Falcon Insight™は、CrowdStrike® Falcon®エンドポイント保護におけるEDR(エンドポイントでの検知と対応)モジュールです。Falcon Insightはエンドポイント上でビデオレコーダーのように動作し、アクティビティを記録して、防御手段をすりぬけたインシデントを捕捉します。これによりお客様は、そのエンドポイントで起きていることすべてを包括的かつリアルタイムにセキュリティの観点から見ることができ、「サイレント障害」(侵入者が検知されずに環境内に残る)の危険性を回避できます。Falcon Insightは、他の防御をすり抜けたかもしれない攻撃の痕跡(IOA:Indicators of Attack)を検知し、環境全体でリアルタイム、および過去に遡ってプロアクティブな脅威ハンティングを可能にします。高度な最新の攻撃をすぐに検知するだけでなく、効果的に脅威に対応し修復するため、お客様はすぐに通常のビジネス活動を再開できます。
FALCON INSIGHT FAQ CROWDSTRIKEのEDR
CrowdStrike Falconプラットフォームの実際の動作をご覧になりたい場合は、次世代アンチウイルスの無料トライアルを開始してください
Falcon Insightは、本番環境の運用開始前に微調整や構成を必要とせずにインシデントを自動的に検出できるインテリジェントなEDRソリューションです。エンドポイントの完全な可視化とIOA振舞い分析を組み合わせてリアルタイムでイベントを分析し、疑わしい振舞いの痕跡を自動的に検知するためで、これがなければ気付かれなかったかもしれない攻撃者のアクティビティをピンポイントで見つけ出すことができます。IOAのおかげで、セキュリティチームは探し出すべきものを割り出してから独自の検索を構築する必要がなくなります。
Falcon Insightでは構成や微調整は必要ありませんが、ユーザー独自のカスタム検索を作成することもでき、最長90日までさかのぼることができます。これは、自社の環境でプロアクティブに脅威をハンティングしたいセキュリティチームにとって有用です。Falcon Insightはクラウドネイティブのアーキテクチャに基づいて構築されているため、クエリーの結果は5秒以内に返されるためです。
もちろんです。CrowdStrike Falconはインシデント対応に広くお使いいただけます。Falcon Insightでは環境全体のエンドポイントについてリモートで可視化することができ、「誰が、何を、いつ、どこで、どのように」攻撃するかにすぐにアクセスすることが可能です。さらに、Insightを利用すると、対応者はリアルタイムで脅威に対応し修復できるようになり、セキュリティ上の危険に晒される機会が減少し、回復までの時間が短縮されます。Falcon Insightのアーキテクチャはクラウドベースであるため、インシデント対応や修復が大幅に加速し、セキュリティチームはエンドポイントが破壊されてもフォレンジック情報にアクセスできるようになります。
サイレント障害は、何の警告も出さないまま攻撃が企業の防御をすりぬけた場合に起きます。これにより攻撃者は、何日も、何週間も、または何ヶ月も、検知されないまま環境内に残ってしまいます。Falcon Insightは、注目すべきエンドポイントでのすべてのアクティビティを記録し、リアルタイムと事後の両方で詳細な調査を行うことで、サイレント障害を防御します。この、詳細でプロアクティブな分析により、他では検知されないかもしれない悪意あるアクティビティのパターンが見つかります。
CrowdStrike Falconは、リアルタイムおよび過去のエンドポイントセキュリティイベントをお客様が最大限の可視化を実現できるよう設計され、そのため攻撃を識別して理解し、これに対応するために必要なイベントデータを収集します。しかしながら、それ以上のものは収集しません。プロセス実行にフォーカスしたこのデフォルトで設定された、システムイベントのセットに疑わしいアクティビティがないかが、継続的に監視されます。疑わしいアクティビティが検知されたら、状況をさらに理解し、イベントへのタイムリーな対応を可能にするため追加のデータ収集が、必要に応じ、または希望に応じて開始されます。具体的なデータ収集は、脅威の状況の変化に応じてFalcon Insightの機能が進歩するにつれ変化することに注意してください。エンドポイント上のアクティビティに関係する情報はFalconエージェントを通じて収集され、お客様は安全なFalconウェブ管理コンソールでこれを利用できます。
情報は継続的にリアルタイムで収集されており、セキュリティチームは攻撃や攻撃者グループの行動をリアルタイムで確認することができます。これにより確実に、最新で関係のある情報が常に表示されます。これは、エンドポイントにクエリする必要のあるEDRソリューションとは対照的で、EDRでは情報は新しくてもクエリまたはスキャンが最後に行われた時点のものにすぎません。
すべてのエンドポイントから収集されたテレメトリーデータは、どれも最長90日間保存できます。
はい。Falconは高度で簡単に利用できる幅広いAPIを提供しており、これによりアプリケーションをFalconプラットフォームやその他の外部データソースに接続することが可能です。
はい。Falcon Insightはクラウドアーキテクチャであるため、いまだかつてない規模でプロアクティブな脅威ハンティングが可能です。脅威ハンティングにより、攻撃者に対する企業の防御が強化され、脅威ハンティングは攻撃や攻撃者グループの早期検知で重要な役割を果たします。セキュリティチームは、Falcon Insightにより最長90日間収集されたデータをハンティングし、数秒以内にクエリー結果を返して、簡単に次の手がかりを掘り下げることができます。
さらに、自社の脅威ハンティングを実施するセキュリティリソースを現在持たない企業でも、Falcon OverWatch™を利用することでこのメリットを得られます。これは、Falconプラットフォームのマネージド脅威ハンティングコンポーネントです。経験を積んだエキスパートからなるFalcon OverWatchチームが、お客様にかわって24時間365日プロアクティブに脅威をハンティングし、侵害を阻止します。
Falcon Insightのために何らかのインフラストラクチャをデプロイする必要はありません。Falcon InsightはFalconプラットフォームを利用し、これは100%クラウド上から提供されます。そのためお客様はより早く保護されるようになり、オンプレミスのハードウェア取得やデプロイ、メンテナンスが不要なため総所有コスト(TCO)が削減されます。クラウドベースのセキュリティであるため、攻撃者がCrowdStrikeテクノロジーを改ざんしたり回避しようとする中でそれを習得することも不可能になります。攻撃者がFalconを破ろうとしても、その試みはすぐクラウドに送信され、そこで検知されます。クラウドベースのセキュリティにより、CrowdStrikeは脅威の状況全体以上のものを監視できます。この、より幅広い可視化により、Falconはより多くのデータを分析し、それによってその保護機能が強化されます。
Falcon Insightには、インシデント対応の場面でシステム上で実行できる一連の操作が組み込まれています。この対応操作の一部は、脅威のリスクと範囲を完全に理解するために、脅威の調査に利用されます。対応者はこの操作によりさらに迅速に、完全に脅威を理解できるようになります。他の操作は、システム上で脅威を封じ込めるか修復する行動をとるために使用されます。これは悪意あるプロセスを停止するか、ファイルを削除するか、Windowsレジストリーをクリーンアップするか、またはネットワークトラフィックを食い止める、といったことで可能になります。これらのコマンドは、対応者が迅速かつ断固として行動するのに役立ちます。これらが合わさって、高度な脅威への対応スピードが劇的に短縮されます。
Falconは、エンドポイントごとのサブスクリプションベースでライセンスされます。詳細は当社にお問い合わせいただくか、見積もりをご依頼ください。