S&J
エスアンドジェイKeepEye
KeepEyeは、従来のソフトウェア提供のEDR製品とは違い、本来あるべきEDR(エンドポイントでの脅威を検知し、対応を支援する)をご提供するソリューションです。
KeepEyeを導入することにより 、お客様のPCにおける不審な挙動を検知・停止することができるようになります。
また、 PCのログ(マルウェアに関連するログや内部犯行に関連するログ)も取得しておくことが可能なため、不審な挙動や操作が発生した際に、そのトリガーや影響についてS&Jの専門アナリストが分析を行います。SOC Engineを導入することでネットワークログとの相関分析も可能になります。
KeepEyeを導入することで、お客様は以下のような導入効果を得られます。
- PC上でのマルウェアによる不審な挙動を自動停止することにより、感染による被害を防御
- CSIRTでこれまで調査できなかった不審な挙動のトリガーや影響の分析を専門家に委託し、適切かつ迅速にインシデントレスポンス対応を実現
- IT資産管理ツールでは取得できない内部犯行に関するログを取得し、その分析も委託可能
- 多層防御/運用の大幅見直しが行え、セキュリティ対策のコストダウンを実現
KeepEyeをCSIRT/SOCアウトソーシングサービスとともにご利用いただくことで、SOCの統合ログ分析システムで他のセキュリティ機器やネットワーク機器等のログと相関分析をすることができ、エンド・トウ・エンドでの一貫したセキュリティ運用監視が可能になります。
① EDR機能
EDR機能には、以下4つの機能があります。
- エージェント内で、振る舞いをもとにマルウェアを検知
- エージェントからの情報をもとにクラウド上のAI機能を用いてマルウェアを検知
- 検知されたマルウェアの自動停止(自動停止しない設定も可能)
- ホワイトリスト管理
② ログ取得/蓄積機能
ログ取得機能で取得するログは、以下の2つのパターンとなります。
- マルウェアログ:マルウェア関連のログ情報を取得
- ユーザ操作ログ:ユーザの操作ログを取得
また、取得したログの蓄積先を、ローカルか、クラウドか選択可能です。
- ローカル:指定サイズ(デフォルト1GB)までローカルに保存 (※メリット:安価)
- クラウド:指定期間クラウドに保存 (※メリット:IR時にすぐに分析が開始できる)
③ IR支援
IR支援には、以下3つのパターンがあります。
マルウェアIR Basic
- 前提条件:「①EDR機能」の導入が必須となります
- 概要:EDR機能で検知されたマルウェアの自動停止をしない場合、お客様に確認してから停止
マルウェアIR Advanced
- 前提条件:「②ログ取得/蓄積機能 マルウェアログ」の導入が必須となります
- 概要:S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
-
- マルウェアの挙動、ファイル作成履歴の調査
- リモートで、ファイルの取り出し、マルウェアかどうかの調査
- リモートで、不審なプロセスの停止、必要であれば隔離
操作ログIR Advanced
- 前提条件: 「②ログ取得/蓄積機能 ユーザ操作ログ」の導入が必須となります
- 概要: S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
-
- 外部記憶媒体への書き出し、印刷、アプリケーションの利用履歴などを調査
