CrowdStrike® Falcon Sandboxは、セキュリティチームの業務をサポートする自動マルウェア分析ソリューションです。包括的な脅威インテリジェンスを、世界最強のサンドボックスソリューションがもたらす結果と融合して皆様を支援します。この独創的な組み合わせにより、コンテキスト情報が提供されるため、アナリストは高度なマルウェア攻撃について理解を深め、防御策をきめ細かく調整できます。Falcon Sandboxは、防御策を回避する未知の脅威について詳細な分析を行い、その結果を脅威インテリジェンスで補強して、アクション可能な侵害の痕跡(IOC)を提供します。どのスキルレベルのサイバーセキュリティチームも、Falcon Sandboxを活用することで、日々直面する脅威に対して理解を深め、その知識を生かして将来の攻撃に対する防御策を講じることができます.
CrowdStrike Falcon Sandboxに関するFAQ
Hybrid-Analysis.com は無料のオンラインマルウェア分析コミュニティであり、ユーザーはここにファイルを提出して、無料で詳細な分析を受けられます。また、ウェブサイトおよび十分に文書化されたREST APIを通じて、何千もの既存のマルウェアレポートを検索したり、サンプルやIOCをダウンロードすることもできます.
Hybrid-Analysisは、Falcon Sandboxを使用した独立型のサービスであり、Falcon Sandboxの技術を評価するのに最適な手段です。Hybrid Analysisは、Falcon Sandbox Private Cloudの機能のサブセットを提供します。下表は、両者の違いをまとめたものです:
機能 |
Hybrid-Analysis.com |
Falcon Sandbox |
1か月あたりの合計分析ファイル数 |
最大30個 |
最大25,000個 |
プライバシー レポートは共有 |
ファイルは非公開に設定可能 完全なプライバシ |
ー保護 サポート |
対象のオペレーティングシステム |
Windows 7 (32/64), Ubuntu (64), Android (static analysis) |
Plus Windows 10 |
Submission Type |
Files, archives only |
Plus URL analysis |
Downloads / Formats |
Binary samples, PCAPs,MAEC, STIX, MISP, OPenIOC |
Plus PDF, XML, JSON, HTML |
Reporting |
View risk, summary and malware verdicts |
Full reports — also includes all IOCs, all IDS rules, intelligence and more. |
CrowdStrike Falcon Intelligence™ |
None |
View actor attribution, IOCs, IDS and YARA rules from Falcon Intelligence |
Recursive Analysis |
None |
Automatically searches and provides analysis reports for all related malware based on actor, campaign or malware family |
Hybrid-Analysis.com は無料のオンラインマルウェア分析コミュニティであり、ユーザーはここにファイルをサブミットして、無料で詳細な分析を受けられます。また、ウェブサイトおよび十分に文書化されたREST APIを通じて、何千もの既存のマルウェアレポートを検索したり、サンプルやIOCをダウンロードすることもできます。
Hybrid-Analysisは、Falcon Sandboxを使用した独立型のサービスであり、Falcon Sandboxの技術を評価するのに最適な手段です。Hybrid Analysisは、Falcon Sandboxの機能のサブセットを提供します。下表は、両者の違いをまとめたものです:
機能 | Hybrid-Analysis.com | Falcon Sandbox Private Cloud | Falcon Sandbox On Premise |
実行させる環境 | |||
Windows 7 (32/64) |
✓ |
✓ | ✓ |
Windows 10 | ✓ | ✓ | |
Ubuntu 16 (64) | ✓ | ✓ | ✓ |
Ubuntu 16 (16/64) と RedHat | ✓ | ||
カスタム “Golden” イメージ | ✓ | ||
ファイルのサブミット | |||
1か月あたりの合計分析ファイル数 | Guestとして30まで | 最大25,000 | 無制限 |
ファイル/アーカイブ分析 | ✓ | ✓ | ✓ |
URL の分析 | ✓ | ✓ | ✓ |
re CAPTCHA なしのサブミット | ✓ | ✓ | |
抽出されたファイルの再分析 | ✓ | ✓ | |
カスタムアクションスクリプト | ✓ | ||
ダウンロード | |||
バイナリサンプル/PCAPS | ✓ | ✓ | ✓ |
MAEC, STIX, MISP, OpenIOC | ✓ | ✓ | ✓ |
PDF, XML, JSON, HTML | ✓ | ✓ | |
プロセスメモリダンプごと | ✓ | ||
レポーティング機能 | |||
リスクビュー概要と判定 | ✓ | ✓ | ✓ |
全てのmalicious/suspicious インジケータ表示 (IOAs) | ✓ | ✓ | |
ネットワークIDSルールトリガーの表示 | ✓ | ライセンスが必要 | |
レポートのプライバシ | ✓ | ✓ | |
インテグレーション | |||
CrowdStrikeインテルとの統合 (attribution、IOCs、IDS、 YARA) | ✓ | ライセンスが必要 | |
Falcon MalQuery インテグレーション | ✓ | ✓ | ✓ |
ファイルサブミット、サーチのためのREST API | ✓ | ✓ | ✓ |
SOAR ツールのサポート (Phantom、Demistoなど) | ✓ | ✓ | ✓ |
SIEMインテグレーション (CEF、syslog) | ✓ | ||
Falcon BridgeによるmailとNFS のPassiveスキャニング | ✓ | ✓ | ✓ |
システム機能 | |||
実行環境の制限 | ✓ | ||
カスタムIOAs | ✓ | ||
カスタムYARAルールの追加 | ✓ |
Hybrid Analysisは、ランタイムデータとメモリーダンプ分析を融合し、可能なすべての実行経路を(防御策を巧みに回避するマルウェアに関しても)抽出します。Hybrid AnalysisとFalcon Sandboxの詳細な実行前・実行後分析を組み合わせることで、独自の機能が提供され、他のどの競合サンドボックスソリューションよりも多くのIOCを抽出できます。Hybrid Analysisエンジンから抽出されたデータはすべて自動的に処理され、Falcon Sandboxレポートに組み込まれます。 詳しくは、Hybrid Analysisテクノロジーのページをご覧ください.
最新型のマルウェアの作成者はサンドボックス技術についても承知しているため、マルウェアには、外部プロセスがファイルを監視していることを検知した場合に悪質なアクティビティを停止または隠蔽する機能が搭載されている場合があります。第1世代の従来型サンドボックスモニターは、アプリケーション層(ユーザーモード)で動作し、システムライブラリーの呼び出しを傍受していたため、検知されやすくなっていました。それに対しFalcon Sandboxは、オペレーティングシステムレベル(カーネルモード)での監視を実現しました。ターゲットプロセスにはタッチしないため、これを検知することは非常に困難です。Falcon Sandboxのカーネルモードモニターは、実際に出回っている最新型のマルウェアサンプルに対し堅牢かつ非常に有効であることが実証されています。世界に通用するCrowdStrikeのアンチサンドボックスおよびアンチVM検知技術(PafishやVMDEなどのベンチマークツールによって明示されています)は、防御策を巧みに回避するマルウェアの分析を実現します。CrowdStrikeは、新たな検知回避手法の一歩先を行くためFalcon Sandboxを常に更新し続け、社内のベンチマークツールおよび毎日実地テストが行われているパブリックコミュニティ(Hybrid-Analysis.com)を活用してそのパフォーマンスを検証しています.
Falcon Sandbox Private Cloudは自動的に拡張します。該当するライセンスをお持ちであれば、1か月あたり最大25,000個のファイルを簡単に処理できます。しかも、この拡張性は、インフラストラクチャーのコスト負担なしでご利用いただけるものです.
Falcon Sandbox On-Premをご利用のお客様は、展開状況により、1か月あたり25,000個を超えるファイルを処理できるレベルへと簡単に拡張できます。負荷分散ブローカーであるFalcon Sandbox Bridgeを使用すれば、分散型の大規模システムを構築し、1日あたり数十万個のファイルを処理できるようにすることも可能です。展開オプションに関するガイダンスをご希望の場合は、[email protected]までご連絡ください。.
Falcon Sandbox On-Premは、たとえば、マルウェアのデトネーションの実行方法をカスタム制御しなければならない、または厳格なプライバシー要件があり外部へのファイル送信が制限されている、分析ファイル数が1か月あたり25,000個を超えるような大規模な拡張が必要である、などのニーズを抱えた組織に最適です.
Falcon Sandbox On-Premは、Falcon Sandbox Private Cloudの機能に加え、以下の特徴を備えています:
- 仮想マシンのカスタムまたは「ゴールデン」イメージを有効化(VMWareおよびVirtualBoxのハイパーバイザーをサポート).
- 仮想環境がいくつあってもそれらにおけるファイルの分析を並行して行い、真の標的型攻撃検知を提供.
- お客様固有の要件に合わせてFalcon Sandboxを調整可能.
- Falcon Sandbox On-Premには何百もの構成オプションがあり、「アクションスクリプト」のカスタマイズ(これによって、デトネーション実行中に人間によるアクティビティのシミュレーションを実施)、振る舞いの痕跡のカスタマイズが可能なほか、マルウェア判定を操作してリスクスコアリングをカスタマイズ可能.
- ネットワークとの接続を完全に切断した状態(エアギャップ)で動作しながら、ネットワーク接続のシミュレーション(FakeNet-NG、INetSimを使用)も可能.
- CEF syslogを使用してフィードバック分析の結果をSIEMに送信するなど、さまざまな統合が可能 お客様独自のカスタムYARAルールや、ハッシュ/証明書のホワイトリストなどを追加可能.
CrowdStrikeから提供いたします。新しいリリースが使用可能になると、CrowdStrikeからすべてのお客様に、関連文書とリリースパッケージの両方へのリンクを含む通知をお送りします。システムのアップグレードは自動化されており、簡単・迅速です.
Falcon Sandbox Private Cloudは、Falcon Sandboxユーザーの大半の方々が選択される展開オプションです。クラウド型のため、即時に価値が創出され、インフラストラクチャーへの投資も不要.
コスト効率の良い魅力的な展開オプションです。 Falcon Sandbox On-Premオプションは、たとえば、マルウェアのデトネーションの実行方法をカスタム制御しなければならない、または厳格なプライバシー要件があり外部へのマルウェア送信が制限されている、分析ファイル数が1か月あたり25,000個を超えるような大規模な拡張が必要である、などのニーズを抱えた組織に最適です. 下表は、2つの展開オプションの機能の概要をまとめたものです。
機能 |
Falcon Sandbox
|
Falcon Sandbox On-Prem |
1か月あたりの合計分析ファイル数 |
最大25,000 |
無制限ライセンスあり |
ゲストオペレーティングシステムのサポート |
Windows, 7、10(32/64)、Ubuntu Linux(64)、Android(静的分析) |
左記に加え、カスタム仮想マシンイメージ、Ubuntu Linux(32ビット) |
プライバシー |
ファイル/レポートはすべて非公開 左記に加え |
ネットワークとの接続を切断した状態(エアギャップ)で展開可能 |
ダウンロード/ファイル形式 |
バイナリーサンプル、PCAP、MAEC、STIX、MISP、OPenIOC、PDF、XML、JSON、HTML 左記に加え |
CEF形式 |
カスタマイズ |
ェアのデトネーション(継続時間、日時)の構成、既存のアクションスクリプトの選択 |
カスタムイメージに対するマルウェアサンプルの実行 |
レポート |
帰納的ファイル分析を含む完全な分析レポート |
帰納的ファイル分析(準備中) |
CrowdStrike Intelligenceの統合 |
可 |
ライセンスが必要 |
MalQuery インテグレーション |
可 |
準備中 |
Falcon Sandbox On-Premをご利用のお客様:Falcon Sandbox Bridgeを使用することで、1日あたり数十万個のファイルを処理できる分散型のFalcon Sandboxシステムを作成できます。 この拡張は、既存のFalcon Sandbox On-Premシステムに物理サーバーを追加し、負荷分散コントローラーを使用して、受信したファイルをFalcon Sandbox Bridgeが管理する1つまたは複数の指定アプリケーションサーバーに分配することによって実現します。 Falcon Sandboxをご利用のすべてのお客様:Falcon Sandbox Bridgeは、さまざまなソース(Eメールの受信トレイやネットワークドライブなど)からファイルを収集し、Falcon Sandbox Private CloudまたはFalcon Sandbox On-Premに転送します。ファイル収集プロセスは、ユーザーが定義した頻度でファイルソースのポーリングを行うことによって実行されます。分析が完了し、ファイルに関する結果が取得されると、ユーザー定義の脅威レベルに基づいて、Eメールによる通知が自動送信されます.
Falcon Sandboxがサポートしているのは、PEファイル(.exe、.scr、.pif、.dll、.com、.cplnado)、Office(.doc、.docx、.ppt、.pps、.pptx、.ppsx、.xls、.xlsx、.rtf、.pub)、PDF、APK、実行可能なJAR、Windowsスクリプトコンポーネント(.sct)、Windowsショートカット(.lnk)、Windowsヘルプ(.chm)、HTMLアプリケーション(.hta)、Windowsスクリプトファイル(*.wsf)、Javascript(.js)、Visual Basic(*.vbs、*.vbe)、Shockwave Flash(.swf)、Perl(.pl)、Powershell(.ps1、.psd1、.psm1)、スケーラブルベクターグラフィックス(.svg)、Python(.py)およびPerl(.pl)のスクリプト、Linux ELF実行可能ファイル、MIME RFC 822(*.eml)、Outlook *.msgファイルです。 お客様は、アーカイブ(ace、arj、7z、bzip2、gzip2、iso、rar、rev、tar、wim、xz、zip)をアップロードできます(パスワードは使用してもしなくても可)。パスワードを使用する場合は、典型的な「infected」というパスワードが必要です.
レポート形式には、XML、MAEC(4.1)、OpenIOC(1.1)、MISP XML、JSONが含まれます。また、レポートは、単一のHTMLまたはPDFファイルでも提供可能です.
Falcon Sandboxでは、設定内容を構成してマルウェアのデトネーションの実行方法を決められる機能が提供されるため、ユーザーは自らこれを管理できます。具体的なオプションにはたとえば、日時や環境変数の設定、コマンドラインオプションの設定、PDF/Officeのプロンプトに対するパスワードの提示などがあります。また、豊富な「アクションスクリプト」から選択することも可能であるため、デトネーション実行中にユーザーの動作(マウスのクリックや動き、キーボード入力など)を再現させ、サンドボックス技術による検出の回避を試みるマルウェアを顕在化させることができます.
振る舞いの痕跡は攻撃の痕跡(IOA)と似ており、悪意がある可能性があるシーケンスに従って実行されるリスクの高いアクティビティ(またはアクティビティ群)を定義します。例として、自動開始レジストリーへの何らかのエントリーの追加、ファイアウォールの設定の変更、ディスクへの既知のランサムウェアファイルの書き込み、異常なポートでのデータ送信などが挙げられます。振る舞いの痕跡を活用することで、ファイルの潜在的リスクについてより総合的な情報を取得し、それまで未知であった脅威を特定できます。 Falcon Sandboxには、700を超えるジェネリックな振る舞いの痕跡が含まれており、常に更新・拡張され続けています.
Windows Desktop XP、Vista、7、8、10(32および64ビット)、Ubuntu/RHEL Linux(32および64ビット)がサポートされています。また、Android APKファイルの静的ファイル分析がサポートされています。Falcon Sandbox On-Premでは、カスタム仮想マシンイメージ(VMWareおよびVirtualBoxを使用)がサポートされています.
Falcon Sandboxのレポートには、インシデントレスポンスの要約、関連するサンドボックス分析レポートへのリンク、豊富なIOC、アクター属性、帰納的ファイル分析、ファイルの詳細、デトネーションのスクリーンショット、ランタイムプロセスツリー、ネットワークトラフィック分析、抽出された文字列、IP/URL評価の検索が含まれます。また、これらのレポートはAlienVault OTXおよびVirusTotal、Falcon Intelligenceからの情報で補強され、脅威アクター属性や関連サンプルなどを提示します。さらに具体例をご覧になりたい方は、CrowdStrikeのFalcon Sandboxレポートを参照してください.
はい、できます。Falcon Sandboxにはさまざまな検索オプションがあり、検索語を組み合わせられる機能もそのひとつです。ウイルスファミリー名、脅威アクター、特定のファイルタイプ、ハッシュ、#タグのほか、特定の振る舞いの痕跡がトリガーされたかどうかで検索できます。さらに、特定のIPアドレスや国、ドメイン、URLなどにコンタクトしたレポートを見つけることも可能です.
Falcon Sandboxは、以下を含む広範な統合オプションを提供しています:
- VirusTotalおよびOPSWAT Metadefender
- AlienVault OTX
- SIEMシステム(CEF形式を使用)
- NSRL(ホワイトリスト)
- Thug honeyclient(URLエクスプロイト分析など)
- Suricata(ネットワーク脅威検知)
- TOR(外部IPフィンガープリンティングを回避)
- オーケストレーションプラットフォーム(Demisto、Phantomなど)
- FAME(マルウェア分析フレームワーク)
- Cortex(監視可能な対象を大規模に管理)
フル機能を搭載したFalcon Sandbox REST APIもご利用いただけます(詳しく読む)
帰納的分析は、分析対象ファイルがより大規模なキャンペーンやマルウェアファミリー、脅威アクターに関連していないかどうかを見極める特殊な機能です。Falcon Sandboxは、業界最大のマルウェア検索エンジンで自動的に検索を実行し、関連するサンプルを見つけて、すべてのファイルを包含すべく数秒以内に分析を拡張します。重要なのは、この分析によってアナリストが攻撃およびより大規模なIOC群について詳しく把握し、その情報をより効果的な保護策に活用できるという点です.
英語、ドイツ語、スペイン語、フランス語、イタリア語、オランダ語、ポーランド語、ポルトガル語、中国語、トルコ語、ロシア語、ベトナム語、韓国語、タイ語、インドネシア語、マレー語、アラビア語版があります.
Falcon Sandboxのライセンスは、Falcon Sandboxが分析する1か月あたりのファイル数に基づき、サブスクリプションベースで供与されます。Falcon Sandbox Private CloudとOn-Premの両エディションにそれぞれ柔軟なサブスクリプションオプションがあります。 詳細については、当社までお問い合わせください.