X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

CrowdStrike Falcon Insightに関するFAQ

EDR(エンドポイントでの検知と対応) の詳細

Falcon Insightとは何ですか?

Falcon Insight™は、CrowdStrike® Falcon® Endpoint ProtectionのEDR(エンドポイントでの検知と対応)モジュールです。Falcon Insightはエンドポイント上でDVRの機能を果たし、アクティビティを記録して、侵害防止措置を回避したインシデントをキャッチします。エンドポイントで何が起きているかをセキュリティという観点から漏れなく把握できるよう、包括的なリアルタイムの可視性を提供。これによって、侵入者を検知しないままお客様の環境内に留まらせてしまう「警告なしでの失敗」のリスクを排除します。Falcon Insightは、他の防御策を回避した攻撃の痕跡(IOA)をも検知し、お客様の環境全体を対象としてリアルタイムおよび履歴に関する先見的な脅威ハンティングを実現します。Falcon Insightは、最新の高度な攻撃を素早く検知するだけでなく、脅威に対する有効な対応や修正にも役立つため、お客様は迅速に通常業務を再開できます.

インシデントの検知が開始されるまでに、Falcon Insightの構成にどの程度の作業量が必要ですか?

Falcon Insightは、インシデントを自動的に検知するインテリジェントなEDRソリューションであり、構成や微調整なしで完全に稼働します。これを可能にしているのが、エンドポイントに対する完全な可視性とIOAの振る舞い分析の融合です。リアルタイムでイベントを分析し、不審な振る舞いの形跡を自動的に検知することで、本来見過ごされがちな攻撃者のアクティビティを特定できるのです。IOAのお陰で、セキュリティチームが探索対象を明確にした上で自ら検索を組み立てていく必要はもはやなくなりました.

Falcon Insightは構成や微調整を必要としませんが、ユーザーは最大90日分の履歴をさかのぼるカスタム検索を作成することもできます。これは、組織の環境内における先見的な脅威ハンティングを実行しようとするセキュリティチームにとっても有用です。Falcon Insightはクラウドネイティブのアーキテクチャーを基盤としているため、クエリーの結果は5秒以内に返されます.

Falcon Insightはインシデントレスポンス(IR)に使用できますか?

もちろんです。CrowdStrike Falconは、インシデントレスポンスにも広くご活用いただけます。 Falcon Insightでは、組織の環境内の全エンドポイントをリモートから確認できる可視性が提供されるため、いつ、どこで、誰が、何を、どのように攻撃しているかを瞬時に把握できます。また、担当者はInsightを活用してリアルタイムで脅威に対応し修正を行うことができるため、危険にさらされる時間や復旧所要時間を短縮できます。 Falcon Insightでは、クラウドベースのアーキテクチャーによってインシデントへの対応とその修正が大幅に加速されるため、セキュリティチームは、エンドポイントが破損していてもフォレンジック情報にアクセスできます.

警告なしでの失敗(silent failure)とは何ですか?

警告なしでの失敗とは、何の注意喚起もないまま攻撃が組織の防御策を回避することを指し、この場合、数日から数週間、あるいは数か月もの間、攻撃者が検知されずに組織の環境に居座るおそれがあります。Falcon Insightは、エンドポイント上の興味深いアクティビティすべてのオンザフライおよび事後記録を行い、詳細な検査を実施することにより、警告なしでの失敗を防止します。この詳細かつ先見的な分析により、本来検知しにくい悪質なアクティビティパターンを検出することができます.

Falcon Insightは、組織の環境からどのような情報を取得しますか?

CrowdStrike Falconは、エンドポイントのセキュリティイベントに対するリアルタイムおよび履歴の可視性を最大化するよう設計されています。そのため、攻撃の特定・把握と対応に必要なイベントデータを収集しますが、その範囲を超えることはありません。このシステムイベントのデフォルトセットはプロセスの実行に注目したものであり、これを継続的に監視することによって不審なアクティビティが探索されます。そのようなアクティビティが検知された場合は、状況をより詳しく把握し、必要に応じてイベントにタイムリーに対応できるよう、さらなるデータ収集が開始されます。なお、各種の脅威に関する状況の変化に対応するためのFalcon Insightの機能強化に伴い、収集される具体的なデータは変わりますのでご了承ください。エンドポイント上のアクティビティに関連する情報はFalconエージェントを通じて収集され、セキュアなFalconウェブ管理コンソールを介してお客様に提供されます.

Falcon Insightによって提供される情報の鮮度はどの程度ですか?

セキュリティチームが敵対者や攻撃者の動きを「ショルダーサーフィン」できるよう、情報は常にリアルタイムで収集され続けます。つまり、表示される情報は常に最新かつ的確なものであるよう徹底されます。この点は、EDRソリューションとは対照的です(EDRソリューションでは、エンドポイントに対してクエリーを実行しなければならず、直近のクエリーまたはスキャン実行時点の情報がベースとなる).

Falcon Insightを使用してどれぐらいの期間のデータをさかのぼることができますか?

全エンドポイントから収集したテレメトリーデータはすべて、最大90日間にわたり保存されます.

Falcon Insightによって収集された情報を、自分で開発したSIEMなどのセキュリティ製品に使用してもよいですか?

はい、使用できます。Falcon Data Replicator APIは完全なイベントデータを提供し、お客様はこれをローカルのデータウェアハウス/データ層に取り込むことができます。また、広範かつ高度で使いやすい一連のAPIにより、アプリケーションをFalconプラットフォームおよびその他の外部データソースに接続できます.

Falcon Insightを使用して先見的なハンティングを行うことはできますか?

はい、できます。Falcon Insightのクラウドアーキテクチャーは、かつてない規模での先見的な脅威ハンティングを可能にします。脅威ハンティングは、敵対者やその攻撃の早期検知において重要な役割を果たし、攻撃者に対する組織の防御力を高めます。Falcon Insightは、クエリー結果を数秒以内に返し、1つの手がかりから次のものへと瞬時に目を向けるため、セキュリティチームは最大90日間にわたって収集されたデータを対象としたハンティングを実行できます.

また、脅威ハンティングを自ら実施するためのセキュリティリソースを現時点で保有していないお客様も、Falcon OverWatch™(Falconプラットフォームのマネージド脅威ハンティングコンポーネント)を活用することでその恩恵を受けられます。Falcon OverWatchの経験豊富なセキュリティ専門家チームは、お客様に代わって24時間365日体制で先見的な脅威ハンティングを行い、セキュリティ侵害を阻止します.

Falcon Insightを導入するにはどのようなインフラストラクチャーが必要ですか?

お客様は、Falcon Insightを使用するために何らかのインフラストラクチャーを実装する必要はありません。Falcon Insightは、100パーセントクラウドで提供されるFalconプラットフォームを使用しています。これによって、お客様はより迅速に保護を確立でき、オンプレミスでのハードウェアの取得・実装・管理を排除して総所有コスト(TCO)を削減できます。また、クラウドベースのセキュリティは、攻撃者が改造や迂回を目的としてCrowdStrikeの技術を取得することを不可能にします。Falconを回避しようとする攻撃者の試みは直ちにクラウドに送信され、クラウドで検知されます。クラウドベースのセキュリティにより、CrowdStrikeは各種の脅威に関する状況をより詳しく把握できます。この広い視野のお陰で、Falconはより多くのデータを分析でき、ひいては保護機能をも強化できるのです.

脅威に対応し修正を行う上で、Falcon Insightはどのように役立ちますか?

Falcon Insightは、インシデントレスポンス時にシステム上で実行できる一連のビルトインオペレーションを提供します。これらのレスポンスオペレーションの一部は、脅威のリスクレベルや範囲を漏れなく把握する目的で、脅威に関する調査の実施中に使用されます。レスポンス担当者はこれらのオペレーションを活用し、脅威について素早く完全な理解を得ることができます。また、オペレーションの中には、脅威を隔離または修正するアクションをシステム上で実行する際に使用されるものもあります。これはたとえば、悪意のあるプロセスの停止や、ファイルの削除、Windowsレジストリーのクリーンアップ、ネットワークトラフィックの隔離などによって実現されます。レスポンス担当者はこれらのコマンドを使用して、素早く決然と行動することができます。これらを併用することで、高度な脅威へのレスポンス所要時間を大幅に短縮できます.

Falcon Insightの価格を教えてください?

Falconのライセンスは、エンドポイントごとにサブスクリプションベースで供与されます。CrowdStrike Falcon Prevent次世代アンチウイルス製品の価格は、エンドポイントあたり年間59.99ドルからです。ご質問やお見積もりのリクエストは、当社までお気軽にお寄せください。すぐに購入をご希望の場合は、AWS Marketplaceでお求めいただけます.