S&J

エスアンドジェイ
こちらの製品に関するお問い合わせはこちらから
MENU

S&J

エスアンドジェイ

KeepEye

KeepEyeは、従来のソフトウェア提供のEDR製品とは違い、本来あるべきEDR(エンドポイントでの脅威を検知し、対応を支援する)をご提供するソリューションです。

KeepEyeを導入することにより 、お客様のPCにおける不審な挙動を検知・停止することができるようになります。

また、 PCのログ(マルウェアに関連するログや内部犯行に関連するログ)も取得しておくことが可能なため、不審な挙動や操作が発生した際に、そのトリガーや影響についてS&Jの専門アナリストが分析を行います。SOC Engineを導入することでネットワークログとの相関分析も可能になります。

KeepEyeを導入することで、お客様は以下のような導入効果を得られます。

  • PC上でのマルウェアによる不審な挙動を自動停止することにより、感染による被害を防御
  • CSIRTでこれまで調査できなかった不審な挙動のトリガーや影響の分析を専門家に委託し、適切かつ迅速にインシデントレスポンス対応を実現
  • IT資産管理ツールでは取得できない内部犯行に関するログを取得し、その分析も委託可能
  • 多層防御/運用の大幅見直しが行え、セキュリティ対策のコストダウンを実現

KeepEyeをCSIRT/SOCアウトソーシングサービスとともにご利用いただくことで、SOCの統合ログ分析システムで他のセキュリティ機器やネットワーク機器等のログと相関分析をすることができ、エンド・トウ・エンドでの一貫したセキュリティ運用監視が可能になります。

① EDR機能

EDR機能には、以下4つの機能があります。

  • エージェント内で、振る舞いをもとにマルウェアを検知
  • エージェントからの情報をもとにクラウド上のAI機能を用いてマルウェアを検知
  • 検知されたマルウェアの自動停止(自動停止しない設定も可能)
  • ホワイトリスト管理
② ログ取得/蓄積機能

ログ取得機能で取得するログは、以下の2つのパターンとなります。

  • マルウェアログ:マルウェア関連のログ情報を取得
  • ユーザ操作ログ:ユーザの操作ログを取得

また、取得したログの蓄積先を、ローカルか、クラウドか選択可能です。

  • ローカル:指定サイズ(デフォルト1GB)までローカルに保存 (※メリット:安価)
  • クラウド:指定期間クラウドに保存 (※メリット:IR時にすぐに分析が開始できる)
③ IR支援

IR支援には、以下3つのパターンがあります。

マルウェアIR Basic

  • 前提条件:「①EDR機能」の導入が必須となります
  • 概要:EDR機能で検知されたマルウェアの自動停止をしない場合、お客様に確認してから停止

マルウェアIR Advanced

  • 前提条件:「②ログ取得/蓄積機能 マルウェアログ」の導入が必須となります
  • 概要:S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
    1. マルウェアの挙動、ファイル作成履歴の調査
    2. リモートで、ファイルの取り出し、マルウェアかどうかの調査
    3. リモートで、不審なプロセスの停止、必要であれば隔離

操作ログIR Advanced

  • 前提条件: 「②ログ取得/蓄積機能 ユーザ操作ログ」の導入が必須となります
  • 概要: S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
    1. 外部記憶媒体への書き出し、印刷、アプリケーションの利用履歴などを調査