
CrowdStrike
クラウドストライク
クラウドストライク
NGAV×EDR×脅威ハンティング
エンドポイント保護プラットフォーム
「CrowdStrike Falcon」
CrowdStrike Falconの優位性
自動ブロックと検知・対処
自動化とプロアクティブな防御
①シンプルなアーキテクチャ&軽量エージェント
- SaaS型サービスの為、追加設備不要で海外拠点や持出端末への導入も可能
- エンドポイントに導入されたエージェントが端末上のイベント(メタデータ)をクラウドへアップロード
- 単一エージェントにより、追加機能に対して新たなソフトウェアのインストールが不要であると同時にバッティングの可能性も低減
- シグネチャレスの為、定義ファイルの更新作業や端末へ大きな負荷を与えるスキャンが不要
- クラウド上へアップロードされたデータはAPIを介して利用可能
②セキュリティエキスパートによる脅威ハンティング
- OverWatchと呼ばれるCrowdStrike社のハンティングチームによるクラウドへアップロードされてくるログを24時間365日監視
- NGAV/EDRで機械的に検知することが難しい領域を人の目により脅威を発見/通知
- SOCサービスとは異なる人による新たな検知ロジック
- 新たな脅威が発見された場合、製品側の検知ロジックへ反映
③洗練された脅威インテリジェンス
- 世界176ヵ国のユーザから1週間あたり約3兆のテレメトリーデータを収集
- 収集された日々のイベントは専門家チームや機械学習/AIにより相関的分析
- 世界規模で収集したデータをもとに分析することで高度で新たな攻撃手法をより素早く確実に発見
- 未知の高度な脅威を発見した場合は、即座に検知ロジックに追加され、常に最新の脅威から保護
CrowdStrike Falcon
NGAV
~Falcon Prevent~

- エンドポイントから収集される膨大なテレメトリーデータを活用し、既知だけでなく未知の脅威も検出する仕組み
- シグネチャを利用しない、AI/機械学習エンジンにより、マルウェアを防御
- “IOA (Indicator of Attack)”と呼ばれる振る舞い検知技術により、ファイルレス攻撃を防御
- プロセスツリーにて脅威検知/ブロック時のイベントの可視性を提供
EDR
~Falcon Insight~

- 既知/未知問わず、マルウェア攻撃だけでなくファイルレス攻撃まで広範に脅威を検知
- アラート単位だけでなく、複数のアラートを集約した“インシデント”単位での調査が可能
- 調査基盤にSplunkを利用しており、豊富なダッシュボードにより容易に調査が可能
- 管理コンソールから2クリックにて端末隔離を実施可能
- 管理コンソールからコマンドやスクリプトを利用した遠隔操作による修復作業を実施可能
- 端末から端末への横展開を管理画面から把握可能
脅威ハンティング
~Falcon Overwatch~

- CrowdStrikeのセキュリティエキスパートにより提供される脅威ハンティングサービス
- 24時間365日クラウドにアップロードされてくるログを監視
- NGAV/EDRで機械的に検出が困難な洗練された攻撃を検出
- 緊急度の高い攻撃を検知した場合、管理者へ通知し対処支援の実施
脅威インテリジェンス
~Falcon X~

- ブロックしたマルウェアを自動的にクラウド上のサンドボックスへアップロードし、独立した環境での解析を実施
- 解析から得られたIOC情報だけでなく、類似するマルウェアのIOC情報を提供
- CrowdStrike社が追随する攻撃者グループの攻撃手法/手順(TTPs)を含むプロファイル情報を閲覧可能
- CrowdStrike社が保有するインテリジェンスとの連携により、サンドボックス解析結果から、帰属済みの攻撃者グループ情報を提示
デバイスコントロール
~Falcon Device Control~

- USBデバイスの利用状況の可視化
- デバイスの種類(ストレージ、マウスなど)や固有情報を基にした利用制限が可能
- 利用制御ポリシーは任意の端末群ごとに柔軟に適用可能
- USBメモリ等のストレージへのファイル書き込み時のログも取得可能
脆弱性管理
~Falcon Spotlight~

- Windows OS含むMicrosoft製品やよく利用されるアプリケーション(Adobe製品、ブラウザ等)の脆弱性の可視化
- 環境に存在する脆弱性をSeverity毎に可視化
- CVE番号による該当する脆弱性の影響を受ける端末の検索やパッチ適用有無の確認が可能
- アラートが発生している端末をベースとして脆弱性対処の優先順位付けが容易に可能
- スキャン不要かつリアルタイムでの検索が可能
ITハイジーン
~Falcon Discover~

- 端末にインストールされているアプリケーションやバージョン情報の可視化
- 組織内に存在するエージェントが導入されていない未管理端末の洗い出し
- ユーザアカウントや端末の詳細情報をグラフィカルに可視化
- 長期間パスワード変更のないユーザの可視化
- AWS上に展開されているサービスの可視化
ホストFW統合管理
~Firewall Management~

- 管理コンソール上(クラウド上)からWindows Firewall機能を管理
- 事前に作成したルールに合致する通信の可視化及び制御が可能
- テンプレートの利用だけでなく、一からルールを作成することも可能
- ファイアウォール制御ポリシーを端末群ごとに柔軟に適用可能
モバイルデバイス向けEDR
Falcon For Mobile

- モバイル向けのEDR(Endpoint Detection & Response)製品
- iOS/Android の両OSに対応し、軽量で電池消費量も考慮したエージェントによって、モバイル端末上の振る舞いの記録及び検知が可能
- 管理サーバはクラウド上に構築されており、オンプレミス管理サーバの構築/運用/管理が不要
- 記録されたデータはリアルタイムにクラウドにアップロードされ、従来のFalconコンソール上で迅速に検索が可能
Falcon Sandbox
外部機関評価
システム要件、OS
Windows、macOS、Linux(Amazon Linuxを含む)、iOS、Androidの各OSに対応しています。
各OSにおける対応バージョンの詳細については、お問い合わせください。