X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

CROWDSTRIKE FALCON OVERWATCHに関するFAQ

プロアクティブな脅威ハンティングの詳細

Falcon OverWatchとは何ですか?

CrowdStrike Falcon OverWatch™は、本来見過ごされがちな侵害行為や悪質なアクティビティ、敵対者の検知を担うマネージドハンティングサービスです。また、Falcon OverWatchは、ステルス型および破壊的なマルウェアキャンペーンを先見的にハンティングし、適宜お客様に通知するとともに保護措置を提供します.

すでにMSSPを利用していますが、それでもさらにFalcon OverWatchが必要でしょうか?

Falcon OverWatchは、MSSPとは目的が異なります。MSSPはそもそも、お客様のセキュリティ製品(ファイアウォールやIDS/IPS、SIEM、ウェブゲートウェイなど)の管理に使用されます。MSSPは基本的な検知およびアラートサービスを提供しますが、これらは概ね管理対象のセキュリティ製品のアラートに基づくものであり、お客様はインシデントに対応するために何をすべきかを自ら調査した上で見極め、優先順位付けを行う必要があります。MSSPはもともと、ファイアウォールやUTM(統合脅威管理)、ウェブゲートウェイなどの境界セキュリティソリューションの監視に主眼を置いていましたが、高スキルの攻撃者はこれらのソリューションに検知されることなく組織の環境に侵入できてしまうため、このアプローチは効率的ではないことが実証されています.

一方、Falcon OverWatchは、お客様のセキュリティ製品を管理するわけではありません。OverWatchは、お客様に代わって先見的に脅威を探索し、現行のセキュリティ技術が提供する受動的な自動検知を超える効果を発揮します。痕跡(すなわち本来見過ごされがちな攻撃を示す動かぬ証拠)を探索・検出して調査を行い、さらに対応までこなせるのです。また、OverWatchは、修正に関する推奨事項を伴うアクション可能なアラートを提供し、詳細な分析を提示するため、お客様は何が起きたかを把握し、インシデントへの対応方法を見極めることができます。これまでの実績を見ても、MSSPは高度な攻撃を検知できません。しかしOverWatchは、お客様のMSSPが見逃した攻撃をも日常的に検知します。 この点については、CrowdStrike®敵対者エミュレーションサービスで検証可能です。お客様はこのサービスを通じ、現在ご利用のMSSPが高度な攻撃を検知できるかどうかをテストできます.

Falcon OverWatchは本当に意義をもたらしてくれるのですか?

Falcon OverWatchは、他のどのセキュリティ対策でもブロックどころか検知すらできなかった攻撃を、日々特定・阻止します。Falcon OverWatchは実際、年間平均30,000件以上のセキュリティ侵害の試みを阻止しています.

Falcon OverWatchは、調査開始前に対象環境のベースライン評価を実施する必要がありますか?

CrowdStrike Falcon®エージェントのお陰で、ベースラインの確立は不要です。Falcon OverWatchは調査の過程で、各ユーザーまたはプロセス、ワークステーションのアクティビティをお客様の環境内における他のアクティビティと比較します.

典型的な例を挙げてみましょう。ボブというユーザーがRDP(リモートデスクトッププロトコル)を使用してサーバーにアクセスし、いくつかの不審なコマンドを実行したのをFalcon OverWatchが見つけます。Falcon OverWatchは、そのシステムへのログインすべてを調査し、インタラクティブログインとRDPログインを比較するとともに、この環境全体におけるボブによるRDPの使用状況を調査します。また別の例では、OverWatchが不審なプロセスを見つけ、不審なファイルが環境内のどこで何回実行されているかを調査します。マネージドハンティングサービスであるFalcon OverWatchは、この分析からさらに一歩踏み込んで探索を行い、このファイルがデータセット全体にどの程度蔓延しているか、また他の場所で似たような特性を示していないかを確認します.

OverWatchはCrowdStrikeの他のチームとも協働するのですか?

OverWatchは、CrowdStrike Servicesおよびインシデントレスポンス、脅威インテリジェンスの各チームと日常的に連携を取り合っています。OverWatchチームは、Falcon Intelligence™およびセキュリティレスポンスチームと相互協力関係にあり、調査によって見つかったアクティビティやマルウェアの特定や要因追究に関する支援を提供します。Falcon OverWatchが関与するインシデントレスポンス事例において、同チームはCrowdStrike Servicesと緊密に協働し、調査の結果得られた情報を交換します.

遡及調査とは何ですか。また、どのような場合に実施されますか?

遡及調査とは、Falcon OverWatchが侵害行為の証拠をつかむために履歴データを見直すことです。この種の調査は、かなり頻繁に行われます。侵害行為においては、調査のアーチファクトであるIPやドメイン、ハッシュなどが収集されます。これらのアーチファクトはCrowdStrikeインテリジェンスデータベースにロードされ、その後、Falconプラットフォームのお客様向けUIでアラートが生成されます。また、Falcon OverWatchは、これらの痕跡の発生履歴を探索し、ヒットがあれば調査を行って、適宜お客様に通知します.

Falcon OverWatchは顧客数やイベントボリュームの増加に対応できるのですか?

Falcon OverWatchは、非常に効率的な形でイベントボリュームおよびシステム数、人員を拡張する能力を備えています。標的型およびステルス型の侵害行為の検出という使命に焦点を絞っているFalcon OverWatchは、Falconプラットフォームでの検知内容を分析するだけでなく、OverWatchが専有権を有する内部検知・分析ツールを使用します。これによってOverWatchは、検知プラットフォームを調整してご検知を排除し、検知の精度を高めるとともにアナリストの負担を低減できるのです。また、Falcon OverWatchはインテリジェントオートメーションを大いに活用して可能な限りルーチンタスクを排除し、信号対雑音比を高めます.

Falcon OverWatchが提供するサービスはいくつかのレベルに分かれていますか?

Falcon OverWatchには、一方が他方を基盤とする異なるレベルのサービスがあり、お客様の要件やリソースに最適なオプションをお選びいただけます:

  • Falcon OverWatch Standardはエントリーレベルのサービスであり、24時間365日体制での先見的なハンティングと、検知直後のFalcon OverWatchチームからのEメールに通知およびアラートが含まれます.
  • Falcon OverWatch PremiumはCrowdStrikeが提供するOverWatchの最高レベルであり、Standardのサービス内容すべてに加え、アラートのエスカレーション通知や直接のご連絡が含まれます。先見的な正常性チェックおよびソリューションの構成のほか、OverWatchチームメンバーへの直接のアクセス、四半期ごとのブリーフィングおよびセキュリティに関する推奨事項の提示により、攻撃者の動きを先取りして大規模なセキュリティ侵害を阻止します.

Falcon Overwatchの価格を教えてください?

Falconのライセンスは、エンドポイントごとにサブスクリプションベースで供与されます。ご質問やお見積もりのリクエストは、当社までお気軽にお寄せください.