンスされます。詳細についてはお問い合わせください。