CrowdStrike

クラウドストライク

脅威ハンティング(Falcon OverWatch)

CrowdStrikeの Falcon OverWatchは従来のSoCサービスでは対応できない新たな脅威にも対応できるように、人の目による新たな検知ロジックを採用しています。

NGAV&EDRでの機能的検知をすり抜けた高度な脅威が存在することを前提に通常ログからプロアクティブに脅威を見つけ出すことで多層防御を実現する機能です。

脅威ハンティング(Falcon OverWatch)

昨今の攻撃手法は高度化しており、環境に侵入後の標準コマンド/正規ツールを利用した通常の動作と見分けが付きづらい動作で内部偵察やラテラルムーブメント(横展開)による攻撃を仕掛けてきます。これらの振る舞いを機能で検知した場合、過検知が多発し重要な脅威の見逃しに繋がる可能性が発生します。

そのため、機能的な検知を擦り抜けた脅威を炙り出すために脅威ハンティングが重要となります。

脅威ハンティング(Falcon OverWatch)

従来のSOC(Security Operation Center)サービスの課題点

  • FW(ファームウェア)やIDS(侵入検知システム)、EDRで検知した内容やNW機器/端末等の異常ログを定常的に監視
    ⇒ふるまいを判断した上で正常と判断されるログの確認までは実施しないため脅威の見逃しが発生する可能性がある
  • 24/365体制で監視を行い、発見したセキュリティ脅威を特定し内容を連絡
    ⇒発見可能なセキュリティ脅威は導入済み製品の検知ロジックに依存してしまうため、新たな脅威に対しては対応できない
従来のSOC(Security Operation Center)サービスの課題点

Falcon OverWatchとSOCの連携イメージ

  • Falcon OverWatch:製品に反映しきれていない新たな脅威をいち早く検知
  • SOCサービス:お客様環境で検知された内容を統合して取りまとめて通知
Falcon OverWatchとSOCの連携イメージ

Falcon OverWatch導入によるメリット

  • 振る舞い検知ができない新たな脅威を発見し、検知ロジック適用前に即座に通知
  • Falcon OverWatchによる『人の目による検知』があることでEDRのみに頼らなくて済むため過検知の低減が可能⇒管理者の負担が軽減
  • 機能的には検知が出来なかった悪性のアクティビティの検知が可能
  • Falcon OverWatchチームより提供されたアクティビティの解析結果を元にした効果的な調査の実施
  • MSS(Managed Security Service)も通知内容を精査しお客様へご連絡
  • クリティカルな内容はお客様に直接連絡することで迅速に対応が可能となる

お問い合わせ・資料請求

株式会社マクニカ CrowdStrike 担当

平日 9:00~17:00